Decoder : Configurer des règles de corrélation

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

Les règles de corrélation de base sont appliquées au niveau de la session et alertent l'utilisateur par rapport à des activités spécifiques pouvant se produire dans leur environnement. NetWitness Platform applique les règles de corrélation sur une période glissante configurable. Lorsque les conditions sont remplies, les métadonnées d'alerte sont créées pour cette activité, et il y a un indicateur visible de l'activité suspecte.

Voici des exemples de règles de corrélation illustrant les deux exemples d’utilisation et la syntaxe.

Objectif : Dans les sessions où tcp.dstport existe, s'il y a une combinaison de ip.src et ip.dst où le nombre d'instances uniques s’élève à tcp.dstport > 5 en 1 minute, une alerte se déclenche. Pour atteindre cet objectif, créez une règle de la manière suivante :

  • Nom de la règle : IPv6 Vertical TCP Port Scan 5
  • Règle : tcp.dstport exists
  • Clé d'instance : ip.src,ip.dst
  • Seuil : u_count(tcp.dstport)>5
  • Période : 1 minute

Objectif : Dans les sessions où action==login et error==fail existent, s'il y a une combinaison de ip.src et de ip.dst qui s'affiche dans plus de 10 sessions en 5 minutes, une alerte se déclenche. Pour atteindre cet objectif, créez une règle de la manière suivante :

  • Nom de la règle : IPv4 Potential Brute Force 10
  • Règle : action='login' && error='fail'
  • Clé d'instance : ip.src,ip.dst
  • Seuil : count()>10
  • Période : 5 minutes

Les deux exemples de règles ont la même clé d'instance : ip.src et ip.dst. Parce que nous recherchons des combinaisons uniques de ip.src et ip.dst correspondant à la condition de corrélation, ip.src et ip.dst sont des clés primaires.
Le seuil peut inclure une clé associée qui identifie le type de méta que nous comptons déterminer si la condition est satisfaite. Dans le premier exemple, la clé associée spécifiée dans Seuil est tcp.dstport. Nous comptons des instances uniques de tcp.dstport pour chaque paire ip.src/ip.dst. Dans le deuxième exemple, la clé associée ne précise pas le seuil parce qu'il correspond simplement à un nombre de sessions. Il est utile de penser à ce scénario de comptage des identifiants de session unique et le méta associé est implicitement session.id. Nous comptons des session.id uniques pour chaque paire ip.src/ip.dst.

Cas d'utilisation incorrects : Pour les sessions where (règle), s'il y a une combinaison de ip.src et ip.dst avec ipv6.dst > 5 durant (période), une alerte se déclenche. Ce cas ne fonctionne pas car la clé associée ipv6.dst est un type de méta IPv6. Les types de méta IPv4 et IPv6 ne sont pas autorisés à être utilisés en tant que clés associées.

Ajouter ou modifier une règle de corrélation

  1. Accédez à ADMIN > Services, sélectionnez un service, puis Actions menu cropped > Vue > Config
    La vue Configuration des services pour le service sélectionné s'affiche.

  2. Sélectionnez l’onglet Règles de corrélation.
    This is an example of the Correlation Rules tab.
  3. Sous l'onglet Règles de corrélation, procédez de l'une des façons suivantes :
  • Pour ajouter une nouvelle règle, cliquez sur The add icon
  • Si vous modifiez une règle, sélectionnez la règle dans la grille de règles, puis cliquez sur The edit icon.
    La boîte de dialogue Éditeur de règles s’affiche avec les paramètres des règles de corrélation.
    This is an example of the Rule Editor dialog.
  1. Dans le champ Nom de la règle, saisissez le nom de la règle. Par exemple, pour créer l'exemple de règle, IPv6 Vertical TCP Port Scan 5.
  2. Dans le champ Condition, élaborez la condition de règle qui déclenche une action lorsqu'elle est remplie. Vous pouvez effectuer votre saisie directement dans le champ ou élaborer la condition dans ce champ à l'aide des métadonnées de la fenêtre Actions. Au fur et à mesure que vous créez la définition de règle, les erreurs de syntaxe et les avertissements sont affichés par NetWitness Platform. Par exemple, pour créer un exemple de règle, saisissez tcp.dstport exists. Lorsque cette condition est mise en correspondance, l'action sur les données de session est exécutée.
    Tous les horodatages et valeurs littérales de la chaîne doivent être entre guillemets. Ne mettez pas les valeurs de nombre et d'adresses IP entre guillemets. Configurer les règles de Decoder fournit des informations supplémentaires.
  3. Dans le champ Seuil, utilisez l'un des paramètres de seuil pour spécifier le nombre minimum d'occurrences nécessaires pour créer une session de corrélation et une clé associée, si nécessaire. La clé associée ne peut pas être un méta de type IPv4 ou IPv6.
  • u_count(associated_key) = nombre de valeurs uniques de la clé spécifiée
  • sum(associated_key) = valeurs de la clé spécifiée
  • count = nombre de sessions (aucune clé associée spécifiée)
  1. Dans le champ Clé d'instance, sélectionnez l'indicateur cible sur lequel baser l'événement. Il peut s'agir d'une clé simple ou d'une clé composée (deux clés primaires séparées par une virgule).
  2. Dans Période, définissez la durée pendant laquelle le seuil doit être atteint pour créer une session de corrélation.
  3. Pour enregistrer la règle et l'ajouter à la grille, cliquez sur OK.
    La règle est ajoutée à la fin de la grille ou insérée à l'endroit que vous avez indiqué dans le menu contextuel. Le signe plus s'affiche dans la colonne En attente.
  4. Vérifiez que la séquence d'exécution de la règle est correcte par rapport aux autres règles de la grille. Si nécessaire, déplacez la règle.
  5. Pour appliquer la règle mise à jour au service, cliquez sur Appliquer.
    NetWitness Platform enregistre un snapshot des règles actuellement appliquées, puis applique l’ensemble mis à jour au Decoder ou Log Decoder.
You are here
Table of Contents > Configurer les règles de Decoder > Configurer des règles de corrélation

Attachments

    Outcomes