Decoder : Configurer des règles de corrélation

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique présente les règles de corrélation et propose des procédures pour créer des règles de corrélation.

Les règles de corrélation de base sont appliquées au niveau de la session et alertent l'utilisateur par rapport à des activités spécifiques pouvant se produire dans leur environnement. Security Analytics applique les règles de corrélation sur une période glissante configurable. Lorsque les conditions sont remplies, les métadonnées d'alerte sont créées pour cette activité, et il y a un indicateur visible de l'activité suspecte.

Exemples de règles de corrélation

Objectif : Dans les sessions where tcp.dstport exists, s'il y a une combinaison de ip.src et ip.dst avec le nombre d'instances uniques tcp.dstport > 5 en 1 minute, une alerte se déclenche. Pour atteindre cet objectif, créez une règle de la manière suivante :

  • Nom de la règle : IPv6 Vertical TCP Port Scan 5
  • Rule: tcp.dstport exists
  • Instance Key: ip.src,ip.dst
  • Threshold: u_count(tcp.dstport)>5
  • Période : 1 minute

Objectif : Dans les sessions where action==login et error==fail, s'il y a une combinaison de ip.src avec ip.dst qui s'affiche dans plus de 10 sessions en 5 minutes, une alerte se déclenche. Pour atteindre cet objectif, créez une règle de la manière suivante :

  • Nom de la règle : IPv4 Potential Brute Force 10
  • Rule: action='login' && error='fail'
  • Instance Key: ip.src,ip.dst
  • Threshold: count()>10
  • Période : 5 minutes

Explication

Les deux exemples de règles ont la même clé d'instance : ip.src et ip.dst. Parce que nous recherchons des combinaisons uniques de ip.src et ip.dst qui correspondent à la condition de corrélation, ip.src et ip.dst sont des clés primaires.

Le seuil peut inclure une clé associée qui identifie le type de méta que nous comptons déterminer si la condition est satisfaite. Dans le premier exemple, la clé associée au seuil spécifié est tcp.dstport. Nous comptons des cas uniques de tcp.dstport pour chaque paire ip.src/ip.dst. Dans le deuxième exemple, la clé associée ne précise pas le seuil parce qu'il correspond simplement à un nombre de sessions. Il est utile de penser à ce scénario de comptage des identifiants de session unique et le méta associé est implicitement session.id. Nous avons alors une session.id unique pour chaque paire ip.src/ip.dst.

Cas d'utilisation incorrects : Pour les sessions where (règle), s'il y a une combinaison de ip.src et ip.dst avec ipv6.dst > 5 durant... (période), une alerte se déclenche. Ce cas ne fonctionne pas car la clé associée ipv6.dst est un type de méta IPv6. Les types de méta IPv4 et IPv6 ne sont pas autorisés à être utilisés en tant que clés associées.

Procédures

Accéder à l'onglet Règles de corrélation

La première étape dans l'utilisation des règles de corrélation consiste à accéder à l'onglet Règles de corrélation :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service et Menu Actions détouré >>Vue > Configuration
    La vue Configuration des services pour le service sélectionné s'affiche.
  3. Sélectionnez l’onglet Règles de corrélation.

Ajouter ou modifier une règle de corrélation

  1. Sous l'onglet Règles de corrélation, procédez de l'une des façons suivantes :
  • Pour ajouter une nouvelle règle, cliquez sur Icon-Add.png
  • Si vous modifiez une règle, sélectionnez la règle dans la grille des règles et cliquez sur icon-edit.png.
    La boîte de dialogue Éditeur de règles s'affiche avec les paramètres de la règle de corrélation.
  1. Dans le champ Nom de la règle, saisissez le nom de la règle. Par exemple, pour créer l'exemple de règle, IPv6 Vertical TCP Port Scan 5.
  2. Dans le champ Condition, élaborez la condition de règle qui déclenche une action lorsqu'elle est remplie. Vous pouvez effectuer votre saisie directement dans le champ ou élaborer la condition dans ce champ à l'aide des métadonnées de la fenêtre Actions. Au fur et à mesure que vous créez la définition de règle, les erreurs de syntaxe et les avertissements sont affichés par Security Analytics. Par exemple, pour créer un exemple de règle, saisissez tcp.dstport exists. Lorsque cette condition est mise en correspondance, l'action sur les données de session est exécutée.
    Tous les horodatages et valeurs littérales de la chaîne doivent être entre guillemets. Ne mettez pas les valeurs de nombre ni les adresses IP entre guillemets. La section Instructions relatives aux règles et requêtes fournit des informations supplémentaires.
  3. Dans le champ Seuil, utilisez l'un des paramètres de seuil pour spécifier le nombre minimum d'occurrences nécessaires pour créer une session de corrélation et une clé associée, si nécessaire. La clé associée ne peut pas être un méta de type IPv4 ou IPv6.
  • u_count(associated_key) = nombre de valeurs uniques de la clé spécifiée
  • sum(associated_key) = valeurs de la clé spécifiée.
  • count = nombre de sessions (aucune clé associée spécifiée)
  1. Dans le champ Clé d'instance, sélectionnez l'indicateur cible sur lequel baser l'événement. Il peut s'agir d'une clé simple ou d'une clé composée (deux clés primaires séparées par une virgule).
  2. Dans Période, définissez la durée pendant laquelle le seuil doit être atteint pour créer une session de corrélation.
  3. Pour enregistrer la règle et l'ajouter à la grille, cliquez sur OK.
    La règle est ajoutée à la fin de la grille ou insérée à l'endroit que vous avez indiqué dans le menu contextuel. Le signe plus s'affiche dans la colonne En attente.
  4. Vérifiez que la séquence d'exécution de la règle est correcte par rapport aux autres règles de la grille. Si nécessaire, déplacez la règle.
  5. Pour appliquer la règle mise à jour au service, cliquez sur Appliquer.

    Security Analytics enregistre un snapshot des règles actuellement appliquées, puis applique l'ensemble mis à jour au Decoder ou Log Decoder.
You are here
Table of Contents > Procédures requises > Étape 4. Configurer les règles de Decoder > Decoder : Configurer des règles de corrélation

Attachments

    Outcomes