Alertas: Paso 3. Agregar condiciones a una declaración de regla

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

En este tema se proporcionan instrucciones para agregar condiciones, como la especificación de cierto intervalo de tiempo, a una declaración de regla. Cuando se crea una declaración, se especifica qué detecta una regla. Se pueden agregar condiciones para hacer otras estipulaciones, como cuántas veces o cuándo se deben producir los criterios.

Ejemplo

En el siguiente gráfico se muestra un ejemplo de las condiciones de las declaraciones del generador de reglas. En combinación, las declaraciones y las condiciones constituyen los criterios de la regla.

Ejemplo de condiciones del generador de reglas

Esta regla detecta cinco intentos fallidos de inicio de sesión seguidos de un inicio de sesión correcto, lo cual podría ser señal de que alguien hackeó la cuenta de usuario. Estos son los criterios de la regla:

  1. Se requieren cinco inicios de sesión fallidos.
  2. Después de las fallas, debe haber un inicio de sesión correcto
  3. Se cambió una contraseña.
  4. Todos los eventos deben ocurrir en el lapso de 5 minutos.
  5. Agrupar las alertas por usuario (user_dst), debido a que se deben realizar los pasos A y B en la misma cuenta de destino del usuario. Además, agrupar por máquina (device_class) para asegurarse de que el usuario que inició sesión en la misma máquina intenta iniciar sesión varias veces en una cuenta.
  6. La coincidencia es un patrón estricto, lo que significa que el patrón debe coincidir exactamente sin eventos intermedios.  

Procedimiento

Para agregar condiciones a una declaración de regla:

  1. En la sección Condiciones, seleccione una declaración y haga clic en Ícono Editar.
  2. En Ocurre, ingrese un valor para especificar cuántas apariciones se requieren para satisfacer los criterios de la regla.
  3. Si tiene múltiples declaraciones, seleccione un operador lógico para unirlas en el campo Conector:

    • seguido de
    • no seguido de
    • Y
    • O
  4. Tipo de correlación solo se aplica a seguido de y no seguido de. Si elige el tipo de correlación SAME, seleccione un elemento de metadatos para realizar la correlación y, si elige el tipo de correlación JOIN, seleccione dos metadatos para realizarla. Tal vez desee usar JOIN si intenta correlacionar un elemento de metadatos de dos orígenes de datos distintos. Por ejemplo, usted desea correlacionar una alerta de antivirus con una alerta de IDS. En los siguientes ejemplos, consulte un caso de uso en el cual se unen dos metadatos de distintos orígenes.

  5. Si los eventos deben suceder en un intervalo de tiempo específico, ingrese una cantidad de minutos en el campo Ocurre dentro de.
  6. Elija si el patrón debe seguir una coincidencia Estricta o una Flexible. Si especifica una coincidencia estricta, esto significa que el patrón se debe producir en la secuencia exacta que se especificó, sin eventos adicionales entremedio. Por ejemplo, si la secuencia especifica cinco inicios de sesión fallidos (F) seguidos de un inicio de sesión correcto (S), este patrón solo coincidirá si el usuario ejecuta la siguiente secuencia: F, F, F, F, F, S. Si especifica una coincidencia flexible, significa que se pueden producir otros eventos dentro de la secuencia, pero que la regla se activará si también se producen todos los eventos especificados. Por ejemplo, cinco intentos de inicio de sesión fallidos (F), seguidos de un número indeterminado de intentos de inicio de sesión correctos intermedios (S), seguidos de un intento de inicio de sesión correcto pueden crear el siguiente patrón: F, S, F, S, F, S, F, S, F, S, lo cual activará la regla a pesar de los inicios de sesión intermedios correctos.  
  7. En la lista desplegable, elija los campos para agrupar por. El campo Agrupar por le permite agrupar y evaluar los eventos entrantes. Por ejemplo, en la regla que detecta 5 intentos de inicio de sesión fallidos seguidos de 1 intento correcto, el usuario debe ser el mismo, razón por la cual user_dst es la clave de metadatos Agrupar por. También puede agrupar por varias claves. Con el ejemplo anterior, es posible que desee agrupar por usuario y por máquina para asegurarse de que el mismo usuario que inició sesión en la misma máquina intente iniciar sesión varias veces en una cuenta.  Para hacerlo, puede agrupar por device_class y user_dst.

Ejemplo

En el siguiente gráfico se muestra un ejemplo de las condiciones de una regla que permite evaluar las mismas entidades en múltiples dispositivos, lo que posibilita casos de uso complejos. Por ejemplo, puede crear una regla que se active si hay una alerta de antivirus después de una alerta de IDS (sistema de detección de intrusiones) para la misma estación de trabajo. La clave de la estación de trabajo no es la misma entre los dos orígenes (IDS y antivirus), de modo que puede realizar una operación JOIN a fin de evaluar las distintas entidades.

En la alerta de IDS, la estación de trabajo se identifica mediante la dirección IP de origen de la alerta de IDS y se compararía con la dirección IP de destino de la alerta de antivirus.

Regla de antivirus y del sistema de detección de intrusiones (IDS)

Estos son los criterios de la regla:

  1. Se produce una alerta de IDS.
  2. La dirección IP de destino de la alerta de antivirus y la dirección IP de origen para la estación de trabajo de la alerta de IDS se unen para permitirle ver las mismas entidades en distintos orígenes.
  3. Hay una alerta de antivirus después de la alerta de IDS.
You are here
Table of Contents > Agregar reglas a la Biblioteca de reglas > Agregar una regla del generador de reglas > Paso 3. Agregar condiciones a una declaración de regla

Attachments

    Outcomes