MA: Configurar los indicadores de riesgo

Document created by RSA Information Design and Development on Feb 9, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

En este tema se presenta la configuración de los indicadores de riesgo (IOC) para los módulos de puntaje de Security Analytics Malware Analysis. Cada módulo de puntaje de Security Analytics Malware Analysis, Red, Estático, Comunidad, Sandbox y YARA, tiene un conjunto predeterminado de indicadores de riesgo (IOC) que usa para evaluar los datos de archivo y de sesión con el fin de evaluar la probabilidad de que incluyan malware.  A cada IOC se le asigna una ponderación de puntaje numérico que va desde -100 (bueno) a +100 (malo).  Cuando se activa un IOC, la ponderación de puntaje numérico se toma en cuenta en el puntaje total de la sesión o del archivo que se están analizando. Las ponderaciones de puntaje individual de todos los IOC coincidentes se suman para producir el puntaje resultante de cada sesión o archivo. El puntaje sumado se ajusta para garantizar que no supere el rango de puntaje válido (entre -100 y 100).

Nota: La ponderación de puntaje asignada a un IOC no siempre es el valor de puntaje explícito que se suma (no es una simple adición de ponderaciones de puntaje para cada IOC que se activa).  En lugar de eso, el puntaje de IOC es una ponderación o un indicador de importancia que se toma en cuenta para calcular un puntaje general.

Los ajustes de configuración de los indicadores de riesgo (IOC) para Security Analytics Malware Analysis se encuentran en la vista Configuración de servicios > pestaña Indicadores de riesgo. Este es un ejemplo de la pestaña.

Si usamos Community: hash de archivo: Archivo marcado con AntiVirus (proveedor principal) como ejemplo, la ponderación del puntaje de IOC podría definirse en 100.  Sin embargo, Security Analytics Malware Analysis diluye este valor en función del porcentaje de proveedores de antivirus principales que están de acuerdo en que la muestra es maliciosa. Mientras más cerca esté del 100 % de los proveedores que afirman que la muestra es maliciosa, más cerca está de usar los 100 puntos completos para la suma de un puntaje. A medida que el porcentaje se acerca a 0 %, la proporción de los 100 puntos completos que se usa en el puntaje sumado disminuye.  

Los IOC usan lógica implementada de forma nativa en Security Analytics Malware Analysis. No puede ajustar la lógica. En lugar de eso, solo puede ajustar el IOC para aumentar o disminuir su impacto en el puntaje, para indicar un ajuste de confianza o para activar o desactivar el IOC. El escenario típico es ajustar un conjunto limitado de valores de ponderación de puntaje de IOC hacia abajo para los IOC que inflan el puntaje final y producen resultados de análisis falsos positivos. Una versión extrema de ajuste sería desactivar los IOC por completo si constantemente contribuyen a entregar resultados falsos positivos. Además, esta flexibilidad le permite desactivar todos los IOC y seleccionar unos pocos para dejarlos activados. Por ejemplo, se pueden desactivar todos los IOC, excepto algunos pocos que detectan coincidencias con AntiVirus. Cuando usa Security Analytics Malware Analysis en esta configuración extremadamente limitada, puede reducir los resultados en Security Analytics Malware Analysis de tal manera que solo las coincidencias de antivirus conocidas generen resultados.

Puede configurar esta funcionalidad de diversas maneras:

  • Desactivar IOC de modo que no se evalúen como parte del módulo de puntaje al cual están asignados.
  • Ajustar la ponderación de puntaje de un IOC de manera que su impacto en el puntaje agregado aumente o disminuya.
  • Marcar los IOC que espera que sean indicadores importantes de malware y mostrar una marca de alta confianza (HC) en las sesiones que activen estos IOC en los resultados de Malware Analysis.
  • Personalizar los ajustes de puntaje y confianza de manera exclusiva para cada tipo de archivo que se analizará. Cada IOC tiene preasignado un tipo de archivo al cual se aplica. Los posibles valores son TODOS, PDF, MS Office y Windows PE.  El IOC con el tipo de archivo más pertinente se usa durante el análisis basado en archivo. Por ejemplo, si se analiza un PDF, se seleccionará un IOC con el tipo de archivo definido enPDF en lugar del mismo IOC con un tipo de archivo definido en TODOS. Si no se encuentra una coincidencia con un tipo de archivo específico, se selecciona el IOC que tenga el tipo de archivo definido en TODOS.
  • Buscar reglas para mostrar en la cuadrícula según una coincidencia con la descripción de la regla.

Filtrar IOC mostrados por módulo

Puede filtrar los IOC mostrados por módulo de puntaje: uno de los cuatro módulos incorporados o YARA. Los IOC basados en YARA se entrelazan con los IOC nativos con cada categoría. Aunque los IOC de YARA no se identifican como tales en las demás vistas, puede seleccionar YARA en la lista de selección de módulos para ver una lista de reglas YARA.

Para ver los IOC de uno o de los cuatro módulos de puntaje o de YARA:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. Seleccione un servicio Malware Analysis.
  3. En la fila, seleccione  > Ver > Configuración.
  4. Haga clic en la pestaña Indicadores de riesgo.
  5. En la lista de selección Módulo, seleccione Todos, NextGen, Estático, Community, Sandbox o Yara.
    Se muestran las reglas y los ajustes configurados del módulo. 

Filtrar módulos mostrados para mostrar solo los módulos modificados

La pestaña Indicadores de riesgo identifica visualmente los IOC que se modifican localmente. Cuando se ha modificado un IOC, por ejemplo, la ponderación del puntaje ha cambiado, y el nombre se muestra en rojo e incluye un indicador de modificación junto al nombre del IOC.  El indicador de modificación es ++ y se puede utilizar como un mecanismo de filtrado en la búsqueda de los IOC.  

Para limitar la visualización a los IOC modificados localmente:

  1. En el campo Descripción, ingrese ++.
  2. Haga clic en Buscar.
    La vista se filtra para mostrar solo los IOC modificados.

Activar y desactivar IOC para un módulo de puntaje

Cuando se desactiva un IOC, deja de afectar el puntaje agregado del módulo de puntaje al cual pertenece. Si el IOC tiene varias instancias (diferenciadas solo por el tipo de archivo), desactivar un IOC con un tipo de archivo más específico ocasiona el uso de la versión más independiente del IOC en el puntaje.

Por ejemplo, si existe el mismo IOC como tipo de archivo TODOS y tipo de archivo Windows PE, desactivar la instancia de Windows PE del IOC hace que se use la versión TODOS en el puntaje. Para desactivar por completo el IOC para Windows PE y dejarlo activado para otros tipos de archivo, defina la ponderación de puntaje de la instancia de Windows PE del IOC en un valor de cero, como se describe a continuación. Esto deja el IOC activado para los archivos de Windows PE (aunque tenga una ponderación de cero y no se muestre en los resultados de análisis), sin afectar los demás tipos de archivo. Los tipos de archivo restantes seguirán usando la instancia TODOS del IOC.

 

Para activar o desactivar un IOC de modo que ya no se tome en cuenta en un módulo de puntaje: 

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. Seleccione un servicio Malware Analysis y, en la fila, elija  > Ver > Configuración.
  3. Haga clic en la pestaña Indicadores de riesgo.
  4. En la lista de selección Módulo, seleccione un módulo de puntaje: Todos, Community, Red, Sandbox, Estático o Yara.
    Se muestran las reglas y los ajustes configurados del módulo.
  5. Realice una de las siguientes acciones
    1. Hacer clic en la casilla de verificación Activado en la columna que aparece junto a una regla que desee activar.
    2. Seleccione una o más reglas y haga clic en Activar o Desactivar en la barra de herramientas.
    3. Para alternar entre el estado activado y desactivado de todas las reglas que se muestran en la página, haga clic en la casilla de verificación Activado en el título de la columna.
    4. Para activar o desactivar todas las reglas del módulo de puntaje, haga clic en Activar todo o Desactivar todo en la barra de herramientas.
  6. Para guardar los cambios de la página, haga clic en Guardar en la barra de herramientas.

Nota: Las reglas cuyos ajustes cambiaron se muestran con una esquina roja. Si navega hacia otra página de reglas antes de guardar, todos los cambios en la página se pierden.

Ajustar la ponderación de puntaje de un IOC

Ajustar la ponderación de puntaje de un IOC aumenta o disminuye el impacto general del IOC en el puntaje agregado del módulo en el cual se configuró. Para aumentar o disminuir el impacto general del IOC, disminuya el valor actual a un nuevo ajuste.  

  • Los valores que van de -100 a -1 indican que la sesión o el archivo que se están analizando probablemente no tienen malware (-100 es la probabilidad más baja).
  • Los valores que van de 1 a 100 indican la probabilidad de que el archivo o la sesión que se están analizando sean malware (100 es la probabilidad más alta).  
  • Ajustar el valor en cero deja el IOC activado, pero hace que el IOC ya no afecte el puntaje agregado e impide que el IOC aparezca en los resultados de los análisis. Ajustar el valor en cero es un método que permite desactivar la instancia de un tipo de archivo específico de un IOC pero dejando la instancia general del tipo de archivo independiente de la regla intacta para el puntaje de los tipos de archivo restantes.

Para ajustar la ponderación de puntaje:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. Seleccione un servicio Malware Analysis.
  3. En la barra de herramientas, seleccione Ver > Configuración.
  4. Haga clic en la pestaña Indicadores de riesgo.
  5. En la lista de selección Módulo, seleccione un módulo de puntaje: Todos, Red, Estático, Community, Sandbox o Yara.
    Se muestran las reglas y los ajustes configurados del módulo.
  6. Realice una de las siguientes acciones
    1. Arrastre el control deslizante de puntaje hacia la izquierda o la derecha para disminuir o aumentar la ponderación de puntaje.
    2. Haga clic directamente en la ponderación de puntaje que se muestra e ingrese una nueva ponderación de puntaje.
  7. Para guardar los cambios de la página, haga clic en Guardar en la barra de herramientas.

Nota: Las reglas cuyos ajustes cambiaron se muestran con una esquina roja. Si navega hacia otra página de reglas antes de guardar, todos los cambios en la página se pierden.

Definir el indicador de Alta confianza para un IOC

La configuración de Alta confianza se usa como método para marcar IOC específicos como indicadores de alta confianza de que hay malware presente. Como ejemplo, el IOC Comunidad: hash de archivo: AntiVirus (proveedor principal) marcó con un indicador el archivo que tiene una baja probabilidad de ser un falso positivo, en combinación con una alta probabilidad de ser una medición precisa de la presencia de malware. Cuando se marca este IOC (y otros) como de Alta confianza, puede usar un filtro en los resultados de Security Analytics Malware Analysis para limitar la visualización solo a aquellas sesiones que incluyen una o más reglas de alta confianza. Al hacerlo, la pantalla se limita a un subconjunto más pequeño de resultados a cuya precisión se le otorga un grado más alto de confianza. Mostrar los resultados no limitados a IOC de alta confianza de todas maneras le permite revisar los resultados que no son totalmente claros. Esto proporciona resultados que son menos propensos a dar resultados falsos negativos. La decisión de filtrar o no los resultados según el nivel de confianza tiene un caso de uso válido en el flujo de trabajo de Security Analytics.

Para definir el indicador de Alta confianza:

  1. En la pestaña Indicadores de riesgo, seleccione un módulo de puntaje de la lista de selección Módulo: Todos, Red, Estático, Community, Sandbox o Yara.
    Se muestran las reglas y los ajustes configurados del módulo.
  2. Haga clic en la casilla de verificación Alta confianza en la columna que aparece junto a la regla que desea marcar o desmarcar como con alta probabilidad de indicar la presencia de malware en una sesión.
  3. Para guardar los cambios de la página, haga clic en Guardar en la barra de herramientas.

Nota: Las reglas cuyos ajustes cambiaron se muestran con una esquina roja. Si navega hacia otra página de reglas antes de guardar, todos los cambios en la página se pierden.

Restablecer los IOC a los valores predeterminados

  1. En la pestaña Indicadores de riesgo, seleccione un módulo de puntaje de la lista de selección Módulo: Todos, Red, Estático, Community, Sandbox o Yara.
    Se muestran las reglas y los ajustes configurados del módulo.
  2. Si desea restablecer todas las reglas de la página actual a sus valores predeterminados, haga clic en Restablecer en la barra de herramientas.
  3. Si desea restablecer todas las reglas del módulo de puntaje seleccionado a sus valores predeterminados, haga clic en Restablecer todo en la barra de herramientas.
  4. Para guardar los cambios de la página, haga clic en Guardar en la barra de herramientas.
You are here
Table of Contents > Configuración básica > Configurar los indicadores de riesgo

Attachments

    Outcomes