ATD: Configuración de Detección de amenazas automatizadas para Suspicious Domains

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

En este tema se indica a los administradores y los analistas cómo configurar un módulo Suspicious Domains para Detección de amenazas automatizadas de NetWitness Suite. La funcionalidad Detección de amenazas automatizadas permite analizar los datos que residen en uno o más Concentrators mediante módulos preconfigurados de ESA Analytics. Por ejemplo, con el uso de un módulo Suspicious Domains, un servicio ESA Analytics puede examinar el tráfico HTTP para determinar la probabilidad de que exista actividad maliciosa en el ambiente.

En NetWitness Suite están disponibles dos tipos de módulos Suspicious Domains preconfigurados: Comando y control (C2) para paquetes y C2 para registros. El módulo Suspicious Domains define un subconjunto de eventos, y las actividades ejecutadas en ellos, para identificar los dominios C2 sospechosos.

Antes de que implemente un módulo ESA Analytics para Detección de amenazas automatizadas, es importante destacar que hay muchas configuraciones de instalación posibles que se pueden instalar en ESA, incluidas las siguientes: ESA Analytics, ESA Correlation Rules y Context Hub. Cada una de estas puede ocupar recursos, por lo que es importante considerar el dimensionamiento antes de implementar la Detección de amenazas automatizadas en ESA.

Requisitos previos

  • Si utiliza datos de paquetes, debe haber configurado un Decoder para datos de paquetes HTTP y un analizador HTTP Lua o Flex.
  • Si utiliza datos del registro de proxy web, debe haber configurado el Log Decoder correspondiente con el analizador correcto para el proxy web.
  • Si utiliza datos del registro de proxy web, debe haber actualizado a los analizadores de registros más recientes. Se admiten los siguientes analizadores: Blue Coat Cache Flow (cacheflowelff), Cisco IronPort WSA (ciscoiportwsa) y Zscaler (zscalernss).
  • Si utiliza datos del registro de proxy web, para obtener los mejores resultados, debe configurar todos los proxies web del mismo modo (configúrelos en la misma zona horaria, utilice el mismo método de recopilación [syslog o lote] y, si usa lote, utilice la misma cadencia de lotes).
  • Debe haber una conexión abierta desde el host de ESA al servicio Whois (misma ubicación que cms:netwitness.com:443 de RSA Live) en el puerto 443. Verifique con el administrador del sistema que esto se haya establecido.
  • Para ingresar un dominio a la lista blanca, debe habilitar el servicio Context Hub.

Importante: Detección de amenazas automatizadas requiere un período de “preparación” en el cual el algoritmo de puntaje se ajuste al tráfico de la red. Debe planear la configuración de Detección de amenazas automatizadas, de modo que el período de preparación tenga lugar durante el tráfico normal. Por ejemplo, el inicio de Detección de amenazas automatizadas un martes a las 08:00 h en la zona horaria que contiene la mayor cantidad de usuarios permite que el módulo analice con exactitud un día de tráfico normal.

Configurar Detección de amenazas automatizadas para Suspicious Domains

Este procedimiento proporciona los pasos necesarios para configurar un módulo Suspicious Domains de ESA Analytics para Detección de amenazas automatizadas. Los módulos ESA Analytics, como Suspicious Domains, se consideran preconfigurados porque usted no necesita crear reglas de ESA manualmente para ellos.

Los pasos básicos necesarios son:

  1. Configurar ajustes de registro (solo para registros). Antes de poder usar Detección de amenazas automatizadas para los registros, debe configurar varios ajustes. Omita este paso si piensa usar Detección de amenazas automatizadas para paquetes.
  2. Crear una lista blanca (opcional) mediante el servicio Context Hub. La creación de una lista blanca permite garantizar que los sitios web de acceso frecuente se excluyan del puntaje de Detección de amenazas automatizadas.
  3. Configurar el servicio Búsqueda de WhoIs. El servicio Whois permite obtener datos exactos acerca de los dominios a los cuales se conecta. A fin de garantizar un puntaje eficaz, es importante configurar el servicio Búsqueda de Whois. Verifique que se pueda acceder al servicio Whois desde su ambiente.
  4. Mapear orígenes de datos a los módulos ESA Analytics. Defina la manera en que Detección de amenazas automatizadas de NetWitness Suite debe detectar automáticamente las amenazas avanzadas mediante el mapeo de un módulo ESA Analytics preconfigurado a varios orígenes de datos, como Concentrators, y a un servicio ESA Analytics.
  5. Verificar que la regla de incidentes C2 esté habilitada y monitorear la actividad. Después de mapear el módulo Suspicous Domains, se requiere un tiempo para la preparación del algoritmo de puntaje. Después del período de preparación, verifique que la regla C2 esté habilitada en las Reglas de incidentes y monitoree para ver si la regla se activa. 
  6. Verificar que las reglas de incidentes estén configuradas correctamente. Cuando observa incidentes en la vista Respond, es útil si estos se agrupan por Sospecha de C&C.

Paso 1: (Solo para registros) Configurar ajustes de registro

Para configurar Detección de amenazas automatizadas para registros, debe realizar algunos pasos de configuración adicionales:

  • Verifique que los analizadores compatibles estén habilitados para el Log Decoder.
  • Obtenga las versiones más recientes del analizador de proxy web correspondiente en RSA Live.
  • Actualice el mapeo en el archivo de configuración de Envision. Este archivo se requiere para actualizar el Log Decoder de modo que funcione con los metadatos nuevos disponibles a través de los analizadores.
  • Verifique que el archivo table-map.xml se haya actualizado correctamente.
  • Verifique que los índices se hayan actualizado correctamente.

Para verificar que los analizadores estén en ejecución en el Log Decoder:

  1. Vaya a ADMIN Servicios.
  2. Seleccione el Log Decoder y elija Actions icon > Ver > Configuración
    La sección Configuración de analizadores de servicio muestra una lista de los analizadores habilitados.
  3. Verifique que el analizador de proxy web adecuado esté habilitado.

Log Decoder Configuration for Parsers

Para obtener los analizadores más recientes desde RSA Live:

  1. Vaya a CONFIGURAR > Live Content.
  2. Ingrese un término de búsqueda para uno de los analizadores de proxy web compatibles.
  3. Seleccione el analizador de proxy web adecuado (por ejemplo, el analizador Blue Coat ELFF [cacheflowelff]).
  4. Nota: Debe haber realizado los pasos de configuración del registro para que este se realice correctamente en el analizador de proxy web.

  5. Haga clic en Implementar.
    Se abre el Asistente de implementación.
    Deployment Wizard
  6. En Servicios, seleccione el Log Decoder como el servicio.
  7. Haga clic en Implementar para implementar el analizador en el Log Decoder.

Para obtener el archivo de configuración de Envision más reciente:

  1. Vaya a CONFIGURARLive Content.

  2. Ingrese envision como la palabra clave para la búsqueda.
  3. Seleccione el archivo de configuración de Envision más reciente y haga clic en Implementar.
    Live showing Envision Configuration File
  4. En el Asistente de implementación, bajo Servicios, seleccione el Log Decoder.
  5. Haga clic en Implementar para implementar el archivo de configuración de Envision en el Log Decoder.

Para verificar que el archivo de configuración de Envision se haya actualizado correctamente:

  1. Vaya a ADMIN > Servicios, seleccione el Log Decoder y, a continuación, elija Actions icon > Ver > Configuración > pestaña Archivos.
    Puede ver el archivo table-map.xml. Este archivo se modifica cuando usted actualiza el archivo de configuración de Envision.
  2. Busque el término event.time. Ahora, el campo debe indicar "event.time" flags ="None". Esto significa que ahora los metadatos event.time se incluyen en el mapeo. De manera similar, la marca fqdn se debe configurar en “None”.

Para verificar que los índices para el archivo index-concentrator.xml se hayan actualizado:

Debe verificar que el archivo index-concentrator.xml incluya los metadatos event.time y fqdn.

  1. Vaya a ADMINServicios, seleccione el Concentrator y, a continuación, elija Actions icon > Ver > Configuración
  2. En la pestaña Archivos, busque el archivo index-concentrator.xm.
  3. Verifique que exista la siguiente entrada en el archivo index-concentrator.xml. Si no es así, debe asegurarse de actualizar el Concentrator a la versión correcta:

<key description="FQDN" level="IndexValues" name="fqdn" format="Text" valueMax="100000" defaultAction="Open"/><key description="Event Time" format="TimeT" level="IndexValues" name="event.time" valueMax="0" />

Custom Index

Paso 2: Crear una lista blanca de dominios (opcional)

Este procedimiento se utiliza cuando se trabaja con Detección de amenazas automatizadas a fin de garantizar que determinados dominios no activen un puntaje de amenazas. En ocasiones, un dominio al que se accede habitualmente puede activar un puntaje de Detección de amenazas automatizadas. Por ejemplo, un servicio de clima podría tener un comportamiento de Beacon similar a una comunicación de comando y control, y podría activar un puntaje negativo no justificado. Cuando esto sucede, se denomina un falso positivo. Para impedir la activación de un falso positivo con un dominio específico, puede agregar el dominio a una lista blanca. La mayoría de los dominios no necesita estar en una lista blanca, porque la solución solo alerta sobre comportamientos muy sospechosos. Los dominios que tal vez desee incluir en la lista blanca son servicios automatizados válidos que no tienen muchas conexiones de host.

Nota: Para las migraciones desde la versión 10.6.x, si su lista de blanca de Detección de amenazas automatizadas anterior (Dominios en lista blanca) aparece en la pestaña Listas, puede cambiar su nombre a domains_whitelist para usarla con los módulos Suspicious Domains.

  1. Cree una lista blanca de dominios en Context Hub con el nombre domains_whitelist:
    1. Vaya a ADMIN > Servicios, seleccione el servicio Servidor de Context Hub y, a continuación, seleccione la pestaña Ver > Configuración > Listas.
      La pestaña Listas muestra las listas actuales en Context Hub.
      Context Hub Server service View > Config > Lists tab
    2. En el panel Listas, haga clic en Add icon para agregar una lista. En el campo Nombre de lista, escriba domains_whitelist. Debe usar este nombre para que el módulo lo reconozca.
      List tab showing domains_whitelist created
  2. Agregue dominios manualmente a la lista o importe un archivo .CSV que contenga una lista de dominios.
    Puede ingresar dominios completos o puede utilizar un comodín para incluir todos los subdominios de un dominio determinado. Por ejemplo, puede ingresar *.gov para incluir todas las direcciones IP del Gobierno en la lista blanca. Sin embargo, no puede usar otras funciones de regex, como [a-z]*.gov. Esto se debe a que el uso de *.gov reemplaza una cadena completa, por ejemplo, www.irs.gov.
    1. Para agregar dominios manualmente, en la sección Valores de lista, haga clic en Add icon.
    2. Para eliminar un dominio, selecciónelo y haga clic enDelete icon.
    3. Para importar un archivo .CSV, en la sección Valores de lista, haga clic en Import icon y, en el cuadro de diálogo Importar valores de lista, navegue al archivo .CSV. Seleccione uno de los siguientes delimitadores: Coma, LF (salto de línea) y CR (retorno de carro), según cómo separa los valores en el archivo. Haga clic en Cargar
  3. Haga clic en Guardar.
    domains_whitelist aparece en el panel Listas. Los analistas pueden agregar elementos a esta lista desde la vista Respond y desde otras partes de Investigation. En la Guía de configuración de Context Hub se proporciona información adicional.

Paso 3: Configurar el servicio Búsqueda de Whois

Consulte el tema “Configurar el servicio Búsqueda de Whois” en la Guía de configuración de ESA.

Paso 4: Mapear orígenes de datos a los módulos ESA Analytics

Consulte el tema “Mapeo de orígenes de datos de ESA a módulos Analytics” de la Guía de configuración de ESA.

Paso 5: Verificar que la regla Sospecha de comando y control por dominio esté habilitada y monitorear la regla

Verifique la regla Sospecha de comando y control por dominio en las Reglas de incidentes.

  1. Vaya a CONFIGURAR > Reglas de incidentes > Reglas de agregación.
  2. Seleccione la regla Comunicación de comando y control sospechosa por dominio y haga doble clic en ella para abrirla. 
    Enable Incident Rule
  1. Verifique que la opción Habilitado esté seleccionada.

La regla muestra un botón Habilitado en verde una vez que se habilita.

Resultado

Después de la implementación del mapeo del módulo Suspicous Domains de ESA Analytics para Detección de amenazas automatizadas, ESA comenzará a ejecutar analítica en el tráfico HTTP. Puede ver información detallada de cada incidente en la vista Respond.

Paso 6: Verificar que el incidente se agrupe por Sospecha de C&C

Para agrupar los incidentes correctamente en la vista Respond, configure la condición Agrupar por en Dominio.

  1. Vaya a CONFIGURAR > Reglas de incidentes > Reglas de agregación.
  2. Seleccione la regla Comunicación de comando y control sospechosa por dominio y haga doble clic en ella para abrirla. 
  3. Verifique que el campo Agrupar por esté configurado en Dominio.

    Esto agregará alertas y se crearán incidentes para “Sospecha de C&C”.

Próximos pasos

Monitoree la vista Respond para ver si la regla se activa. En la Guía del usuario de NetWitness Respond se proporciona información adicional.

You are here
Table of Contents > Configuración de Detección de amenazas automatizadas para Suspicious Domains

Attachments

    Outcomes