Decoder: Configurar reglas de correlación

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Las reglas de correlación básicas se aplican en el nivel de sesión y advierten al usuario sobre actividades específicas que pueden estar ocurriendo en su ambiente. NetWitness Suite aplica reglas de correlación en una ventana de tiempo móvil configurable. Cuando se cumplen las condiciones, se crean metadatos de alerta para esta actividad y se muestra un indicador visible de la actividad sospechosa.

Los siguientes son ejemplos de reglas de correlación que ilustran dos casos de uso y la sintaxis.

Objetivo: En sesiones donde exista tcp.dstport, si hay alguna combinación de ip.src e ip.dst donde el conteo de instancias únicas de tcp.dstport > 5 dentro de 1 minuto, entonces generar una alerta. Para lograr este objetivo, cree una regla como la siguiente:

  • Nombre de la regla: Escaneo de puerto TCP vertical IPv6 5
  • Regla: tcp.dstport exists
  • Clave de instancia: ip.src,ip.dst
  • Umbral: u_count(tcp.dstport)>5
  • Ventana de tiempo: 1 minuto

Objetivo: En sesiones donde action==loginy error==fail, si hay cualquier combinación de ip.src y ip.dst que aparezca en más de 10 sesiones dentro de 5 minutos, entonces generar una alerta. Para lograr este objetivo, cree una regla como la siguiente:

  • Nombre de la regla: Fuerza bruta potencia IPv4 10
  • Regla: acción='login' && error='fail'
  • Clave de instancia: ip.src,ip.dst
  • Umbral: count()>10
  • Ventana de tiempo: 5 minutos

Ambos ejemplos de reglas tienen la misma clave de instancia: ip.src y ip.dst. Dado que se buscan combinaciones únicas de ip.srcy ip.dst que coincidan con la condición de correlación, ip.src y ip.dst son claves primarias.
El umbral puede incluir una clave asociada que identifica el tipo de metadatos que se cuenta para determinar si se cumple la condición. En el primer ejemplo, la clave asociada que se especifica en Umbral es tcp.dstport. Se cuentan las instancias únicas de tcp.dstport para cada par ip.src/ip.dst. En el segundo ejemplo, la clave asociada no se especifica en el umbral porque se trata solamente de un conteo de sesiones. Es útil pensar en este escenario como un conteo de ID de sesión únicos y los metadatos asociados son implícitamente session.id. Se cuentan las session.id únicas para cada par ip.src/ip.dst.

Caso de uso no válido: En sesiones donde (regla), si hay cualquier combinación de ip.src e ip.dst que tenga un conteo único de ipv6.dst > 5 dentro de (ventana de tiempo), entonces generar alerta. Este caso no funciona porque la clave asociada ipv6.dst es un tipo de metadatos IPv6. Los tipos de metadatos IPv4 e IPv6 no se pueden usar como claves asociadas.

Para agregar o editar una regla de correlación

  1. Vaya a ADMIN > Servicios, seleccione un servicio y Menú Acciones recortado > Ver > Configuración
    Se muestra la vista Configuración de servicios del servicio seleccionado.

  2. Seleccione la pestaña Reglas de correlación.
    Este es un ejemplo de la pestaña Reglas de correlación.
  3. En la pestaña Reglas de correlación, realice una de las siguientes acciones:
  • Si desea agregar una regla nueva, haga clic en El ícono Agregar.
  • Si edita una regla, selecciónela en la cuadrícula de reglas y haga clic en El ícono Editar.
    Se muestra el cuadro de diálogo Editor de regla con los parámetros de reglas de correlación.
    Este es un ejemplo del cuadro de diálogo Editor de regla.
  1. En el campo Nombre de la regla, escriba un nombre para la regla. Por ejemplo, para crear la regla de muestra, Escaneo de puerto TCP vertical IPv6 5.
  2. En el campo Condición, cree la condición de la regla que desencadena una acción cuando hay una coincidencia. Puede escribir directamente en el campo o crear la condición en él mediante metadatos de las acciones de la ventana. A medida que crea la definición de la regla, NetWitness Suite muestra errores de sintaxis y advertencias. Por ejemplo, para crear la regla de muestra, escriba tcp.dstport exists. Cuando esta condición se cumpla, se ejecutará la acción de los datos de sesión.
    Todos los literales de cadena y los registros de fecha y hora deben ir entre comillas. No use comillas para los valores de número ni las direcciones IP. En Configurar reglas de Decoder se proporcionan detalles adicionales.
  3. En el campo Umbral, use uno de los parámetros de umbral para especificar la cantidad mínima de apariciones que se necesitan para crear una sesión de correlación y una clave asociada, si es necesario. La clave asociada no puede ser un tipo de metadatos IPv4 o IPv6.
  • u_count(associated_key) = el conteo de valores únicos de la clave especificada
  • sum(associated_key) = los valores de la clave especificada
  • count = cantidad de sesiones (no hay una clave asociada especificada)
  1. En el campo Clave de instancia, seleccione el indicador de destino en el cual basar el evento. Puede ser una sola clave o una clave compuesta (dos claves principales, separadas por una coma).
  2. En Ventana de tiempo, defina el periodo durante el cual el umbral se debe alcanzar para crear una sesión de correlación.
  3. Para guardar la regla y agregarla a la cuadrícula, haga clic en Aceptar.
    La regla se agrega al final de la cuadrícula o se inserta donde especificó en el menú contextual. Se muestra el signo más en la columna Pendiente.
  4. Verifique que la regla está en la secuencia de ejecución correcta con otras reglas en la cuadrícula. Si es necesario, transfiera la regla.
  5. Para aplicar el conjunto de reglas actualizadas al servicio, haga clic en Aplicar.
    NetWitness Suite guarda una instantánea de las reglas aplicadas actualmente, a continuación, aplica el conjunto actualizado al Decoder o Log Decoder.
You are here
Table of Contents > Configurar reglas de Decoder > Configurar reglas de correlación

Attachments

    Outcomes