Propiedades de regla de detección
Las reglas de detección dan soporte a la cobertura de origen de datos y a la cobertura y correlación de MITRE ATT & CK.
Origen y formato de regla
| Propiedad | Descripción |
|---|---|
| Origen de reglas | Las reglas de QRadar® se aplican a sucesos, flujos o delitos para buscar o detectar anomalías en QRadar. Las reglas de la comunidad Sigma se mejoran mediante patrones de STIX. Las reglas Sigma son utilizadas por Threat Investigator. También puede ejecutar los patrones de STIX en el Explorador de datos. IBM proporciona reglas de correlación de contenido que utiliza el sistema para enriquecer las alertas con información de gravedad adicional y para correlacionar las alertas enriquecidas cuando sea necesario. |
| Origen |
|
| Formato de regla soportado | Cada formato de regla está soportado por determinadas aplicaciones del producto. El formato de regla determina la finalidad de la regla y qué parte del producto da soporte a la regla. Por ejemplo, puede estar interesado en qué está utilizando Threat Investigator, o qué biblioteca tiene disponible para ejecutarse en Data Explorer (STIX). |
Atributos de regla
| Propiedad | Descripción |
|---|---|
| Nombre de regla | Especifique un nombre de regla específico o búsquelo mediante expresiones regulares. |
| Descripción de la regla | Filtre la descripción de regla utilizando expresiones regulares. |
| Regla habilitada | Vea qué reglas están habilitadas o inhabilitadas para asegurarse de que el sistema genera delitos significativos para el entorno. |
| Fechas de creación y modificación | Utilice los filtros de fecha para ver qué ha cambiado durante la última semana o para ver las reglas que se han modificado. La fecha de modificación muestra las reglas que se han modificado pero no el contenido modificado de las reglas. |
| Definición de prueba | Especifique una definición de prueba específica o búsquela mediante expresiones regulares. |
Atributos de regla de QRadar
| Propiedad | Descripción |
|---|---|
| Bloque de regla o de construcción (BB) | Una regla es una colección de pruebas que desencadena una acción cuando se cumplen condiciones específicas. Cada regla se puede configurar para capturar y responder a un suceso específico, secuencia de sucesos, secuencia de flujo o delito. Los bloques de construcción agrupan pruebas utilizadas habitualmente para crear una lógica compleja que pueda utilizarse en las reglas. Los bloques de construcción utilizan las mismas pruebas que utilizan las reglas, pero no tienen acciones asociadas a ellas.
Sugerencia: Puede añadir otros atributos de regla de QRadar a la visualización del informe, como por ejemplo categoría de regla, grupo, tipo de origen de registro o prueba.
|
MITRE ATT&CK
| Propiedad | Descripción |
|---|---|
| Táctica | Seleccione las tácticas de la lista. Por ejemplo, adversarios que están intentando introducirse en la red utilizan una táctica de Acceso inicial. |
| Técnica | Busque técnicas y sus subtécnicas o selecciónelas de la lista. Las técnicas están prefiltradas para coincidir con la táctica seleccionada. Por ejemplo, una técnica de Descubrimiento de cuenta tiene lugar cuando los adversarios intentan obtener una lista de las cuentas del sistema local o del dominio. Las subtécnicas se identifican mediante un punto en el ID, como por ejemplo "T1003.002 Security Account Manager." Las subtécnicas proporcionan una descripción más específica del comportamiento que un adversario utiliza para lograr su objetivo. Por ejemplo, un adversario podría volcar credenciales accediendo a secretos de la Autoridad de Seguridad Local (LSA). |
| Confianza de correlación | Indica las correlaciones a las que se ha asignado un nivel de confianza específico para la cobertura de reglas. |
| Correlación habilitada | Indica si la correlación entre la táctica o la táctica y las reglas está activada para cada regla. Las correlaciones que no están habilitadas no se añaden al mapa de calor de cobertura técnica. |