Alerting: Configurar la detección de amenazas automatizadas

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se indica a los administradores y analistas cómo configurar y trabajar con detección de amenazas automatizadas. 

Este procedimiento proporciona los pasos necesarios para configurar la detección de amenazas automatizadas en ESA. Sin embargo, antes de habilitar la detección de amenazas automatizadas, es importante destacar que hay muchas configuraciones de instalación posibles que se pueden instalar en ESA, incluidas las siguientes: Detección de amenazas automatizadas, reglas de ESA y Context Hub. Cada uno de estos puede ocupar recursos, por lo que es importante considerar el dimensionamiento antes de habilitar esta función en ESA.

Requisitos previos

Debe haber configurado un Decoder para datos de paquete HTTP. 

Debe haber configurado un analizador Lua o Flex HTTP.

Para obtener mejor rendimiento, habilite el servicio Context Hub. Esto permite crear una lista blanca.

Procedimiento: Configuración de detección de amenazas automatizadas

Este procedimiento proporciona los pasos necesarios para configurar la detección de amenazas automatizadas. 

Los pasos básicos necesarios son:

  1. Configurar los ajustes de WhoIs. El servicio Whois permite obtener datos exactos acerca de los dominios a los cuales se conecta. A fin de garantizar un puntaje eficaz, es importante configurar los ajustes del servicio Whois.
  2. Crear una lista blanca (opcional) mediante el servicio Context Hub. La creación de una lista blanca permite garantizar que los sitios web de acceso frecuente se excluyan del puntaje de la detección de amenazas automatizadas.
  3. Habilitar la detección de amenazas automatizadas para el ESA especificado. Debe habilitar la detección de amenazas automatizadas para cada ESA donde desea ejecutar el servicio. 
  4. Permitir una preparación de 24 horas y habilitar la regla del administrador de incidentes de C2.  Cuando se usa la detección de amenazas automatizadas, la preparación del algoritmo de puntaje demora aproximadamente 24 horas. Después de 24 horas, se habilita la regla C2 en el administrador de incidentes. 

Paso 1: Configurar los ajustes del servicio WhoIs para ESA

Los ajustes se configuran para permitir que ESA se conecte al servicio Whois. Esto permite que el servicio de ESA obtenga información detallada sobre el dominio que activa el puntaje de detección de amenazas automatizadas. 

  1. En Administration > Servicios, seleccione el servicio ESA y elija ic-actns.png > Ver > Explorar. 
  2. En el explorador, haga clic en Servicio > Whois > whoisClient.
  3. Configure los siguientes ajustes (tenga en cuenta que solo es necesario modificar los primeros dos parámetros. RSA recomienda usar los ajustes predeterminados para otros parámetros):
                                                             
ParámetroDescripción
whoisUserId

Se requiere lo siguiente:  Ingrese la credencial de autenticación para el servidor Whois de RSA. Es igual que el ID de usuario de RSA Live. Si no ha configurado una cuenta de RSA Live, deberá hacerlo. 

El valor predeterminado es "whois".

whoisPassword

Se requiere lo siguiente: Ingrese la credencial de autenticación para el servidor Whois de RSA. Es igual que la contraseña de RSA Live. Si no ha configurado una cuenta de RSA Live, deberá hacerlo. 

El valor predeterminado es nulo.

whoisUrl

Opcional: Ingrese la URL para obtener datos de Whois desde el servicio Whois de RSA. Tenga en cuenta que se requiere la barra diagonal final (“/”). De lo contrario, se producirá un error en las solicitudes.

 El valor predeterminado es: https://cms.netwitness.com/whois/query/

whoisAuthUrl

Opcional: Ingrese la URL para obtener los tokens de autenticación del servicio Whois de RSA.

El valor predeterminado es: https://cms.netwitness.com/authlive/authenticate/WHOIS

whoisAuthTokenLifespanSeconds 

Opcional: Ingrese la hora, en segundos, después de la cual se debe renovar un token de autenticación.

El valor predeterminado es 3300. 


whoisHttpsProxy

Opcional: Si las solicitudes de HTTP requieren un proxy, configúrelo en el mismo valor que se utiliza para el servicio RSA Live.  Solo debe usar este parámetro cuando insecureConnection está configurado en verdadero

El valor predeterminado es falso.

(Requiere el reinicio de ESA).

insecureConnection

Opcional:  Configure este parámetro en verdadero para permitir que la solicitud HTTP para el servicio Whois de RSA omita los certificados de SSL.  

Nota: Si se accede al servicio Whois de RSA mediante un proxy, este parámetro se debe configurar en verdadero.  

El valor predeterminado es falso.

(Requiere el reinicio de ESA).

allowedRequests

Opcional: Especifique cuántas consultas desea permitir antes de comenzar a regular el servicio Whois. Este parámetro funciona con allowedRequestsIntervalSeconds, donde se define el intervalo de consultas. Por ejemplo, si configura allowedRequests en 100 y allowedRequestsIntervalSeconds en 60, se permiten 100 solicitudes en un intervalo de 60 segundos.

El valor predeterminado es 100.

(Requiere el reinicio de ESA).

allowedRequestsIntervalSeconds

Opcional: Si configura el parámetro allowedRequests, también debe configurar este ajuste para determinar el intervalo. Este valor debe ajustarse para su ambiente.

 La configuración predeterminada es 60 segundos.

(Requiere el reinicio de ESA).

queueMaxSize

Opcional: Especifique el tamaño máximo de la línea de espera de los dominios cuya información se solicitará al servicio Whois de RSA.

El valor predeterminado es 100,000.

cacheMaxSize

Opcional: Especifique la cantidad máxima de entradas de Whois almacenadas en caché. Una vez que se alcance este límite, se quitará la entrada menos usada recientemente para dar espacio a una nueva entrada.

El valor predeterminado es 50,000.

(Requiere el reinicio de ESA).

refreshIntervalSeconds

Opcional: Especifique la cantidad de segundos del intervalo de actualización. Si la información de Whois solicitada se encuentra en la caché y la entrada de la caché superó la cantidad de segundos de permanencia especificada, la entrada se quita de la caché y el dominio vuelve a la línea de espera para su consulta. (La entrada de la caché vuelve a la solicitud que la identifica como obsoleta).

La configuración predeterminada es 2,592,000 segundos (30 días).

waitForHTTPRequest

Opcional: Requiere que ESA espere hasta que el servicio Whois responda antes de que complete la ejecución del EPL. Esto garantiza que los datos de Whois siempre se incluyan en los resultados, pero puede afectar negativamente el rendimiento debido a que el ESA queda en pausa hasta 30 segundos a la espera de la respuesta del servicio Whois.

Si no configura este ajuste y el tiempo de respuesta es lento, ESA completa la ejecución del análisis de un evento determinado sin los datos de Whois y calcula el puntaje sin ellos.

La configuración predeterminada es verdadero

Paso 2: Crear una lista blanca de dominios (opcional)

Nota: Este paso es opcional: Si utiliza el administrador de incidentes para administrar estos incidentes, también puede crear una lista blanca mediante el cierre de un incidente como falso positivo.  

Este procedimiento se utiliza cuando se trabaja con detección de amenazas automatizadas a fin de garantizar que determinados dominios no activen un puntaje de amenazas.  En ocasiones, un dominio al que se accede habitualmente puede activar un puntaje de detección de amenazas automatizadas. Por ejemplo, un servicio de clima podría tener un comportamiento de Beacon similar a una comunicación de comando y control, razón por la cual se activaría un puntaje negativo no justificado. Cuando sucede, esto se denomina un falso positivo. Para impedir la activación de un falso positivo con un dominio específico puede agregar el dominio a una lista blanca. La mayoría de los dominios no necesita estar en una lista blanca, porque la solución solo alerta sobre comportamientos muy sospechosos. Los dominios que tal vez desee incluir en la lista blanca son servicios automatizados válidos a los cuales se conectan unos pocos hosts.

 

Nota: Solo puede tener una instancia del servicio Context Hub habilitada en su implementación de Security Analytics. Si su servicio Context Hub se ejecuta en otro ESA, debe configurarlo para que se conecte al ESA que ejecuta el servicio Context Hub. Para obtener instrucciones, consulte “Configurar un ESA para que se conecte a Context Hub en otro ESA” en la Guía de configuración de Event Stream Analysis.

  1. Desde el servicio Context Hub, puede crear una lista y agregar dominios manualmente o puede cargar un archivo. CSV que contenga una lista de dominios. 
    1. En Administration > Servicios, seleccione el Context Hub.
    2. Seleccione el Context Hub y luegoic-actns.png Ver > Configurar
    3. Seleccione la pestaña Lista para abrir las listas para su edición. 
    4. En el panel izquierdo, haga clic en para agregar una lista. Ingrese un nombre para la lista y, a continuación, agregue dominios manualmente, para lo cual debe hacer clic en en el panel derecho.

Precaución: La lista blanca debe denominarse Dominios en lista blanca. De lo contrario, Context Hub no podrá procesarla como una lista blanca. 

  1. O bien, para importar un archivo .CSV, haga clic en y, en el cuadro de diálogo Importar archivo, vaya al archivo .CSV. Tenga en cuenta que el archivo debe denominarse Dominios en lista blanca. Elija entre los siguientes delimitadores: Coma, LF (salto de línea) y CR (retorno de carro), según cómo separa los valores en el archivo. A continuación, haga clic en Cargar
  2. Desde el servicio Context Hub, también puede modificar una lista blanca existente para agregar o quitar un dominio.  
  3. En el panel derecho, la opción Lista muestra la lista blanca de dominios existente.
  4. Haga clic en Dominios en lista blanca. Los valores de la lista blanca se muestran en el panel derecho. 

  1. Para agregar un dominio, haga clic en e ingrese el nombre del dominio.
  2. Para eliminar un dominio, selecciónelo y haga clic en.
  3. Para importar un archivo .CSV, haga clic en y, en el cuadro de diálogo Importar archivo, vaya al archivo .CSV. Seleccione uno de los siguientes delimitadores: Coma, LF (salto de línea) y CR (retorno de carro), según cómo separa los valores en el archivo. A continuación, haga clic en Cargar

Nota: Es importante configurar una lista blanca antes de habilitar la detección de amenazas automatizadas para asegurarse de que los dominios estén en la lista blanca antes de que comience el puntaje de amenazas. 

Paso 3: Habilitar la detección de amenazas automatizadas

  1. En Administration > Servicios, seleccione el servicio ESA y elija ic-actns.png > Ver > Configuración. 
  2. Haga clic en la pestaña Opciones avanzadas y seleccione Habilitar la detección de amenazas automatizadas, después haga clic en Aplicar.

La detección de amenazas automatizadas ahora está habilitada en el ESA seleccionado. 

Paso 4. Activar la regla de detección C2 en el administrador de incidentes

Habilite la regla de detección C2 en el administrador de incidentes

  1. En Incidentes > Configurar, seleccione Reglas de agregación.
  2. Seleccione la regla Comunicación de comando y control sospechosa por dominio y haga doble clic en ella para abrirla. 

  1. Haga clic en Activado y, a continuación, en Guardar

 La regla muestra un botón Habilitado en verde una vez que se habilita.

Resultado

Una vez que se habilita la detección de amenazas automatizadas, ESA comienza a ejecutar la analítica en el tráfico HTTP. Puede ver información detallada de cada incidente en la línea de espera de Incident Management. 

Los próximos pasos

Una vez que ha habilitado la regla, monitoree el administrador de incidentes para ver si se activa la regla. Si se activa la regla, siga los pasos de la sección siguiente para investigar el dominio asociado con la regla activada. 

Trabajar con resultados de detección de amenazas automatizadas

You are here
Table of Contents > Usar detección de amenazas automatizadas > Configurar la detección de amenazas automatizadas

Attachments

    Outcomes