Decoder: Konfigurieren von Korrelationsregeln

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

Grundlegende Korrelationsregeln werden auf der Sitzungsebene angewendet und weisen die Benutzer auf bestimmte Aktivitäten hin, die möglicherweise in ihrer Umgebung vorkommen. NetWitness Suite wendet Korrelationsregeln in einem konfigurierbaren gleitenden Zeitfenster an. Treffen die Bedingungen zu, werden Warnmeldungs-Metadaten für diese Aktivität erstellt, und es wird ein sichtbarer Hinweis auf die verdächtige Aktivität angezeigt.

Im Folgenden werden beispielhafte Korrelationsregeln mit zwei Anwendungsbeispielen und der entsprechenden Syntax gezeigt.

Ziel: Wenn es in Sitzungen mit tcp.dstport eine beliebige Kombination von ip.src und ip.dst gibt, bei der die Anzahl eindeutiger tcp.dstport-Instanzen innerhalb von 1 Minute größer 5 ist, wird eine Warnmeldung ausgegeben. Erstellen Sie dafür wie folgt eine Regel:

  • Name der Regel: IPv6 – vertikaler TCP-Portscan 5
  • Regel: tcp.dstport exists
  • Instanzschlüssel: ip.src,ip.dst
  • Schwellenwert: u_count(tcp.dstport)>5
  • Zeitfenster: 1 Min.

Ziel: Wenn in Sitzungen, in denen action==login und error==fail gilt, eine beliebige Kombination von ip.src und ip.dst innerhalb von 5 Minuten in mehr als 10 Sitzungen auftritt, wird eine Warnmeldung ausgegeben. Um dieses Ziel zu erreichen, erstellen Sie eine Regel wie folgt:

  • Name der Regel: IPv4 – möglicher Brute Force 10
  • Regel: action='login' && error='fail'
  • Instanzschlüssel: ip.src,ip.dst
  • Schwellenwert: count()>10
  • Zeitfenster: 5 Min.

Beide Regeln weisen denselben Instanzschlüssel auf: ip.src und ip.dst. Da wir nach eindeutigen Kombinationen von ip.src und ip.dst suchen, die der Korrelationsbedingung entsprechen, sind ip.src und ip.dst die Primärschlüssel.
Der Schwellenwert kann einen zugehörigen Schlüssel enthalten, der den Metadatentyp angibt, der gezählt wird, um die Erfüllung der Bedingung zu prüfen. Im ersten Beispiel lautet der im Schwellenwert angegebene zugehörige Schlüssel tcp.dstport. Wir zählen eindeutige Instanzen von tcp.dstport für jedes ip.src/ip.dst-Paar. Im zweiten Beispiel ist kein zugehöriger Schlüssel im Schwellenwert angegeben, da dieser einfach die Anzahl von Sitzungen darstellt. Stellen Sie sich dieses Szenario am einfachsten als eine Zählung von eindeutigen Sitzungs-IDs vor, bei der der zugehörige Metadatentyp implizit „session.id“ ist. Wir zählen eindeutige Instanzen von session.id für jedes ip.src/ip.dst-Paar.

Ungültiges Anwendungsbeispiel: Wenn es Sitzungen mit einer beliebigen Kombination von ip.src und ip.dst gibt (Regel), die innerhalb von (Zeitfenster) eine eindeutige Anzahl von ipv6.dst > 5 aufweisen, wird eine Warnmeldung ausgegeben. Dieses Beispiel kann nicht funktionieren, da der zugehörige Schlüssel ipv6.dst ein IPv6-Metadatentyp ist. IPv4- und IPv6-Metadatentypen sind als zugehörige Schlüssel unzulässig.

So fügen Sie eine Korrelationsregel hinzu oder bearbeiten sie

  1. Wechseln Sie zu Administration > Services und wählen Sie einen Service aus und dann >Abgeschnittenes Menü „Aktionen“Ansicht > Konfiguration
    Die Ansicht „Services-Konfiguration“ für den ausgewählten Service wird angezeigt.

  2. Wählen Sie die Registerkarte Korrelationsregeln aus.
    Dies ist ein Beispiel für die Registerkarte Korrelationsregeln.
  3. Führen Sie auf der Registerkarte Korrelationsregeln einen der folgenden Schritte aus:
  • Wenn Sie eine neue Regel hinzufügen, klicken Sie auf Hinzufügen-Symbol.
  • Wenn Sie eine Regel bearbeiten möchten, wählen Sie sie aus dem Regelraster aus und klicken Sie auf Bearbeiten-Symbol.
    Das Dialogfeld „Regel-Editor“ wird mit Parametern für die Korrelationsregeln angezeigt.
    Dies ist ein Beispiel für die Registerkarte „Regel-Editor“.
  1. Geben Sie im Feld Name der Regel einen Namen für die Regel ein. Wenn Sie die Beispielregel erstellen, könnte dieser Name z. B. IPv6 – vertikaler TCP-Portscan 5 lauten.
  2. Erstellen Sie im Feld Bedingung die Regelbedingung, die bei einer Übereinstimmung eine Aktion auslöst. Sie können direkt in das Feld schreiben oder die Bedingung in diesem Feld mithilfe der Metadaten aus den Fensteraktionen erstellen. Während der Erstellung der Regeldefinition werden von NetWitness Suite Syntaxfehler und Warnmeldungen angezeigt. Wenn Sie die Beispielregel erstellen, können Sie z. B. tcp.dstport exists eingeben. Trifft die Bedingung zu, wird die Aktion für die Sitzungsdaten ausgeführt.
    Alle Zeichenfolgenliterale und Zeitstempel müssen in Anführungszeichen gesetzt werden. Zahlenwerte und IP-Adressen dürfen nicht in Anführungszeichen gesetzt werden. Unter Konfigurieren von Decoder-Regeln finden Sie zusätzliche Details.
  3. Verwenden Sie im Feld Schwellenwert einen der Schwellenwertparameter, um die Mindestanzahl von Vorkommnissen anzugeben. Diese Anzahl ist erforderlich, damit eine Korrelationssitzung und ggf. ein zugehöriger Schlüssel erstellt wird. Der zugehörige Schlüssel darf kein IPv4- oder IPv6-Metadatentyp sein.
  • u_count(associated_key) = die Anzahl eindeutiger Werte des angegebenen Schlüssels
  • sum(associated_key) = die Werte des angegebenen Schlüssels
  • count = number of sessions (keine Angabe des zugehörigen Schlüssels)
  1. Wählen Sie im Feld Instanzschlüssel den Zielindikator aus, der als Basis für das Ereignis dient. Dies kann ein einziger oder ein zusammengesetzter Schlüssel sein (zwei durch ein Komma getrennte Primärschlüssel).
  2. Legen Sie im Feld Zeitfenster die Dauer fest. Innerhalb dieser Zeit muss der Schwellenwert erreicht werden, damit eine Korrelationssitzung erstellt wird.
  3. Um die Regel zu speichern und sie dem Raster hinzuzufügen, klicken Sie auf OK.
    Die Regel wird am Ende des Rasters oder an der von Ihnen im Kontextmenü angegebenen Stelle hinzugefügt. In der Spalte Ausstehend wird das Pluszeichen angezeigt.
  4. Prüfen Sie, ob die Regel in der richtigen Ausführungsreihenfolge zu den anderen Regeln im Raster steht. Falls erforderlich, verschieben Sie die Regel.
  5. Um den aktualisierten Regelsatz auf den Service anzuwenden, klicken Sie auf Anwenden.
    NetWitness Suite speichert einen Snapshot der aktuell angewendeten Regeln und wendet dann den aktualisierten Satz auf den Decoder oder Log Decoder an.
You are here
Table of Contents > Konfigurieren von Decoder-Regeln > Konfigurieren von Korrelationsregeln

Attachments

    Outcomes