Warnmeldungen: Schritt 3. Hinzufügen von Bedingungen zu einer Regelanweisung

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

Dieses Thema enthält Anweisungen zum Hinzufügen von Bedingungen, z. B. zum Spezifizieren eines bestimmten Zeitraums, zu einer Regelanweisung. Beim Erstellen einer Regelanweisung legen Sie fest, was eine Regel erkennt. Sie fügen Bedingungen hinzu, um weitere Festlegungen zu treffen, z. B. wie oft oder wann die Kriterien erfüllt sein müssen.

Beispiel

Die folgende Grafik enthält ein Beispiel mit den Bedingungen von Anweisungen in der Regelerstellung. In Kombination ergeben die Anweisungen und Bedingungen die Regelkriterien.

Beispiel der Bedingungen in der Regelerstellung

Diese Regel erkennt 5 fehlgeschlagene Anmeldeversuche gefolgt von einem erfolgreichen Versuch. Dies könnte ein Zeichen dafür sein, dass ein Benutzerkonto gehackt wurde. Die Kriterien für die Regel sind:

  1. Es sind 5 fehlgeschlagene Anmeldeversuche hintereinander erforderlich.
  2. Auf die Fehlschläge muss 1 erfolgreiche Anmeldung folgen.
  3. Ein Kennwort wurde geändert.
  4. Alle Ereignisse müssen innerhalb von 5 Minuten auftreten.
  5. Gruppieren Sie Warnmeldungen nach Benutzer (user_dst), weil die Schritte A und B auf demselben Benutzerzielkonto durchgeführt werden müssen. Gruppieren Sie auch nach Computer (Device_class), um sicherzustellen, dass der Benutzer, der an demselben Computer angemeldet ist, mehrmals versucht, sich an einem Konto anzumelden.
  6. Die Übereinstimmung ist ein strenges Muster, was bedeutet, dass das Muster genau übereinstimmen muss, ohne dazwischenliegende Ereignisse.  

Verfahren

So fügen Sie einer Regelanweisung Bedingungen hinzu:

  1. Wählen Sie im Bereich Bedingungen eine Anweisung aus und klicken Sie aufSymbol „Bearbeiten“.
  2. Geben Sie für Auftreten einen Wert ein, um anzugeben, wie oft ein Ereignis auftreten muss, um die Regelkriterien zu erfüllen.
  3. Wenn mehrere Anweisungen vorhanden sind, wählen Sie im Feld Verbindungsoperator einen logischen Operator aus, um die Anweisungen zusammenzufügen:

    • gefolgt von
    • nicht gefolgt von
    • UND
    • ODER
  4. Der Parameter Korrelationstyp gilt nur für gefolgt von und nicht gefolgt von. Wenn Sie den Korrelationstyp „GLEICH“ auswählen, wählen Sie einen Metawert für die Korrelation, und wenn Sie den Korrelationstyp „VERKNÜPFEN“ auswählen, wählen Sie zwei Metawerte für die Korrelation. Sie möchten möglicherweise „VERKNÜPFEN“ verwenden, wenn Sie versuchen, Metawerte aus zwei verschiedenen Datenquellen zu korrelieren. Angenommen, Sie möchten eine AV-Warnmeldung mit einer IDS-Warnmeldung korrelieren. In den nachfolgenden Beispielen finden Sie ein Anwendungsbeispiel, in dem zwei Metawerte aus verschiedenen Quellen verknüpft werden.

  5. Wenn Ereignisse innerhalb eines bestimmten Zeitraums auftreten müssen, geben Sie im Feld Auftreten innerhalb eine Minutenzahl ein.
  6. Wählen Sie aus, ob das Muster einer strengen oder einer variablen Übereinstimmung folgen muss. Wenn Sie eine strenge Übereinstimmung angeben, bedeutet dies, dass das Muster in der genauen Reihenfolge vorkommen muss, die Sie angegeben haben, ohne dass weitere Ereignisse dazwischen vorkommen. Beispiel: Wenn als Sequenz fünf fehlgeschlagene Anmeldungen (F) gefolgt von einer erfolgreichen Anmeldung (S) angegeben ist, wird dieses Muster nur übereinstimmen, wenn der Benutzer die folgende Sequenz ausführt: F, F, F, F, F, S. Wenn Sie eine variable Übereinstimmung angeben, bedeutet dies, dass andere Ereignisse innerhalb der Sequenz auftreten dürfen, aber die Regel wird weiterhin auslösen, wenn alle angegebenen Ereignisse auch auftreten. Beispiel: Fünf fehlgeschlagene Anmeldeversuche (F), gefolgt von einer beliebigen Anzahl dazwischen liegender erfolgreicher Anmeldeversuche (S), gefolgt von einem erfolgreichen Anmeldeversuch, könnten das folgende Muster erzeugen: F, S, F, S, F, S, F, S, F, S, die die Regel trotz der dazwischenliegenden erfolgreichen Anmeldungen auslösen würden.  
  7. Wählen Sie die Felder, nach denen gruppiert werden soll, aus der Drop-down-Liste aus. Mit dem Feld Gruppieren nach können Sie die eingehenden Ereignisse gruppieren und evaluieren. Beispiel: In der Regel, die fünf fehlgeschlagene Anmeldeversuche gefolgt von einem erfolgreichen Versuch erkennt, muss der Benutzer identisch sein. Daher lautet der unter Gruppieren nach aufgeführte Metaschlüssel „user_dst“. Sie können auch nach mehreren Schlüsseln gruppieren. Mithilfe des vorherigen Beispiels möchten Sie eventuell nach Benutzern und Computern gruppieren, um sicherzustellen, dass derselbe Benutzer, der an demselben Computer angemeldet ist, mehrmals versucht, sich an einem Konto anzumelden.  Um dies zu erreichen, können Sie nach „device_class“ und „user_dst“ gruppieren.

Beispiel

Die folgende Grafik zeigt ein Beispiel der Bedingungen für eine Regel, mit denen Sie die gleichen Einheiten über mehrere Geräte hinweg bewerten können, um komplexe Anwendungsbeispiele zu erreichen. Beispielsweise können Sie eine Regel erstellen, die ausgelöst wird, wenn auf eine IDS-Warnmeldung (Intrusion Detection System, Angriffserkennungssystem) eine AV-Warnmeldung (Anti-virus, Virenschutz) für die gleiche Workstation folgt. Der Workstation-Schlüssel der beiden Quellen (ISD und AV) ist nicht identisch, sodass Sie eine Verknüpfung vornehmen können, um die verschiedenen Einheiten zu bewerten.

In der IDS-Warnmeldung wird die Workstation durch die Quell-IP-Adresse aus der IDS-Warnmeldung identifiziert und würde mit der Ziel-IP-Adresse aus der AV-Warnmeldung verglichen.

Regel Virenschutz (AV) Angriffserkennungssystem (IDS)

Die Kriterien für die Regel sind:

  1. Eine IDS-Warnmeldung erfolgt.
  2. Die Ziel-IP-Adresse aus der AV-Warnmeldung und die Quell-IP-Adresse für die Workstation aus der IDS-Warnmeldung werden verknüpft, damit Sie die gleichen Einheiten über verschiedene Quellen hinweg anzeigen können.
  3. Eine Virenschutz-Warnmeldung folgt auf die IDS-Warnmeldung.
You are here
Table of Contents > Hinzufügen von Regeln zur Regelbibliothek > Hinzufügen einer Regelerstellungsregel > Schritt 3. Hinzufügen von Bedingungen zu einer Regelanweisung

Attachments

    Outcomes