Alertes : Ajouter une source d'enrichissement de données

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique vous indique comment ajouter une source d'enrichissement précédemment configurée à une règle. Lorsque ESA crée une alerte, elle comprend des informations de la source.

Les enrichissements permettent d'inclure des informations contextuelles dans la logique de corrélation et la sortie d'alerte. Sans enrichissements, toutes les informations comprises dans une alerte ESA proviennent d'un service Security Analytics Core. Avec les enrichissements, vous pouvez demander des recherches dans différentes sources et inclure les résultats dans les alertes sortantes. La figure suivante illustre la fonction d'enrichissement.

enrichment_overview.jpg


La configuration d'enrichissement est constituée de deux unités logiques :

  • Sources d'enrichissement : il s'agit des datastores d'informations contextuelles.
  • Connexions d'enrichissement : elles agissent en tant que connecteurs entre les métadonnées d'alerte et les colonnes source.

ESA vous permet de réaliser des connexions entre les instructions Event Processing Language (EPL) et les sources d'enrichissement. Une fois les connexions établies, le système associe les champs sélectionnés de la sortie d'alerte aux informations dans les sources et utilise les données associées pour enrichir l'alerte envoyée. ESA peut se connecter avec les sources suivantes :

  • Fenêtres nommées Esper
  • Tableaux de base de données relationnelle
  • Base de données MaxMindGeoIP
  • Listes de surveillance RSA Warehouse Analytics

Remarque : La source d'enrichissement geoIP ne peut être ni créée, ni supprimée. Elle est fournie prête à l'emploi à l'utilisateur.

Exemple de règle avec enrichissement

L'exemple de règle suivant illustre la fonction d'enrichissement fournie par ESA :

@RSAAlert @Name("simple") SELECT * FROM CoreEvent(ec_theme='Login Failure')

La règle génère une alerte pour chaque échec de connexion et le flux d'événements suivant (simplifié) est donc reçu sur ESA :

  
sessionidec_themenom d’utilisateurip_srcip_dsthost_dst
1Réussite de la connexiondshrute23.xx.23x.16  
2Échec de la connexionjhalpert23.xx.23x.1631.1x.x9.1x8www.facebook.com

 

Une alerte possédant les composants suivants events peut être générée en réponse à la deuxième session :

{
    "events": [
        {
            "username": "jhalpert",
            "host_dst": "www.facebook.com",
            "ip_dst": "31.1x.x9.1x8",
            "sessionid": 2,
            "ec_theme": "Login Failure",
            "esa_time": 1406148964130,
            "ip_src": "23.xx.23x.16"
        }
    ]
}

La sortie JSON affiche toutes les informations disponibles à inclure dans une notification ESA à l'aide du modèle FreeMarker approprié
. Par exemple, l’expression modèle ${events[0].username} serait évaluée comme jhalpert.

Avec des enrichissements et le même flux d'événements, le même module peut générer l'alerte affichée ci-dessous. Le système
peut réaliser plusieurs connexions d'enrichissement et extraire des données contextuelles pour rendre l'alerte plus explicite.

Par exemple :
${events[0]["RSADataScienceLookup"][0].score} indique le score risk du domaine de destination calculé par le module RSA Warehouse Analytics, tandis que ${events[0]["orgchart"][0].supervisor} indique le nom du superviseur de l'employé concerné par l'alerte (extrait d'une base de données RH) ; ${events[0]["LoginRegister"][0].username} indique le nom de l'utilisateur dont la dernière connexion a réussi à partir du même ip_src (à l'aide d'une fenêtre nommée basée sur le flux).

{"events": [
    {
        "username": "jhalpert",
        "host_dst": "www.facebook.com",
        "GeoIpLookup": [
        {
            "city": "Cambridge",
            "longitude": -71,
            "countryCode": "US",
            "areaCode": 617,
            "metroCode": 506,
            "region": "MA",
            "dmaCode": 506,
            "ipv4Obj": "/23.62.236.16",
            "countryName": "United States",
            "postalCode": "02142",
            "ipv4": "23.62.236.16",
            "latitude": 42,
            "organization": "Verizon Business"
        }
    ],
    "RSADataScienceLookup": [
        {
            "model_id": "suspiciousDomains_1",
            "_id": "EXEC_BATCH_1_20140630153740_facebook.com",
            "score": 10,
            "key": "www.facebook.com"
        }
    ],
    "orgchart": [
        {
            "supervisor": "mscott",
            "name": "James Halpert",
            "extension": 3692,
            "location": "Scranton",
            "department": "Sales",
            "id": "jhalpert"
        }
    ],
    "ip_dst": "31.13.69.128",
    "sessionid": 2,
    "LoginRegister": [
        {
            "username": "dshrute",
            "ip_src": "23.62.236.16"
        }
    ],
    "ec_theme": "Login Failure",
    "esa_time": 1406155218912,
    "ip_src": "23.62.236.16"
    }
]}

You are here
Table of Contents > Ajouter une source d'enrichissement de données

Attachments

    Outcomes