Decoder: Configurar reglas de correlación

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema, se presentan las reglas de correlación y se explican los procedimientos para crearlas.

Reglas de correlación básicas se aplican en el nivel de sesión y advierten al usuario sobre actividades específicas que pueden estar ocurriendo en su ambiente. Security Analytics aplica las reglas de correlación en una ventana de tiempo móvil configurable. Cuando se cumplen las condiciones, se crean metadatos de alerta para esta actividad y se muestra un indicador visible de la actividad sospechosa.

Reglas de correlación de muestra

Objetivo: En sesiones donde exista tcp.dstport, si hay alguna combinación de ip.src e ip.dst donde el conteo de instancias únicas de tcp.dstport > 5 dentro de 1 minuto, entonces generar una alerta. Para lograr este objetivo, cree una regla como la siguiente:

  • Nombre de la regla: Escaneo de puerto TCP vertical IPv6 5
  • Regla: tcp.dstport exists
  • Clave de instancia: ip.src,ip.dst
  • Umbral: u_count(tcp.dstport)>5
  • Ventana de tiempo: 1 minuto

Objetivo: En sesiones donde action==login y error==fail, si hay cualquier combinación de ip.src e ip.dst que aparezca en más de 10 sesiones dentro de 5 minutos, entonces generar una alerta. Para lograr este objetivo, cree una regla como la siguiente:

  • Nombre de la regla: Fuerza bruta potencia IPv4 10
  • Regla: action='login' && error='fail'
  • Clave de instancia: ip.src,ip.dst
  • Umbral: count()>10
  • Ventana de tiempo: 5 minutos

Explicación

Ambos ejemplos de reglas tienen la misma clave de instancia: ip.src e ip.dst. Dado que se buscan combinaciones únicas de ip.src e ip.dst que coincidan con la condición de correlación, ip.src e ip.dst son claves primarias.

El umbral puede incluir una clave asociada que identifica el tipo de metadatos que se cuenta para determinar si se cumple la condición. En el primer ejemplo, la clave asociada que se especifica en Umbral es tcp.dstport. Se cuentan las instancias únicas de tcp.dstport para cada par de ip.src/ip.dst. En el segundo ejemplo, la clave asociada no se especifica en el umbral porque se trata solamente de un conteo de sesiones. Es útil pensar en este escenario como un conteo de ID de sesión únicos y los metadatos asociados son implícitamente session.id. Se cuentan session.id únicos para cada par de ip.src/ip.dst.

Caso de uso no válido: En sesiones donde (regla), si hay cualquier combinación de ip.src e ip.dst que tenga un conteo único de ipv6.dst > 5 dentro de (ventana de tiempo), entonces generar alerta. Este caso no funciona porque la clave asociada ipv6.dst es un tipo de metadatos IPv6. Los tipos de metadatos IPv4 e IPv6 no se pueden usar como claves asociadas.

Procedimientos

Navegue a la pestaña Reglas de correlación

El primer paso para trabajar con reglas de correlación es acceder a la pestaña Reglas de correlación:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. Seleccione un servicio y elija Menú Acciones recortado > Ver > Configuración
    Se muestra la vista Configuración de servicios del servicio seleccionado.
  3. Seleccione la pestaña Reglas de correlación.

Agregar o editar una regla de correlación

  1. En la pestaña Reglas de correlación, realice una de las siguientes acciones:
  • Si desea agregar una regla nueva, haga clic enIcon-Add.png.
  • Si edita una regla, seleccione la regla en la cuadrícula de reglas y haga clic en icon-edit.png.
    Se abre el cuadro de diálogo Editor de regla con parámetros de reglas de correlación.
  1. En el campo Nombre de la regla, escriba un nombre para la regla. Por ejemplo, para crear la regla de muestra, Escaneo de puerto TCP vertical IPv6 5.
  2. En el campo Condición, cree la condición de la regla que desencadena una acción cuando hay una coincidencia. Puede escribir directamente en el campo o crear la condición en él mediante metadatos de las acciones de la ventana. A medida que crea la definición de la regla, Security Analytics muestra errores de sintaxis y advertencias. Por ejemplo, para crear la regla de muestra, escriba tcp.dstport exists. Cuando esta condición se cumpla, se llevará a cabo la acción de los datos de sesión.
    Todos los literales de cadena y los registros de fecha y hora deben ir entre comillas. No use comillas para los valores de número ni las direcciones IP. El tema Guía de reglas y consultas proporciona detalles adicionales.
  3. En el campo Umbral, use uno de los parámetros de umbral para especificar la cantidad mínima de apariciones que se necesitan para crear una sesión de correlación y una clave asociada, si es necesario. La clave asociada no puede ser un tipo de metadatos IPv4 o IPv6.
  • u_count(associated_key) = el conteo de valores únicos de la clave especificada
  • sum(associated_key) = los valores de la clave especificada
  • count = cantidad de sesiones (no hay una clave asociada especificada)
  1. En el campo Clave de instancia, seleccione el indicador de destino en el cual basar el evento. Puede ser una sola clave o una clave compuesta (dos claves principales, separadas por una coma).
  2. En Ventana de tiempo, defina el periodo durante el cual el umbral se debe alcanzar para crear una sesión de correlación.
  3. Para guardar la regla y agregarla a la cuadrícula, haga clic en Aceptar.
    La regla se agrega al final de la cuadrícula o se inserta donde especificó en el menú contextual. Se muestra el signo más en la columna Pendiente.
  4. Verifique que la regla está en la secuencia de ejecución correcta con otras reglas en la cuadrícula. Si es necesario, transfiera la regla.
  5. Para aplicar el conjunto de reglas actualizadas al servicio, haga clic en Aplicar.

    Security Analytics guarda una instantánea de las reglas aplicadas actualmente y, a continuación, aplica el conjunto actualizado al Decoder o al Log Decoder.
You are here
Table of Contents > Procedimientos requeridos > Paso 4. Configurar reglas de Decoder > Decoder: Configurar reglas de correlación

Attachments

    Outcomes