Alerting: Paso 2. Crear una declaración de regla

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

 

En este tema se proporcionan instrucciones para definir criterios de regla en el generador de reglas mediante la adición de declaraciones. Una declaración es una agrupación lógica de criterios de regla en el generador de reglas. Las declaraciones se agregan para definir lo que detecta una regla. 

Ejemplo

En el siguiente gráfico se muestra un ejemplo de una declaración del generador de reglas.

Cada declaración contiene una clave y un valor. A continuación se crea la lógica en torno al par mediante la selección de una opción en cada uno de los campos.
BldStmnt_Red.png

Requisitos previos

Para crear una declaración de regla, debe conocer la clave de metadatos y el valor de metadatos.
Para obtener una lista completa de claves de metadatos, vaya a Alertas > Configurar > Ajustes de configuración > Referencias de claves de metadatos.

Procedimiento

Para crear una declaración de regla:

  1. En el menú de Security Analytics, seleccione Alertas > Configurar.

    La pestaña Reglas se muestra de manera predeterminada.

  2. En la Biblioteca de reglas, haga clic en Menú desplegable Agregar > Generador de reglas o edite una regla del generador de reglas existente.

    Se muestra la vista Generador de reglas.

  3. En la sección Condiciones, haga clic en Ícono Agregar.

    Se muestra el cuadro de diálogo Crear declaración.

    BldStmntDg.png

  4. Dé un Nombre a la declaración. Sea claro y específico. El nombre de la declaración aparecerá en el generador de reglas.
  5. En la lista desplegable, seleccione las circunstancias que requiere la regla:

    • si se cumplen todas las condiciones
    • si se cumple una de estas condiciones
  6. Especifique los criterios para la declaración:

    1. En Clave, escriba el nombre de la Clave de metadatos.
    2. En Operador, especifique la relación entre la clave de metadatos y el valor que proporcionará para ella.
      Las opciones son: es, no es, no es nulo, es mayor que (>), es mayor o igual que (>=), es menor que (<), es menor o igual que (<=), contiene, no contiene, comienza con y termina con
    3. Escriba el Valor para la clave de metadatos.
      No escriba el valor entre comillas. Separe varios valores con una coma.
    4. El campo ¿Omitir mayúsculas y minúsculas? está diseñado para su uso con valores de cadenas y matrices de cadenas. Cuando se selecciona el campo Omitir mayúsculas y minúsculas, la consulta trata todo el texto de la cadena como un valor en minúscula.  Esto garantiza la activación de una regla que busca el nombre de usuario Johnson si el evento contiene “johnson”, “JOHNSON” o “JoHnSoN”.
    5. El campo ¿Arreglo? indica si el contenido del campo Valor representa un valor o más.

      Seleccione la casilla de verificación Arreglo si ingresó varios valores separados por comas en el campo Valor. Por ejemplo, “ec_activity is Logon, Logoff” requiere que se seleccione la casilla de verificación Arreglo.

  7. Para usar otra clave de metadatos en la declaración, haga clic en Ícono Agregar, seleccione Agregar condición de metadatos y repita el paso 6. 
  8. Para agregar una lista blanca, haga clic en Ícono Agregar y seleccione Agregar condición de lista blanca.
  9. Para agregar una lista negra, haga clic en Ícono Agregar y seleccione Agregar condición de lista negra.
  10. Para guardar la declaración, haga clic en Guardar

Para agregar una lista blanca

Utilice una lista blanca para asegurarse de que los eventos especificados se excluyan de la activación de la regla.  Las listas blancas se pueden basar en la ubicación geográfica o en orígenes de CSV de enriquecimiento definidos por el cliente. Por ejemplo, si desea crear una regla que solo se active para direcciones IP fuera de los Estados Unidos, puede crear una lista blanca de direcciones IP de los Estados Unidos.

  1. Después de agregar una condición de metadatos, haga clic en Ícono Agregar y seleccione Agregar condición de lista blanca.
  2. En el campo Ingresar nombre de lista blanca, seleccione un origen de enriquecimiento. Cualquier origen de enriquecimiento cargado a partir de un CSV o de una ventana con nombre en Esper puede utilizarse como origen para una lista blanca. 
  3. Si usó un origen de GeoIP para la lista blanca, ipv4 se ingresa automáticamente para la subcondición. Ingrese el valor de metadatos para el campo de valor correspondiente. Por ejemplo, ingrese ipv4 is ip_src para asegurarse de que los registros de GeoIP se seleccionen en función del ip_src que se encuentra en la base de datos de búsqueda de GeoIP. Además, si utilizó un origen de GeoIP para la lista blanca, es posible que desee agregar una subcondición para especificar la región geográfica que desea excluir de los resultados de la regla. Por ejemplo, para especificar que el código de país debe ser USA, escriba “CountryCode is US”.

Para agregar una lista negra

Utilice una lista negra para asegurarse de que los eventos especificados activen la regla. Las listas negras se pueden basar en la ubicación geográfica o en orígenes CSV de enriquecimiento definidos por el cliente. Por ejemplo, puede especificar que la regla solo incluya los resultados de Alemania. 

  1. Después de agregar una condición de metadatos, haga clic en Ícono Agregar y seleccione Agregar condición de lista negra.
  2. En el campo Ingresar nombre de lista negra, seleccione un origen de enriquecimiento. Cualquier origen de enriquecimiento cargado a partir de un CSV o de una ventana con nombre en Esper puede utilizarse como origen para una lista negra. 
  3. Si usó un origen de GeoIP para la lista negra, ipv4 se ingresa automáticamente para la subcondición. Ingrese el valor de metadatos para el campo de valor correspondiente. Por ejemplo, ingrese ipv4 is ip_src para asegurarse de que los registros de GeoIP se seleccionen en función del ip_src que se encuentra en la base de datos de búsqueda de GeoIP. Además, si utilizó un origen de GeoIP para la lista negra, es posible que desee agregar una subcondición para especificar la región geográfica que desea incluir en los resultados de la regla. Por ejemplo, para especificar que la regla solo incluya los resultados para Alemania, ingrese “CountryCode is DE”.

Ejemplo: Lista negra

A continuación se muestra una declaración de lista negra para una regla que monitorea tráfico no SMTP en el puerto de destino TCP 25 que contiene un archivo ejecutable de países que se encuentran fuera de los Estados Unidos. 

Blacklist_example.png

                                 
 DeclaraciónDescripción
el servicio no es 25El tráfico no es SMTP. 
tcp_dstport es 25El tráfico se ejecuta en el puerto TCP 25. 
la extensión es exe, com, vb, vbs, vbe, cmd, bat, ws, wsf, src, shLa extensión del archivo es un archivo ejecutable.
GeoIpLookupLa lista negra se basa en un origen GeoIPLookup.
ipv4 is ip_srcLos registros de GeoIP se seleccionan en función del ip_src que se encuentra en la base de datos de búsqueda de GeoIP. 
el código de país no es US Cuando se busca la dirección IP Event.ip_src en la base de datos de GeoIP, el registro que se devuelve no contiene “US” en el campo countryCode.

Ejemplo: Omisión de mayúsculas y minúsculas, coincidencia estricta de patrones y uso del operador No es nulo

En el siguiente ejemplo se utiliza la capacidad de omitir mayúsculas y minúsculas, excluir valores nulos y crear una coincidencia estricta de patrones para asegurarse de que se devuelvan los resultados esperados de la regla. La regla se compone de las siguientes condiciones:

5f_1s_PaswrdChngeRule.png

                                 
Condición de la reglaDescripción
FallasEsta condición busca cinco inicios de sesión fallidos con un conector “seguido de”, lo que significa que a la condición (Fallas) le debe seguir la siguiente condición (Satisfactorio).
SatisfactorioEsta condición busca un inicio de sesión satisfactorio. 
Modificar contraseñaEsta condición busca una instancia donde se modifica la contraseña.
Agrupar por: user_dstEl campo Agrupar por garantiza que todas las condiciones anteriores se agrupen por los metadatos user_dst (la cuenta de destino del usuario). Esto es importante para la construcción de la regla porque la regla intenta encontrar un caso donde un usuario intentó iniciar sesión en la misma cuenta de destino varias veces, finalmente inició sesión correctamente y, a continuación, cambió la contraseña. La regla puede dar resultados inesperados si no se agrupa por la cuenta de usuario de destino. 
Ocurre dentro de 5 minutosLa ventana de tiempo para que se produzcan los eventos es cinco minutos. Si se producen los eventos fuera de esta ventana de tiempo, la regla no se activa. 
Secuencia de eventos: StrictLa secuencia de eventos está configurada para una coincidencia estricta de patrones. Esto significa que el patrón debe coincidir exactamente como se especifica, sin eventos intermedios. 

La coincidencia estricta de patrones le permite asegurarse de que el motor de Esper solo genera alertas para las reglas que coincidan exactamente con el patrón que desea buscar. Por ejemplo, es posible que una regla común busque cinco inicios de sesión fallidos seguidos de un inicio de sesión correcto. Si selecciona a una coincidencia flexible de patrones, esta regla se activará si hay una cantidad cualquiera de inicios de sesión correctos entre los inicios de sesión fallidos. Dado que el punto de la regla es encontrar intentos de inicio de sesión frecuentes y secuenciales, se requiere una coincidencia estricta para asegurarse de obtener los resultados que se esperan. 

Nota: Cada una de estas condiciones se explica más detalladamente en las secciones siguientes. 

Para cada condición, se crea una declaración en el generador de reglas. La siguiente declaración compone la condición de fallas:

RB_Failure_Stmnt.png

                     
Declaración de reglaDescripción
ec-activity es inicio de sesión (omitir mayúsculas y minúsculas)Identifica una actividad que intenta iniciar sesión en un sistema.

El campo Omitir mayúsculas y minúsculas está diseñado para su uso con valores de cadenas y matrices de cadenas. Cuando se selecciona el campo Omitir mayúsculas y minúsculas, la consulta trata todo el texto de la cadena como un valor en minúscula.  Puede utilizar este campo si no está seguro de usar mayúsculas o minúsculas para registrar un evento específico. Debido a que se omite el uso de mayúsculas o minúsculas, la regla puede activarse si la actividad se registra como Inicio de sesión, inicio de sesión o InicioSesión.

ec_outcome es falla (omitir mayúsculas y minúsculas)Identifica el resultado de una actividad registrado como “falla”. Debido a que se omite el uso de mayúsculas o minúsculas, la regla se puede activar si la actividad se registra como “falla”, “Falla” o “FaLla”.
user_dst no es nuloGarantiza que la condición solo es verdadera si se completa user_dst.

El operador no es nulo permite asegurarse de que un campo devuelva un valor. Puede utilizar este campo cuando una regla depende de que un campo específico devuelva un valor. Por ejemplo, desea crear una regla que identifique al mismo usuario que intenta iniciar sesión varias veces en la misma cuenta de destino (potencialmente un ataque de pruebas para adivinar contraseñas). Si el campo que representa la cuenta de destino del usuario está vacío, no desea que se active la regla. Para asegurarse de que el campo contenga un valor, se utiliza el operador no es nulo

 

La siguiente declaración compone la condición de éxito:

RB_Success_Stmnt.png

                     
Declaración de reglaDescripción
ec_activity es inicio de sesiónIdentifica la actividad de inicio de sesión. 
ec_outcome es éxitoIdentifica un inicio de sesión correcto.
user_dst no es nuloGarantiza que el campo de la cuenta de destino del usuario deba completarse para que la condición sea verdadera. 

 

La siguiente declaración forma la condición Modificar contraseña:

RB_Modify_Stmnt.png

 
Declaración de reglaDescripción
user_dst no es nuloGarantiza que el campo de la cuenta de destino del usuario deba completarse para que la condición sea verdadera. 
ec_subject es contraseñaIdentifica al sujeto de una contraseña. 
ec_activity es modificarIdentifica actividad en la cual se modificó la contraseña. 

Ejemplo de resultados

Cuando se activa la alerta para la regla de ejemplo, puede ver que la regla se activa para siete eventos y que cada evento contiene un usuario. También puede ver que los eventos siguen un patrón estricto: cinco eventos de inicio de sesión fallidos, seguidos de un evento de inicio de sesión correcto, seguido de una modificación en la cuenta. 

5f_1s_PaswrdChngeAlert.png

Cuando desglosa el módulo Investigation haciendo clic en el origen de uno de los eventos, puede ver el uso de minúscula o mayúscula de cada uno de los valores de cadena. Debido a que utilizó Omitir mayúsculas y minúsculas, la regla se activaría si los valores de cadena estuvieran en mayúsculas o minúsculas. 

5f_1s_PaswrdChngeDetail.png

Ejemplo: Agrupación de los resultados de regla

El campo Agrupar por permite agrupar y filtrar los resultados de la regla. Por ejemplo, suponga que hay tres cuentas de usuario; Joe, Jane y John y se utilizan los metadatos Agrupar por, user_dst. El resultado mostrará eventos agrupados bajo las cuentas de Joe, Jane y John.

También puede agrupar por varias claves, que pueden filtrar aún más los resultados de la regla. Por ejemplo, es posible que desee agrupar por la cuenta de destino y la máquina del usuario para ver si un usuario que inició sesión en la misma cuenta de destino desde la misma máquina intenta iniciar sesión varias veces en una cuenta.  Para hacerlo, puede agrupar por device_class y user_dst.

En el siguiente ejemplo se muestra una regla agrupada por device_class y user_dst. 

5f_1s_MultiGrpByRule.png

Condición de la reglaDescripción
Inicios de sesión fallidosIdentifica cinco intentos de inicio de sesión fallidos (les debe seguir la condición siguiente; es decir, después de los cinco inicios de sesión fallidos debe haber un inicio de sesión correcto).
Inicio de sesión correctoIdentifica un inicio de sesión correcto. 
Agrupar por: user_dst y device_classAgrupa los resultados de la regla por user_dst (cuenta de destino del usuario) y device_class (tipo de máquina en que el usuario inicia sesión). Esto permite que la regla busque un usuario que inició sesión en la misma máquina y en la misma cuenta de destino, lo que genera un resultado de la regla mucho más específico. 
Se produce dentro de 5 minutos con una coincidencia estricta de patronesLos eventos deben ocurrir dentro de cinco minutos y la coincidencia de patrones es estricta, lo que significa que debe seguir el patrón exactamente para que se active la regla. 

Ejemplo: Trabajar con los operadores numéricos

Los operadores numéricos le permiten escribir reglas con valores numéricos como, por ejemplo, especificar que un valor sea mayor que, menor que o igual a un valor específico. Esto es especialmente útil en los casos donde desea especificar un umbral numérico, es decir, la carga útil es mayor que 7,000

En el siguiente ejemplo se intenta identificar una transferencia de datos a un determinado destino a través de puertos comunes donde el tamaño de la transferencia es alto y la carga útil está en un rango sospechoso.

BldStmnt_SuspTrans.png

Declaración de reglaDescripción
ip_dst es 10.10.10.1El puerto de destino es 10.10.10.1.
ip_dstport es mayor o igual que 1,024El puerto de destino está en un rango de puertos de uso común, 1,024 o superior.
el tamaño es mayor o igual que 10,000El tamaño de la transferencia es 10,000 o superior, lo cual es una transferencia sospechosamente grande. 
la carga útil es mayor que 7,000La carga útil está entre 7,000 y 8,000, lo cual es una carga útil sospechosamente grande. 
la carga útil es menor que 8,000La carga útil está entre 7,000 y 8,000, lo cual es una carga útil sospechosamente grande. 
You are here
Table of Contents > Agregar reglas a la Biblioteca de reglas > Agregar una regla del generador de reglas > Paso 2. Crear una declaración de regla

Attachments

    Outcomes