Alertes : Étape 3. Ajouter des conditions à une instruction de règle

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

Cette rubrique fournit des instructions pour ajouter des conditions, comme la spécification d'une certaine plage temporelle, à une instruction de règle. Lorsque vous créez une instruction, vous spécifiez les éléments détectés par une règle. Vous ajoutez des conditions pour stipuler d'autres options, comme la fréquence et la date d'application des critères.

Exemple

Le graphique ci-dessous illustre un exemple de conditions pour les instructions Générateur de règles. Combinées, les instructions et les conditions forment les critères de la règle.

Exemple de conditions de générateur de règles

Cette règle détecte 5 tentatives de connexion infructueuses, suivies d'une connexion réussie, qui peut indiquer qu'une personne a piraté le compte utilisateur. Voici les critères de la règle :

  1. Cinq échecs de connexion sont requis.
  2. Une connexion réussie doit suivre les échecs.
  3. Un mot de passe a été modifié.
  4. Tous les événements doivent se produire dans un délai de 5 minutes.
  5. Les alertes sont regroupées par utilisateur (user_dst), car les étapes A et B doivent être effectuées sur le même compte utilisateur de destination. En outre, les alertes sont regroupées par machine (device_class) pour garantir que l'utilisateur connecté depuis la même machine tente bien de se connecter à un compte à plusieurs reprises.
  6. La correspondance suit un modèle strict, ce qui signifie que le modèle doit correspondre parfaitement, sans intervention d'un événement extérieur.  

Procédure

Pour ajouter des conditions à une instruction de règle :

  1. Dans la section Conditions, sélectionnez une instruction et cliquez sur Icône Modifier.
  2. Pour Se produit, saisissez une valeur pour spécifier le nombre d'occurrences requises pour remplir les critères de la règle.
  3. Si vous disposez de plusieurs instructions, dans le champ Connecteur, sélectionnez un opérateur logique pour associer une instruction à une autre :

    • suivi par
    • non suivi par
    • AND
    • OU
  4. Type de corrélation s’applique uniquement à suivi de et non suivi de. Si vous choisissez un type de corrélation SAME, sélectionnez une méta pour la corrélation et, si vous choisissez un type de corrélation JOIN, sélectionnez deux métas pour la corrélation. Vous voudrez peut-être utiliser JOIN si vous tentez de mettre en corrélation les métas à partir de deux sources de données différentes. Par exemple, supposons que vous souhaitiez mettre en corrélation une alerte AV avec une alerte IDS. Consultez les exemples ci-dessous pour obtenir un exemple d’utilisation où deux métas provenant de différentes sources sont associées.

  5. Si les événements doivent se produire dans un délai spécifique, saisissez le nombre de minutes dans le champ Se produit dans les.
  6. Indiquez si le modèle doit suivre une correspondance de type Strict ou Souple. Si vous spécifiez une correspondance stricte, cela signifie que le modèle doit se produire exactement selon la séquence spécifiée, sans aucun événement supplémentaire dans l'intervalle. Par exemple, si la séquence spécifie cinq échecs de connexion (F) suivis d'une connexion réussie (S), la correspondance à ce modèle n'est effective que si l'utilisateur exécute la séquence suivante : F,F,F,F,F,S. Si vous spécifiez une correspondance souple, cela signifie que d'autres événements peuvent avoir lieu durant la séquence. Toutefois, la règle se déclenche quand même si tous les événements spécifiés se produisent également. Par exemple, le modèle suivant peut être créé par cinq échecs de tentatives de connexion (F), puis n'importe quel nombre intermédiaire de tentatives de connexion réussies (S), puis une tentative de connexion réussie : F,S,F,S,F,S,F,S,F,S qui déclenche la règle malgré les tentatives de connexion réussies dans l'intervalle.  
  7. Choisissez les champs de regroupement dans la liste déroulante. Le champ Regrouper par vous permet de regrouper et d'évaluer les événements entrants. Par exemple, dans la règle qui détecte 5 tentatives de connexion infructueuses, suivies d'une tentative réussie, l'utilisateur doit être identique. Par conséquent, user_dst est la clé méta du champ Regrouper par. Vous pouvez également effectuer un regroupement en fonction de plusieurs clés. Dans l'exemple précédent, vous pouvez effectuer un regroupement par utilisateur et par machine afin de vous assurer que le même utilisateur connecté depuis la même machine tente bien de se connecter à un compte à plusieurs reprises.  Pour cela, vous pouvez grouper par device_class et user_dst.

Exemple

L’illustration suivante présente un exemple des conditions pour une règle qui vous permet d’évaluer les entités mêmes sur plusieurs appareils afin que vous puissiez effectuer des exemples d’utilisation complexes. Par exemple, vous pouvez créer une règle qui se déclenche si une alerte IDS (Intrusion Detection System) est suivie d’une alerte AV (Anti-virus) pour la même station de travail. La clé de la station de travail n’est pas la même entre les deux sources (ID et AV), de sorte que vous pouvez effectuer une action JOIN afin d’évaluer les différentes entités.

Dans l’alerte IDS, la station de travail est identifiée par l’adresse IP source à partir de l’alerte IDS, et peut être comparée à l’adresse IP de destination à partir de l’alerte AV.

Règle de système de détection des intrusions (IDS) antivirus (AV)

Voici les critères de la règle :

  1. Une alerte IDS se produit.
  2. L’adresse IP de destination de l’alerte AV et de l’adresse IP source pour la station de travail à partir de l’alerte IDS sont associées afin de vous permettre d’afficher les mêmes entités sur différentes sources.
  3. Une alerte Antivirus suit l’alerte IDS.
You are here
Table of Contents > Ajouter des règles à la Bibliothèque de règles > Ajouter une règle Générateur de règles > Étape 3. Ajouter des conditions à une instruction de règle

Attachments

    Outcomes