Alerting: Agregar un origen de enriquecimiento de datos

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se indica cómo agregar un origen de enriquecimiento configurado con anterioridad a una regla. Cuando ESA crea una alerta, la información del origen se incluye en ella.

Los enriquecimientos brindan la capacidad de incluir información contextual en la lógica de correlación y la salida de alertas. Sin los enriquecimientos, toda la información que se incluye en una alerta de ESA proviene de un servicio Security Analytics Core. Con los enriquecimientos, puede solicitar búsquedas en diversos orígenes e incluir los resultados en las alertas salientes. En la siguiente figura se ilustra la función de los enriquecimientos.

enrichment_overview.jpg


La configuración de los enriquecimientos está compuesta por dos unidades lógicas:

  • Orígenes de enriquecimiento: son áreas de almacenamiento de datos de información contextual.
  • Conexiones de enriquecimiento: actúan como conectores entre metadatos de alertas y columnas de origen.

ESA permite establecer conexiones entre declaraciones del lenguaje de procesamiento de eventos (EPL) y orígenes de enriquecimiento. Una vez que se establecen las conexiones, el sistema combina los campos seleccionados de la salida de las alertas con la información de los orígenes y usa los datos coincidentes para enriquecer la alerta que se envía. ESA puede establecer conexión con los siguientes orígenes:

  • Ventanas con nombre de Esper
  • Tablas de bases de datos relacionales
  • Base de datos de MaxMindGeoIP
  • Listas de seguimiento de RSA Warehouse Analytics

Nota: el origen de enriquecimiento geoIP no se puede crear ni eliminar. Se proporciona al usuario para uso inmediato.

Ejemplo de regla con enriquecimiento

En el siguiente ejemplo de regla se ilustra la función de enriquecimiento que proporciona ESA:

@RSAAlert @Name("simple") SELECT * FROM CoreEvent(ec_theme='Login Failure')

La regla genera una alerta para cada error al iniciar sesión y, de este modo, si se recibe el siguiente flujo de eventos (simplificado) en ESA:

  
sessionidec_themeusernameip_srcip_dsthost_dst
1Login Successdshrute23.xx.23x.16  
2Login Failurejhalpert23.xx.23x.1631.1X.X9.1x8www.facebook.com

 

Se podría generar una alerta con los siguientes events constitutivos en respuesta a la segunda sesión:

{
    "events": [
        {
            "username": "jhalpert",
            "host_dst": "www.facebook.com",
            "ip_dst": "31.1x.x9.1x8",
            "sessionid": 2,
            "ec_theme": "Login Failure",
            "esa_time": 1406148964130,
            "ip_src": "23.xx.23x.16"
        }
    ]
}

La salida JSON muestra toda la información disponible que se incluirá en una notificación de ESA mediante el uso de una plantilla apropiada de FreeMarker
. Por ejemplo, la expresión de la plantilla ${events[0].username} sería equivalente a jhalpert.

Con enriquecimientos, el mismo módulo con el mismo flujo de eventos puede generar la alerta que se muestra a continuación. El sistema
puede establecer múltiples conexiones de enriquecimiento y extraer datos contextuales de modo que la alerta sea más significativa.

Por ejemplo:
${events[0]["RSADataScienceLookup"][0].score} entrega el puntaje de “riesgo” del dominio de destino que calcula el módulo RSA Warehouse Analytics, mientras que ${events[0]["orgchart"][0].supervisor} entrega el nombre del supervisor del empleado relacionado con la alerta (extraído de una base de datos de RR. HH.) y ${events[0]["LoginRegister"][0].username} entrega el nombre del usuario con el último inicio de sesión correcto para el mismo ip_src (mediante el uso de una ventana con nombre basada en flujo).

{"events": [
    {
        "username": "jhalpert",
        "host_dst": "www.facebook.com",
        "GeoIpLookup": [
        {
            "city": "Cambridge",
            "longitude": -71,
            "countryCode": "US",
            "areaCode": 617,
            "metroCode": 506,
            "region": "MA",
            "dmaCode": 506,
            "ipv4Obj": "/23.62.236.16",
            "countryName": "United States",
            "postalCode": "02142",
            "ipv4": "23.62.236.16",
            "latitude": 42,
            "organization": "Verizon Business"
        }
    ],
    "RSADataScienceLookup": [
        {
            "model_id": "suspiciousDomains_1",
            "_id": "EXEC_BATCH_1_20140630153740_facebook.com",
            "score": 10,
            "key": "www.facebook.com"
        }
    ],
    "orgchart": [
        {
            "supervisor": "mscott",
            "name": "James Halpert",
            "extension": 3692,
            "location": "Scranton",
            "department": "Sales",
            "id": "jhalpert"
        }
    ],
    "ip_dst": "31.13.69.128",
    "sessionid": 2,
    "LoginRegister": [
        {
            "username": "dshrute",
            "ip_src": "23.62.236.16"
        }
    ],
    "ec_theme": "Login Failure",
    "esa_time": 1406155218912,
    "ip_src": "23.62.236.16"
    }
]}

You are here
Table of Contents > Agregar un origen de enriquecimiento de datos

Attachments

    Outcomes