Warnmeldungen: Schritt 2. Erstellen einer Regelanweisung

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

In diesem Thema wird erläutert, wie Sie in der Regelerstellung durch Hinzufügen von Anweisungen Regelkriterien definieren. Eine Anweisung ist eine logische Gruppierung von Regelkriterien in der Regelerstellung. Sie fügen Anweisungen hinzu, um zu definieren, was eine Regel erkennen soll. 

Beispiel

Die folgende Grafik zeigt ein Beispiel für eine Anweisung in der Regelerstellung.

Jede Anweisung enthält einen Schlüssel und einen Wert. Dann erstellen Sie eine Logik um dieses Paar. Dazu wählen Sie eine Option in den anderen Feldern aus.

„Anweisung erstellen“, zeigt die Schlüssel- und Wertefelder

Voraussetzungen

Zum Erstellen einer Regelanweisung müssen Sie den Metaschlüssel und den Metawert kennen.
Eine vollständige Liste der Metaschlüssel finden Sie unter Konfigurieren > ESA-Regeln > Einstellungen > Metaschlüsselverweise.

Verfahren

So erstellen Sie eine Regelanweisung:

  1. Navigieren Sie zu Konfigurieren > ESA-Regeln.

    Die Registerkarte „Regeln“ wird standardmäßig angezeigt.

  2. Klicken Sie in der Regelbibliothek auf Hinzufügen eines Listensymbols > Regelerstellung oder bearbeiten Sie eine vorhandene Regelerstellungsregel.

    Die Ansicht „Regelerstellung“ wird angezeigt.

  3. Klicken Sie im Abschnitt Bedingungen auf Hinzufügen-Symbol.

    Die Ansicht „Anweisung erstellen“ wird angezeigt.

    Dialogfeld „Anweisung erstellen“

  4. Geben Sie einen eindeutigen und genauen Namen für die Anweisung ein. Der Anweisungsname wird in der Regelerstellung angezeigt.
  5. Wählen Sie in der Drop-down-Liste die Bedingungen aus, die für die Regel erforderlich sind:

    • wenn alle Bedingungen erfüllt sind
    • wenn eine dieser Bedingungen erfüllt ist
  6. Geben Sie die Kriterien für die Anweisung an:

    1. Geben Sie für Schlüssel den Namen des Metaschlüssels ein.
    2. Geben Sie als Operator die Beziehung zwischen dem Metaschlüssel und dem Wert ein, den Sie für den Schlüssel angeben.
      Die Optionen sind: ist, ist nicht, ist nicht null, ist größer als (>), ist größer oder gleich (>=), ist kleiner als (<), ist kleiner oder gleich (<=), enthält ,enthält nicht, beginnt mit, endet mit
    3. Geben Sie den Wert für den Metaschlüssel ein.
      Der Wert darf nicht in Anführungszeichen eingeschlossen sein. Trennen Sie mehrere Werte durch Kommata.
    4. Das Kontrollkästchen Groß-/Kleinschreibung ignorieren? ist für die Verwendung mit Zeichenfolgewerten und Zeichenfolgearray-Werten vorgesehen. Wenn Sie das Kontrollkästchen Groß-/Kleinschreibung ignorieren aktivieren, behandelt die Abfrage den gesamten Zeichenfolgetext als Wert in Kleinbuchstaben.  Dadurch wird sichergestellt, dass eine Regel, die nach einem Benutzer namens „Johnson“ sucht, Ereignisse auch dann findet,wenn sie „johnson“, „JOHNSON“ oder „JoHnSoN“ enthalten.
    5. Das Kontrollkästchen Array? gibt an, ob der Inhalt des Felds „Wert“ einen oder mehrere Werte darstellt.

      Aktivieren Sie das Kontrollkästchen „Array“, wenn Sie mehrere durch Komma getrennte Werte im Feld Wert eingegeben haben. Zum Beispiel erfordert „ec_activity is Logon, Logoff“, dass Sie das Kontrollkästchen „Array“ aktivieren.

  7. Wenn Sie andere Metaschlüssel in der Anweisung verwenden möchten, klicken Sie auf Hinzufügen-Symbol, wählen Sie Metabedingung hinzufügen aus und wiederholen Sie Schritt 6. 
  8. Klicken Sie zum Hinzufügen einer Whitelist auf Hinzufügen-Symbol und wählen Sie Whitelist-Bedingung hinzufügen aus.
  9. Klicken Sie auf Hinzufügen-Symbol und wählen Sie Blacklist-Bedingung hinzufügen aus, um eine Blacklist hinzuzufügen.
  10. Klicken Sie zum Speichern der Anweisung auf Speichern

So fügen Sie eine Whitelist hinzu

Verwenden Sie eine Whitelist, um sicherzustellen, dass angegebene Ereignisse vom Auslösen der Regel ausgeschlossen sind.  Whitelists können entweder auf dem geografischen Standort oder auf vom Kunden definierten CSV-Erweiterungsquellen basieren. Beispiel: Wenn Sie eine Regel erstellen möchten, die nur von IP-Adressen außerhalb der USA ausgelöst wird, können Sie eine Whitelist mit US-IP-Adressen erstellen.

  1. Nachdem Sie eine Metabedingung hinzugefügt haben, klicken Sie auf Hinzufügen eines Symbols und wählen Sie Whitelist-Bedingung hinzufügen aus.
  2. Wählen Sie im Feld Namen für Whitelist eingeben eine Erweiterungsquelle aus. Jede Erweiterungsquelle, die aus einer CSV-Datei oder einem benannten Fenster in Esper geladen wurde, kann als Quelle für eine Whitelist verwendet werden. 
  3. Wenn Sie eine GeoIP-Quelle für die Whitelist verwendet haben, wird ipv4 automatisch für die Teilbedingung eingegeben. Geben Sie den Metawert für das entsprechende Wertefeld ein. Geben Sie zum Beispiel ipv4 is ip_src ein, um dafür zu sorgen, dass die GeoIP-Datensätze basierend auf der ip_src ausgewählt werden, die in der GeoIP-Abfragedatenbank gefunden werden. Wenn Sie eine GeoIP-Quelle für die Whitelist verwendet haben, sollten Sie gegebenenfalls auch eine Teilbedingung hinzufügen, um die geografische Region anzugeben, die aus den Regelergebnissen ausgeschlossen werden soll. Wenn Sie beispielsweise angeben möchten, dass der Ländercode „USA“ sein muss, geben Sie CountryCode is US ein.

So fügen Sie eine Blacklist hinzu

Eine Blacklist wird verwendet, um sicherzustellen, dass angegebene Ereignisse die Regel auslösen. Blacklists können entweder auf dem geografischen Standort oder auf vom Kunden definierten CSV-Erweiterungsquellen basieren. Zum Beispiel können Sie angeben, dass die Regel nur Ergebnisse aus Deutschland beinhaltet.

  1. Nachdem Sie eine Metabedingung hinzugefügt haben, klicken Sie auf Hinzufügen eines Symbols und wählen Sie Blacklist-Bedingung hinzufügen aus.
  2. Wählen Sie im Feld Namen für Blacklist eingeben eine Erweiterungsquelle aus. Jede Erweiterungsquelle, die aus einer CSV- oder einem benannten Fenster in Esper geladen wurde, kann als Quelle für eine Blacklist verwendet werden. 
  3. Wenn Sie eine GeoIP-Quelle für die Blacklist verwendet haben, wird ipv4 automatisch für die Teilbedingung eingegeben. Geben Sie den Metawert für das entsprechende Wertefeld ein. Geben Sie zum Beispiel „ipv4 is ip_src“ ein, um dafür zu sorgen, dass die GeoIP-Datensätze basierend auf der ip_src ausgewählt werden, die in der GeoIP-Abfragedatenbank gefunden wird. Wenn Sie eine GeoIP-Quelle für die Blacklist verwendet haben, möchten Sie möglicherweise eine Teilbedingung hinzufügen, um die geografische Region anzugeben, die in die Regelergebnisse eingeschlossen werden soll. Um anzugeben, dass die Regel nur Ergebnisse für Deutschland enthält, geben Sie beispielsweise „CountryCode is DE“ ein.

Beispiel: Blacklist

Die folgende Anweisung zeigt eine Blacklist-Anweisung für eine Regel, die Nicht-SMTP-Datenverkehr auf TCP-Zielport 25 daraufhin überwacht, ob er ausführbare Dateien aus Ländern außerhalb der USA enthält. 

Beispiel für Blacklist

                                   
 AnweisungBeschreibung
service is not 25Der Datenverkehr ist nicht SMTP-Datenverkehr. 
tcp_dstport is 25Der Datenverkehr wird auf TCP-Port 25 ausgeführt. 
extension is exe, com,vb,vbs,vbe,cmd,bat,ws,wsf,src,shDie Dateierweiterung weist auf eine ausführbare Datei hin.
GeoIpLookupDie Blacklist basiert auf einer GeoIPLookup-Quelle.
ipv4 is ip_srcDie GeoIP-Datensätze werden basierend auf der ip_src ausgewählt, die in der GeoIP-Abfragedatenbank gefunden wird. 
countryCode is not US Bei der Abfrage der IP-Adresse „Event.ip_src“ in der GeoIP-Datenbank enthält der zurückgegebene Datensatz nicht „US“ im Feld „countryCode“.

Beispiel: Groß-/Kleinschreibung ignorieren, strenge Musterübereinstimmung und Operator Is Not Null

Im folgenden Beispiel wird die Groß-/Kleinschreibung ignoriert, NULL-Werte werden ausgeschlossen und es gilt eine strenge Musterübereinstimmung, um sicherzustellen, dass die erwarteten Regelergebnisse zurückgegeben werden. Die Regel besteht aus den folgenden Bedingungen:

Bedingungen, z. B. mit „Ist-nicht-Null“-Operator

                                   
RegelbedingungBeschreibung
FailuresDiese Bedingung sucht nach 5 fehlgeschlagenen Anmeldungen mit einem „followed by“-Connector. Das bedeutet, dass der Bedingung (Fehler) die nächste Bedingung (Erfolg) folgen muss.
SuccessDiese Bedingung sucht nach einer erfolgreichen Anmeldung. 
ModifyPasswordDiese Bedingung sucht nach einer Instanz, in der das Passwort geändert wird.
Gruppieren nach: user_dst, GeräteklasseDas Feld „Gruppieren nach“ sorgt dafür, dass alle vorherigen Bedingungen nach dem Metawert „user_dst“ (dem Benutzerzielkonto) und der Geräteklasse gruppiert werden. Dies ist wichtig für die Erstellung der Regel, da die Regel versucht, einen Fall zu finden, in dem ein Benutzer mehrere Male versucht hat, sich bei dem gleichen Zielkonto anzumelden, sich dann schließlich erfolgreich angemeldet und dann das Kennwort geändert hat. Durch das Gruppieren nach Geräteklasse wird sichergestellt, dass der Benutzer, der an demselben Computer angemeldet ist, mehrmals versucht hat, sich an einem Konto anzumelden. Die Regel gibt möglicherweise unerwartete Ergebnisse zurück, wenn Sie die Ergebnisse nicht gruppieren.
Auftreten innerhalb 5 MinutenDas Zeitfenster für das Eintreten des Ereignisses beträgt 5 Minuten. Wenn die Ereignisse außerhalb dieses Zeitfensters auftreten, wird die Regel nicht ausgelöst. 
Ereignissequenz: StriktDie Ereignissequenz wird für eine strenge Musterübereinstimmung konfiguriert. Das bedeutet, dass das Muster genau wie angegeben übereinstimmen muss, ohne dazwischen vorkommende Ereignisse. 

Strenge Musterübereinstimmung erlaubt Ihnen sicherzustellen, dass die Esper-Engine nur Warnmeldungen für Regeln erzeugt, die genau dem Muster entsprechen, das Sie suchen. Beispielsweise könnte es eine allgemeine Regel sein, nach 5 fehlgeschlagenen Anmeldungen gefolgt von einer erfolgreichen Anmeldung zu suchen. Wenn Sie eine variable Musterübereinstimmung auswählen, wird diese Regel ausgelöst, wenn es eine beliebige Anzahl erfolgreicher Anmeldungen zwischen den fehlgeschlagenen Anmeldungen gibt. Da es bei der Regel darum geht, häufige und aufeinanderfolgende Anmeldeversuche zu finden, ist eine strenge Übereinstimmung erforderlich, um sicherzustellen, dass Sie die Ergebnisse erhalten, die Sie erwarten. 

Hinweis: Jede dieser Bedingungen wird in den folgenden Abschnitten ausführlich beschrieben. 

Für jede einzelne Bedingung wird eine Anweisung in der Regelerstellung erstellt. Die folgende Anweisung ergibt die Bedingung „Failures“:

Regelerstellung Fehler-Anweisung

                       
RegelanweisungBeschreibung
ec-activity is Logon (Groß-/Kleinschreibung ignorieren)Identifiziert die Aktivität des Versuchs, sich bei einem System anzumelden

Das Kontrollkästchen Groß-/Kleinschreibung ignorieren? ist für die Verwendung mit Zeichenfolgewerten und Zeichenfolgearray-Werten vorgesehen. Wenn Sie das Kontrollkästchen Groß-/Kleinschreibung ignorieren aktivieren, behandelt die Abfrage den gesamten Zeichenfolgetext als Wert in Kleinbuchstaben.  Sie können dieses Kontrollkästchen verwenden, wenn Sie unsicher sind, ob ein bestimmtes Ereignis mit Groß- oder Kleinschreibung protokolliert wird. Da die Groß-/Kleinschreibung ignoriert wird, wird die Regel ausgelöst, wenn die Aktivität als „Logon“, „logon“ oder „LoGoN“ protokolliert wird.

ec_outcome is Failure (Groß-/Kleinschreibung ignorieren)Identifiziert, dass das Ergebnis der Aktivität als „failure“ protokolliert wird. Da die Groß-/Kleinschreibung ignoriert wird, wird die Regel ausgelöst, wenn die Aktivität als „Failure“, „failure“ oder „FaiLuRe“ protokolliert wird.
user_dst is not nullSorgt dafür, dass die Bedingung nur wahr ist, wenn user_dst einen Wert besitzt.

Mit dem Operator is not null können Sie sicherstellen, dass ein Feld einen Wert zurückgibt. Sie können dieses Feld verwenden, wenn eine Regel davon abhängt, dass ein bestimmtes Feld einen Wert zurückgibt. Beispielsweise möchten Sie eventuell eine Regel erstellen, die denselben Benutzer identifiziert, der mehrmals versucht, sich an demselben Zielkonto anzumelden (möglicherweise also der Versuch, das Passwort zu erraten). Wenn das Feld, das das Benutzerzielkonto repräsentiert, leer ist, möchten Sie nicht, dass die Regel ausgelöst wird. Verwenden Sie den Operator is not null, um sicherzustellen, dass das Feld einen Wert enthält. 

 

Die folgende Anweisung ergibt die Bedingung „Erfolg“:

Regelerstellung Erfolg-Anweisung

                     
RegelanweisungBeschreibung
ec_activity is LogonIdentifiziert eine Anmeldeaktivität. 
ec_outcome is SuccessIdentifiziert eine Anmeldung, die erfolgreich abgeschlossen wurde
user_dst is not nullStellt sicher, dass das Feld für das Benutzerzielkonto ausgefüllt ist, damit die Bedingung wahr sein kann 

 

Die folgende Anweisung ergibt die Bedingung „ModifyPassword“:

Regelerstellung Änderungsanweisung

 
RegelanweisungBeschreibung
user_dst is not nullStellt sicher, dass das Feld für das Benutzerzielkonto ausgefüllt ist, damit die Bedingung wahr sein kann 
ec_subject is PasswordIdentifiziert ein Element als Passwort. 
ec_activity is ModifyIdentifiziert die Aktivität, mit der das Passwort geändert wurde 

Beispielergebnisse

Wenn die Warnmeldung für die Beispielregel ausgelöst wird, sehen Sie, dass die Regel für 7 Ereignisse ausgelöst wurde und dass jedes Ereignis einen Benutzer enthält. Sie können auch sehen, dass die Ereignisse einem strengen Muster folgen: 5 fehlgeschlagene Anmeldungsereignisse, gefolgt von einem erfolgreichen Anmeldungsereignis, gefolgt von einer Änderung am Konto. 

Die folgende Abbildung zeigt die Warnmeldung in der Listenansicht „Reaktionen auf Warnmeldungen“.

Beispielergebnisse mit der Warnmeldung in der Listenansicht „Reaktionen auf Warnmeldungen“

Die nächste Abbildung zeigt die Ereignisse in der Warnmeldung in der Ansicht „Details zu Reaktionen auf Warnmeldungen“.

Beispielergebnisse mit den Ereignissen in der Warnmeldung in der Ansicht „Details zu Reaktionen auf Warnmeldungen“

Wenn Sie einen Drill-down in das Modul „Investigation“ durchführen, indem Sie auf die Quelle für eines der Ereignisse klicken, können Sie die Groß- oder Kleinschreibung bei jedem der Zeichenfolgenwerte sehen. Da Sie Groß-/Kleinschreibung ignorieren verwendet haben, wird die Regel ausgelöst, wenn die Zeichenfolgenwerte groß- oder kleingeschrieben wurden. 

Ereignisdetails in „Ereignisse untersuchen“ zeigt die Groß-/Kleinschreibung für die Zeichenfolgenwerte

Beispiel: Gruppieren der Regelergebnisse

Das Feld Gruppieren nach erlaubt Ihnen, die Regelergebnisse zu gruppieren und zu filtern. Nehmen Sie zum Beispiel an, es gibt 3 Benutzerkonten – Joe, Jane und John – und Sie verwenden den Metawert Gruppieren nach, user_dst. Das Ergebnis zeigt Ereignisse gruppiert nach den Konten für Joe, Jane und John an.

Sie können auch nach mehreren Schlüsseln gruppieren und so die Regelergebnisse weiter filtern. Sie können zum Beispiel nach Benutzerzielkonto und Computer gruppieren, um festzustellen, ob ein Benutzer, der am selben Zielkonto von demselben Computer aus angemeldet ist, mehrmals versucht, sich an einem Konto anzumelden.  Um dies zu erreichen, können Sie nach „device_class“ und „user_dst“ gruppieren.

Das folgende Beispiel zeigt eine Regel, die nach „device_class“ und „user_dst“ gruppiert wurde. 

Regelerstellung mit einer Regel gruppiert nach „user_dst“ und „device_class“

                           
RegelbedingungBeschreibung
Failed LoginsIdentifiziert 5 fehlgeschlagene Anmeldeversuche (darauf muss die nächste Bedingung folgen; d. h. auf die 5 fehlgeschlagenen Anmeldungen muss eine erfolgreiche Anmeldung folgen).
Successful LoginIdentifiziert eine erfolgreiche Anmeldung. 
Gruppieren nach: user_dst und device_classGruppiert die Regelergebnisse nach „user_dst“ (Benutzerzielkonto) und „device_class“ (Typ des Computers, von dem aus sich der Benutzer anmeldet). Dies erlaubt der Regel, nach einem Benutzer zu suchen, der von demselben Computer aus am selben Zielkonto angemeldet ist, und führt damit zu einem weitaus gezielteren Regelergebnis. 
Auftreten innerhalb von 5 Minuten mit strikter MusterübereinstimmungDie Ereignisse müssen innerhalb von 5 Minuten auftreten und die Musterübereinstimmung ist streng, d. h., das Muster muss genau erfüllt sein, damit die Regel auslöst. 

Beispiel: Arbeiten mit numerischen Operatoren

Mit numerischen Operatoren können Sie Regeln für numerische Werte schreiben, z. B. angeben, dass ein Wert größer als, kleiner als oder gleich einem bestimmten Wert ist. Dies ist insbesondere für Fälle nützlich, in denen Sie einen numerischen Schwellenwert angeben möchten, z. B. Nutzdaten sind größer als 7000

Im folgenden Beispiel wird versucht, eine Datenübertragung an ein bestimmtes Ziel über gängige Ports zu identifizieren, wobei die Übertragungsgröße hoch ist und die Nutzdaten in einem verdächtigen Bereich liegen.

Verdächtige Übertragung Anweisung erstellen

                               
RegelanweisungBeschreibung
ip_dst is 10.10.10.1Der Zielport ist 10.10.10.1.
ip_dstport is greater than or equal to 1024Der Zielport ist im Bereich häufig verwendeter Ports (1024 oder höher).
size is greater than or equal to 10000Die Größe der Übertragung ist 10000 oder größer, was eine verdächtig große Datenübertragung ist. 
payload is greater than 7000Die Größe der Nutzdaten liegt zwischen 7000 und 8000, was verdächtig groß ist. 
payload is less than 8000Die Größe der Nutzdaten liegt zwischen 7000 und 8000, was verdächtig groß ist. 
You are here
Table of Contents > Hinzufügen von Regeln zur Regelbibliothek > Hinzufügen einer Regelerstellungsregel > Schritt 2. Erstellen einer Regelanweisung

Attachments

    Outcomes