IBM
QRadar incluye reglas que detectan una amplia gama de actividades, incluyendo denegaciones de cortafuegos excesivas, varios intentos de inicio de sesión fallidos y actividad potencial de botnet. También puede crear sus propias reglas para detectar actividad inusual.
Antes de empezar
Antes de crear una regla nueva, debe tener el permiso .
Acerca de esta tarea
Cuando defina pruebas de regla, realice pruebas con el volumen de datos más pequeño posible. Al realizar las pruebas de esta manera, se obtiene un mejor rendimiento de las pruebas de regla y se asegura de no crear reglas costosas. Para optimizar el rendimiento, empiece con categorías amplias que restrinjan los datos que evalúa la prueba de regla. Por ejemplo, empiece con una prueba de regla para un tipo de origen de registro, una ubicación de red, un origen de flujo o un contexto (R2L, L2R, L2L) específico. Las pruebas de nivel medio serán direcciones IP, tráfico de puerto u otras pruebas asociadas. La regla debe probar las expresiones de carga útil y expresión regular.
Las reglas similares se agrupan por categorías. Por ejemplo, Auditoría, Explotación, Denegación de servicio distribuido (DDoS), Reconocimiento, etc. Cuando se suprime un elemento de un grupo, la regla o el componente básico solo se suprime del grupo; sigue estando disponible en la página Reglas. Cuando se suprime un grupo, las reglas o los componentes básicos de ese grupo permanecen disponibles en la página Reglas.
Procedimiento
- En las pestañas Delitos, Actividad de registroo Actividad de red , pulse Reglas.
- En la lista Visualizar , seleccione Reglas para crear una regla nueva.
- Opcional: En la lista Visualizar , seleccione Bloques de construcción para crear una regla nueva utilizando bloques de construcción.
- En la lista Acciones , seleccione un tipo de regla.
Cada tipo de regla se prueba contra los datos entrantes de diferentes orígenes en tiempo real. Por ejemplo, las reglas de suceso prueban datos de origen de registro entrante y las reglas de delito prueban los parámetros de un delito para desencadenar más respuestas.
- En la ventana Asistente de reglas , seleccione el recuadro de selección Omitir esta página al ejecutar este asistente de reglas y pulse Siguiente.
Si marca el recuadro de selección Omitir esta página al ejecutar este asistente de reglas, la página de bienvenida no aparece cada vez que se inicia.
- En la página Editor de pila de prueba de regla , en el panel Regla , escriba un nombre exclusivo que desee asignar a esta regla en el recuadro de texto Aplicar .
- En el cuadro de lista, seleccione Local o Global.
- Si selecciona Local, todas las reglas se procesan en el Procesador de sucesos en el que se han recibido y los delitos sólo se crean para los sucesos que se procesan localmente.
- Si selecciona Global, todos los sucesos coincidentes se envían al QRadar
Console para su proceso y, por lo tanto, el QRadar
Console utiliza más ancho de banda y recursos de proceso.
Más información sobre las reglas locales y globales:
- Pruebas de regla globales
- Utilice reglas globales para detectar cosas como "varias anomalías de inicio de sesión de usuario" en las que los sucesos de ese usuario pueden aparecer en varios procesadores de sucesos. Por ejemplo, si ha configurado una regla Local para cinco anomalías de inicio de sesión en 10 minutos desde el mismo nombre de usuario, las 5 anomalías de inicio de sesión deben aparecer en el mismo Procesador de sucesos. Por lo tanto, si tres anomalías de inicio de sesión estaban en un Procesador de sucesos y 2 en otro, no se genera ningún delito. Sin embargo, si establece esta regla como Global, se genera un delito.
- En la lista Grupo de pruebas , seleccione una o más pruebas que desee añadir a esta regla. El CRE evalúa las pruebas de regla en orden, línea por línea. La primera prueba se evalúa y cuando es verdadera, se evalúa la línea siguiente hasta que se alcanza la prueba final.
Si desea seleccionar la prueba cuando el suceso coincide con esta consulta de filtro AQL para una nueva regla de suceso, pulse el icono Añadir (+). En el panel Regla, pulse Esta y entre una consulta de cláusula WHERE de AQL en el recuadro de texto Especifique una consulta de filtro de AQL.
Más información sobre el uso de reglas para sucesos que no se detectan:Las pruebas de regla siguiente se pueden desencadenar individualmente pero no se actúa sobre las pruebas de regla de la misma pila de pruebas de reglas.
- cuando uno o varios de estos tipos de origen de registro no han detectado los sucesos durante este número de segundos
- cuando uno o varios de estos orígenes de registro no han detectado los sucesos durante este número de segundos
- cuando uno o varios de estos grupos de origen de registro no han detectado los sucesos durante este número de segundos
Estas pruebas de regla no se ven activadas por un suceso entrante, sino que se activan cuando no se ve un suceso específico durante un intervalo de tiempo específico configurado. QRadar utiliza una tarea de observador que consulta periódicamente la última vez que se ha visto un suceso (hora de última vista) y almacena esta hora para el suceso, para cada origen de registro. La regla se desencadena cuando la diferencia entre la hora de última visualización y la hora actual sobrepasa el número de segundos configurado en la regla.
- Para exportar la regla configurada como un bloque de construcción para utilizarla con otras reglas, pulse Exportar como bloque de construcción.
- En la página Respuestas de regla , configure las respuestas que desea que genere esta regla.
Más información sobre los parámetros de la página de respuesta de regla:Tabla 1. Parámetros de página Respuesta de regla de suceso, flujo, común y delito
| Parámetro |
Descripción |
| Gravedad |
Seleccione este recuadro de selección para asignar un nivel de gravedad al suceso, donde 0 es el más bajo y 10 el más alto. La gravedad se muestra en el panel Anotación de detalles del suceso. |
| Credibilidad |
Seleccione este recuadro de selección para asignar credibilidad al origen de registro. Por ejemplo, ¿es el origen de registro ruidoso o caro? El rango es de 0 (el más bajo) a 10 (el más alto) y el valor predeterminado es 10. La credibilidad se visualiza en el panel Anotación de los detalles de suceso. |
| Relevancia |
Marque este recuadro de selección para asignar relevancia al peso del activo. Por ejemplo, ¿cuánto le importa el activo? El rango es de 0 (el más bajo) a 10 (el más alto) y el valor predeterminado es 10. La pertinencia se visualiza en el panel Anotación de los detalles de suceso. |
| Omitir el resto de sucesos de correlación de reglas adicional |
Seleccione este recuadro de selección para que un suceso o flujo pase por alto todas las demás reglas del motor de reglas e impida que cree un delito. El suceso se graba en el almacenamiento para utilizarlo en las búsquedas y en la elaboración de informes.
|
| Asignar suceso nuevo |
Marque este recuadro de selección para enviar un suceso nuevo además del suceso original o flujo, que se procesa como todos los demás sucesos del sistema.
Asigna un suceso nuevo con el suceso original, y se procesa como todos los demás sucesos del sistema.
Los parámetros de Asignar suceso nuevo se visualizan al marcar este recuadro de selección. De forma predeterminada, el recuadro de selección no está marcado.
|
| Correo electrónico |
Marque este recuadro de selección para cambiar el valor de Entorno local de correo electrónico de la Configuración del sistema en la pestaña Administrador. |
| Enviar a SysLog local |
Marque este recuadro de selección para registrar el suceso o flujo localmente.
De forma predeterminada, este recuadro de selección no está marcado.
Nota: Sólo los sucesos normalizados se pueden registrar localmente en un dispositivo. Si desea enviar datos de sucesos en bruto, debe utilizar la opción Enviar a destinos de reenvío para enviar los datos a un host de syslog remoto.
|
| Enviar a destinos de reenvío |
Marque este recuadro de selección para registrar el suceso o flujo en un destino de reenvío.
Un destino de reenvío es un sistema de proveedor, por ejemplo SIEM, tíquets o sistemas de alerta. Al marcar este recuadro de selección, se visualiza una lista de destinos de reenvío.
Para añadir, editar o suprimir un destino de reenvío, pulse el enlace Gestionar destinos.
|
| Notificar |
Marque este recuadro de selección para visualizar los sucesos que se generan como resultado de esta regla en el elemento Notificaciones del sistema de la pestaña Panel de control.
Si habilita las notificaciones, configure el parámetro Limitador de respuestas.
|
| Añadir a un conjunto de referencia |
Marque este recuadro de selección para añadir sucesos generados como resultado de esta regla a un conjunto de referencia. Debe ser administrador para añadir datos a un conjunto de referencia.
Para añadir datos a un conjunto de referencia, siga estos pasos:
- En la primera lista, seleccione la propiedad del suceso o flujo que desea añadir.
- En la segunda lista, seleccione el conjunto de referencia al que desea añadir los datos especificados.
|
| Añadir a datos de referencia |
Para utilizar esta respuesta de regla, debe crear la recopilación de datos de referencia.
|
| Eliminar de conjunto de referencia |
Marque este recuadro de selección para eliminar datos de un conjunto de referencia.
Para eliminar datos de un conjunto de referencia:
- En el primer recuadro de lista, seleccione la propiedad del suceso o flujo que desea eliminar. Las opciones incluyen todos los datos normalizados o personalizados.
- En el segundo recuadro de lista, seleccione el conjunto de referencia del que desea eliminar los datos especificados.
La respuesta de la regla Eliminar de conjunto de referencia proporciona las funciones siguientes:
- Renovar
- Pulse Renovar para renovar el primer recuadro de lista para asegurarse de que la lista es actual.
|
| Eliminar de datos de referencia |
Para utilizar esta respuesta de regla, debe tener una recopilación de datos de referencia.
|
| Ejecutar una acción personalizada |
Marque este recuadro de selección para escribir scripts que realizan acciones específicas en respuesta a sucesos de red. Por ejemplo, puede escribir un script para crear una regla de cortafuegos que bloquea una dirección IP de origen concreta de la red en respuesta a repetidos intentos fallidos de inicio de sesión. Puede añadir y configurar acciones personalizadas utilizando el icono Definir acciones en la pestaña Admin.
|
| Limitador de respuestas |
Marque este recuadro de selección para configurar la frecuencia en la que desea que responda esta regla. |
Una notificación SNMP puede parecerse al ejemplo siguiente:
"Wed Sep 28 12:20:57 GMT 2005, Custom Rule Engine Notification -
Rule 'SNMPTRAPTst' Fired. 172.16.20.98:0 -> 172.16.60.75:0 1, Event Name:
ICMP Destination Unreachable Communication with Destination Host is
Administratively Prohibited, QID: 1000156, Category: 1014, Notes:
Offense description"
Una salida de syslog puede parecerse al ejemplo siguiente:
Sep 28 12:39:01 localhost.localdomain ECS:
Rule 'Name of Rule' Fired: 172.16.60.219:12642
-> 172.16.210.126:6666 6, Event Name: SCAN SYN FIN, QID:
1000398, Category: 1011, Notes: Event description
Qué hacer a continuación
Para probar las reglas, ejecute Correlación histórica.
Para verificar que el suceso desencadena la prueba de regla basándose en el bloque de creación, puede crear una respuesta de correo electrónico, consulte Envío de notificaciones de correo electrónico.