Creazione di una regola personalizzata

IBM QRadar include regole che rilevano una vasta gamma di attività, tra cui un numero eccessivo di tentativi di accesso al firewall, più tentativi di accesso non riusciti e una potenziale attività botnet. È anche possibile creare le proprie regole per rilevare attività insolita.

Prima di iniziare

Prima di creare una nuova regola, è necessario disporre dell'autorizzazione Offensive > Gestisci regole personalizzate .

Informazioni su questa attività

Quando si definiscono i test delle regole, applicare la verifica alla quantità di dati minore possibile. In questo modo si favoriscono migliori prestazioni dei test delle regole e si è sicuri di non creare regole dispendiose. Per ottimizzare le prestazioni, iniziare con ampie categorie che restringono i dati valutati dal test di regola. Ad esempio, iniziare con un test di regola per un tipo specifico di origine log, ubicazione rete, origine flusso o contesto (R2L, L2R, L2L). Eventuali test di medio livello potrebbero includere indirizzi IP, traffico di porta o qualsiasi altro test associato. La regola deve testare il payload e le espressioni regex per ultime.

Regole simili sono raggruppate per categoria. Ad esempio Controllo, Exploit, DDoS, Ricognizione e altro ancora. Quando si elimina un elemento da un gruppo, la regola o il blocco di generazione viene cancellato solo dal gruppo; rimane disponibile nella pagina Regole. Quando si elimina un gruppo, le regole o i blocchi di generazione di quel gruppo rimangono disponibili nella pagina Regole.

Procedura

  1. Dalle schede Offensive, Attività di logo Attività di rete , fare clic su Regole.
  2. Dall'elenco Visualizza , selezionare Regole per creare una nuova regola.
  3. Facoltativo: dall'elenco Visualizza , selezionare Blocchi di generazione per creare una nuova regola utilizzando blocchi di generazione.
  4. Dall'elenco Azioni , selezionare un tipo di regola.

    Ogni tipo di regola verifica rispetto a dati in entrata provenienti da diverse origini in tempo reale. Ad esempio, le regole evento verificano i dati di origine log in entrata e le regole delle offensive verificano i parametri di un'offensiva per attivare più risposte.

  5. Nella finestra Procedura guidata regola , fare clic sulla casella di spunta Ignora questa pagina durante l'esecuzione della procedura guidata regole e fare clic su Avanti.
    Se si seleziona la casella di spunta Ignora questa pagina quando si esegue questa procedura guidata delle regole , la pagina Benvenuti non viene visualizzata ogni volta che si avvia.
  6. Nella pagina Editor dello stack di test della regola , nel riquadro Regola , immettere un nome univoco che si desidera assegnare a questa regola nella casella di testo Applica .
  7. Dalla casella di elenco, selezionare Locale o Globale.
    • Se si seleziona Locale, tutte le regole vengono elaborate sul Processore eventi in cui sono state ricevute e le offensive vengono create solo per gli eventi elaborati localmente.
    • Se si seleziona Globale, tutti gli eventi corrispondenti vengono inviati a QRadar Console per l'elaborazione e quindi, QRadar Console utilizza più larghezza di banda e risorse di elaborazione.
    Ulteriori informazioni sulle regole locali e globali:
    Test di regole globali
    Utilizzare le regole globali per rilevare elementi quali "più errori di accesso utente" in cui gli eventi di tale utente potrebbero essere visualizzati su più processori eventi. Ad esempio, se è stata configurata una regola Locale per cinque errori di login in 10 minuti dallo stesso nome utente, tutti e 5 gli errori di login devono essere visualizzati sullo stesso Event Processor. Pertanto, se tre errori di login si trovavano su un Processore eventi e 2 su un altro, non viene generata alcuna offensiva. Tuttavia, se si imposta questa regola su Globale, verrà generata l'offensiva.
  8. Dall'elenco Gruppo di test , selezionare uno o più test che si desidera aggiungere a questa regola. Il CRE valuta i test delle regole riga per riga in ordine. Viene valutato il primo test, e quando risulta true, viene valutata la riga successiva fino al raggiungimento del test finale.
    Se si desidera selezionare il test quando l'evento corrisponde a questa query del filtro AQL per una nuova regola evento, fare clic sull'icona Aggiungi (+) . Nel riquadro Regola , fare clic su Questo e immettere una query della clausola AQL WHERE nella casella di testo Immettere una query del filtro AQL .
    Ulteriori informazioni sull'utilizzo delle regole per gli eventi che non vengono rilevati:

    I seguenti test di regola possono essere attivati singolarmente, ma non vengono attivati i test di regola nello stesso stack di test di regola.

    • quando gli eventi non sono stati rilevati da uno o più di questi tipi di origine log per questo molti secondi
    • quando gli eventi non sono stati rilevati da uno o più di queste origini log per questo molti secondi
    • quando gli eventi non sono stati rilevati da uno o più di questi gruppi di origini log per questo molti secondi

    Questi test di regola non vengono attivati da un evento in entrata, ma vengono attivati quando un evento specifico non viene visto per un intervallo di tempo specifico configurato. QRadar utilizza un' attività watcher che interroga periodicamente l'ultima volta che un evento è stato visualizzato (ora dell'ultima vista) e memorizza tale ora per l'evento, per ogni origine log. La regola viene attivata quando la differenza tra l'ora dell'ultima visualizzazione e l'ora corrente supera il numero di secondi configurato nella regola.

  9. Per esportare la regola configurata come un blocco di generazione da utilizzare con altre regole, fare clic su Esporta come blocco di generazione.
  10. Nella pagina Risposte regola , configurare le risposte che si desidera vengano generate da questa regola.
    Ulteriori informazioni sui parametri della pagina di risposta della regola:
    Tabella 1. Parametri di pagina della risposta regola Evento , Flusso e Comune, e Offensiva
    Parametro Descrizione
    Gravità Selezionare questa casella di controllo per assegnare un livello di severità all'evento, dove 0 è il più basso e 10 è il più alto. La severità viene visualizzata nel riquadro Annotazione dei dettagli dell'evento.
    Affidabilità Selezionare questa casella di controllo per assegnare credibilità all'origine log. Ad esempio, l'origine log è fastidiosa o dispendiosa? L'intervallo va da 0 (più basso) a 10 (più alto) e l'impostazione predefinita è 10. La credibilità viene visualizzata nel riquadro Annotazione dei dettagli dell'evento.
    Rilevanza Selezionare questa casella di spunta per assegnare la rilevanza al peso dell'asset. Per esempio, quanto è importante l'asset? L'intervallo va da 0 (più basso) a 10 (più alto) e l'impostazione predefinita è 10. La rilevanza viene visualizzata nel riquadro Annotazione dei dettagli dell'evento.
    Ignora ulteriore evento di correlazione regola

    Selezionare questa casella di spunta per far corrispondere un evento o un flusso per ignorare tutte le altre regole nel motore delle regole e impedire che crei un'offensiva. L'evento è scritto nell'archiviazione per la ricerca e il reporting.
    Invia nuovo evento

    Selezionare questa casella di spunta per inviare un nuovo evento in aggiunta all'evento originale o flusso, che viene elaborato come tutti gli altri eventi nel sistema.

    Invia un nuovo evento con l'evento originale, ed è elaborato come tutti gli altri eventi nel sistema.

    Quando si seleziona questa casella di spunta, vengono visualizzati i parametri Spedizione nuovo evento . Per impostazione predefinita, la casella di spunta è deselezionata.
    E-mail Selezionare questa casella di controllo per modificare l'impostazione Locale email da Impostazioni di sistema sulla scheda Amministrazione .
    Invia a Syslog locale

    Selezionare questa casella di spunta per registrare l'evento o il flusso localmente.

    Per impostazione predefinita, questa casella di spunta è deselezionata.

    Nota: solo gli eventi normalizzati possono essere registrati localmente su un dispositivo. Se si desidera inviare dati evento grezzi, è necessario utilizzare l'opzione Invia a destinazioni di inoltro, per inviare i dati ad un host syslog remoto.
    Invia a destinazioni di inoltro

    Selezionare questa casella di spunta per registrare l'evento o flusso su una destinazione di inoltro.

    Una destinazione di inoltro è un sistema vendor, come i sistemi SIEM, di ticket o di segnalazioni. Quando si seleziona questa casella di controllo, viene visualizzato un elenco di destinazioni di inoltro.

    Per aggiungere, modificare o eliminare una destinazione di inoltro, fare clic sul link Gestisci destinazioni.
    Notifica

    Selezionare questa casella di controllo per visualizzare gli eventi generati come risultato di questa regola nell'elemento Notifiche di sistema nella scheda Dashboard.

    Se si abilitano le notifiche, configurare il parametro Limitatore risposte.
    Aggiungi alla serie di riferimento

    Selezionare questa casella di controllo per aggiungere eventi generati come risultato di questa regola a una serie di riferimento. È necessario essere un amministratore per aggiungere i dati ad una serie di riferimento.

    Per aggiungere i dati a una serie di riferimento, seguire questi passaggi:

    1. Dal primo elenco, selezionare la proprietà dell'evento o del flusso che si desidera aggiungere.
    2. Dal secondo elenco, selezionare la serie di riferimento a cui si desidera aggiungere i dati specificati.
    Aggiungi ai dati di riferimento

    Per utilizzare questa risposta di regola è necessario creare la raccolta dati di riferimento.
    Rimuovi dalla serie di riferimento

    Selezionare questa casella di controllo per rimuovere i dati da una serie di riferimento.

    Per rimuovere i dati da una serie di riferimento:

    1. Dalla prima casella di elenco, selezionare la proprietà dell'evento o del flusso che si desidera rimuovere. Le opzioni includono tutti i dati normalizzati o dati personalizzati.
    2. Dalla seconda casella di elenco, selezionare la serie di riferimento da cui si desidera rimuovere i dati specificati.
    La risposta regola Rimuovi dalla serie di riferimento fornisce la seguente funzione:
    Aggiorna
    Clicca su Aggiorna per aggiornare la prima casella di elenco per assicurarsi che l'elenco sia corrente.
    Rimuovi da dati di riferimento

    Per utilizzare questa risposta di regola è necessario disporre di una raccolta dati di riferimento.
    Esegui azione personalizzata Selezionare questa casella di spunta per scrivere script che eseguono azioni specifiche in risposta a eventi di rete. Ad esempio, è possibile scrivere uno script per creare una regola firewall che blocchi un determinato indirizzo IP di origine dalla rete in risposta a ripetuti tentativi non riusciti di accesso.

    Aggiungere e configurare azioni personalizzate utilizzando l'icona Definisci azioni sulla scheda Admin.
    Limitatore risposte Selezionare questa check box per configurare la frequenza con cui si desidera che questa regola risponda.

    Una notifica SNMP potrebbe essere simile al seguente esempio:

    "Wed Sep 28 12:20:57 GMT 2005, Custom Rule Engine Notification -
 Rule 'SNMPTRAPTst' Fired. 172.16.20.98:0 -> 172.16.60.75:0 1, Event Name:
 ICMP Destination Unreachable Communication with Destination Host is
 Administratively Prohibited, QID: 1000156, Category: 1014, Notes:
 Offense description"

    Un output syslog potrebbe essere simile al seguente esempio:

    Sep 28 12:39:01 localhost.localdomain ECS:
 Rule 'Name of Rule' Fired: 172.16.60.219:12642
 -> 172.16.210.126:6666 6, Event Name: SCAN SYN FIN, QID:
 1000398, Category: 1011, Notes: Event description

Operazioni da eseguire successivamente

Per verificare le regole, eseguire Correlazione cronologica.

Per verificare che l'evento attivi il test della regola in base al tuo blocco di creazione, puoi creare una risposta email, vedi Invio di notifiche email.