Skip to content

Modul de alertare


Cuprins

1.1 Modul de alertare

Funcția de alertare inteligentă a investigației este o caracteristică complet adaptabilă care poate fi configurată și editată de utilizatorul final:

• Evenimentul care declanșează alerta poate fi definit de utilizator pentru a răspunde la nevoile cele mai specifice ale evenimentelor, asigurând o precizie sporită și reducând la minimum alertele false. Acest lucru se poate face prin intermediul elementului din meniul Setări Alt text selectând fila “Real Time alerts management” tab.

Alt text

Pic.2.11.1: Navigați la fila Alerte

În această filă, utilizatorii pot adăuga, edita și șterge alertele:

Pentru a adăuga o alertă, faceți clic pe butonul " New Alert" din meniul Acțiuni. Alt text Pic.2.11.2: Crearea unei noi alerte

Alt text Pic.2.11.3: Alertă programată

  • Fiecare descriere a numelui de alertă și data adăugată este afișată în fila de gestionare a alertelor și alertele individuale pot fi editate apăsând pe butonul " edit" Alt text butonul sau șters, apăsând butonul butonul “delete”Alt text.
  • Când se apasă butonul "Edit", se va deschide o fereastră "Edit Alert" unde alerta poate fi editată fie ca alertă independentă, fie compusă din una sau mai multe alerte pentru a aplica mai multe filtre în funcție de necesitatea utilizatorului. Acesta este unul din cele două căi prin care se poate configura o alertă. Alt text Pic.2.11.4: Editarea alertelor

• Al doilea mod în care utilizatorii pot adăuga alerte este dintr-un raport: selectați raportul dorit din fila Rapoarte și faceți click pe butonul "Add as alert". Alt text Pic.2.11.5: Adăugarea de alerte

1.1.1 Configurarea rapoartelor personalizate

Dacă una dintre definițiile standard pentru rapoarte sau alerte nu corespunde nevoilor utilizatorilor, alerta poate fi personalizată pentru o mai mare acuratețe, făcând click pe butonul " compose " Alt text : Alt text Pic.2.11.1.1: Personalizarea alertelor

În primul rând, utilizatorul trebuie să stabilească "intervalul de timp" în care pot apărea alertele compuse, să filtreze datele pentru fiecare alertă pentru a mări / micșora numărul de evenimente care vor fi corelate cu alerta compusă, următoarea definiție a raportului (evenimentele care vor răspunsul la acest raport vor fi corelate și filtrate pentru a se potrivi cu evenimentele primei alerte), "adera la reguli" datele explicite din evenimentele anterioare pe care utilizatorul trebuie să le utilizeze pentru următoarea definiție de alertă.

1.1.2 Configurarea exemplelor de alerte în timp real

Șabloane de alertă

Exemplu de alertă:(Logon) Acest scenariu presupune configurarea unei alerte pentru un anumit utilizator pentru două intrări nereușite în timpul unui interval de timp de 60 de secunde.

Pasul 1.

Accesați modul de raportare prin apăsarea pictogramei " Rapoarte": Alt text Pic.2.11.2.1:Pictograma Rapoarte

Pasul 2.

Selectarea definiției raportului. În scenariul curent, definiția raportului este " Windows failed logins": - Utilizatorul trebuie să navigheze la raportul dorit din arborele de raport din partea stângă a paginii. În acest caz, selectați raportul " Windows Failed Logons", apoi faceți click pe " Add as Alert".

Alt text Pic.2.11.2.2: Selectarea raportului dorit

  • În fișierul "Filter data", introduceți numele de utilizator al persoanei care nu a reușit conectarea la care vrem să fim alertați: UserName: "usertest", în formularul "time span", tastați intervalul de timp în care alerta va fi activă (în cazul în care utilizatorul nu reușește să se autentifice și nu va reuși din nou timp de cel puțin 60 de secunde, primul eveniment va fi șters, evitând astfel trimiterea de alerte false), în "Join Rules", "UserName = E1.UserName" să furnizeze alertei compuse informațiile pe care trebuie să le caute și, în final, o scurtă descriere a ceea ce face această alertă. În cele din urmă, după verificarea informațiilor, dați click pe "Submit". Un mesaj scurt va solicita utilizatorului că alerta a fost înregistrată. Alt text Pic.2.11.2.3: A fost adăugat mesajul de alertă

Alt text Pic.2.11.2.4: Adăugarea alertei noi - Logare nereușită în Windows

Pasul 3.

Alerta poate fi setată pentru a trimite un e-mail sau un SMS când apare, dar în mod alternativ alertele sunt afișate în fila alerte din meniul de sus:

Alt text

Pic.2.11.2.5: Fila Alerte

Alertele sunt afișate ca evenimente obișnuite. În acest exemplu, alerta a fost setată pentru a declanșa atunci când utilizatorul "usertest" nu va reuși să se conecteze de două ori. Pentru că este rezultatul combinării aceluiași tip de acțiune de răspuns, vor fi declanșate două alerte: Prima este declanșată atunci când apare o conectare nereușită pentru utilizatorul "usertest" (prima alertă pe care am compus-o) și a doua alertă una pe care am dori să o configuram) va declanșa atunci când apare un al doilea eveniment de conectare și numele de utilizator este "usertest" (Acesta a fost configurat anterior în partea de "join rules" de a compune alerte) Rezultatele sunt următoarele: Alt text Pic.2.11.2.6: Alerte

1.1.3 Configurarea exemplelor de alerte sumare

Exemplu de alertă:(Logon)

Scenariul de alertare va fi: notificați biroul de securitate dacă un utilizator accesează Facebook de mai mult de 50 de ori pe zi.

Pasul 1:

  • Crearea raportului cu definiția alertei (în esență un raport care prezintă toate evenimentele cu filtrele necesare, în acest caz, site-ul Facebook). Acest raport personalizat a fost executat până la găsirea tuturor evenimentelor care conțin cuvântul "Facebook" în ele, inclusiv informațiile relevante (adresa IP, data, ora etc.). Pentru a face acest lucru, acțiunile necesare sunt după cum urmează:
  • Click pe buton “Reports” Alt text și practica obișnuită ar fi să faceți un nou dosar pentru acesta și orice alte rapoarte personalizate, astfel faceți click “New Folder” Alt text din arborele rapoartelor din stânga sus. Va apărea un pop-up care va solicita numele noului folder. În acest caz, numele este "Personalizat", faceți click pe "Salvați". Alt text Pic.2.11.3.1: Creați un dosar nou în fila Rapoarte

Selectați acest nou dosar și creați un nou raport făcând click pe butonul "New Report".

Alt text

Pic.2.11.3.2: Noul folder în rapoarte

1.1.4 Șabloane de alertă

Pentru a crea un nou șablon de alertă, navigați la orice gestionare a alertelor (summary or real time) din meniul de setări: Alt text

Click “Nou șablon de alertă” Alt text . Aceasta va deschide o fereastră de formular pentru o alertă.

Șabloane de alertă în timp real: Alt text

Cuvintele cheie permit extragerea informațiilor utile din evenimentele care declanșează alerta.
Alt text

Șabloanele de alertă în timp real pot extrage oricare dintre câmpurile de evenimente care sunt încapsulate prin semnele% (Ex: Computer, Nume de utilizator, LocalTime, câmpuri S etc.)

De exemplu: The %E1.UserName% has logged on to %E1.Computer% etc.

Lista evenimentelor derulate este utilizată pentru alerta în mai multe etape (care implică mai multe evenimente) pentru a selecta la ce eveniment sa se refere, în cazul unui singur eveniment E1.

Șabloane de alerta sumarizata: Alt text

Posibilele cuvinte cheie sunt:

%AlertGeneratedTime% - timpul de creație al alertei

%SummaryOnLevelX% - câmpul care a fost selectat pentru rezumat la nivelul X

%SummaryOnLevelXMatch% - mvaloarea câmpului corespunzător nivelului X (dacă tipul sumarului este avg sau suma, ultimul nivel nu are o potrivire, utilizați în schimb SummaryValue)

%SummaryType% - tip sumar al alertei

%SummaryValue% - valoarea sumară (pentru tipurile de avg și sumă)

%Threshold% – Pragul definit de alerte

%TimeIntervalBack% - interval de timp

%NumberOfEvents% - evenimentele incluse în alertă

%EventAnalysisSection% - numărul de evenimente pe intervale de timp

%First100EventsSection% - lista de evenimente (prima listă de 100 de evenimente, inclusiv câmpurile selectate mai jos)

%AlertActionsSection% - secțiunea cu acțiuni de alertă (vizualizare, recunoaștere, fals pozitiv, ștergere)

Alt text

1.1.5 Obiecte DTS

Obiectele de servicii de transformare a datelor sunt obiecte JavaScript care sunt compilate în timpul rulării. Ele sunt utilizate pentru îmbunătățirea jurnalului, îmbogățirea, luarea deciziilor, alertarea și alte funcționalități.

Un eveniment CyberQuest are următorul format:

{
  "EventID": "1-2000000000",    
  "LocalTime": "yyy-mm-dd hh:mm:ss.fff",
  "GMT": " yyy-mm-dd hh:mm:ss.fff",",
  "UserName": "blacklisted.user1",
  "UserDomain": "Demo",
  "SrcIP": "xxx.xxx.xxx.xxx",
  "DestIP": "xxx.xxx.xxx.xxx",
  "VersionMajor": "6",
  "VersionMinor": "2",
  "Computer": "A-PC.Demo.local",
  "Source": "Microsoft-Windows-Security-Auditing",
  "EventLog": "Security",
  "Category": "Logon",
  "EventType": "8",
  "Description": "An account was successfully logged on.\r\n\r\nSubject:\r\n\tSecurity ID:\t\tS-1-0-0\r\n\tAccount Name:\t\t-\r\n\tAccount Domain:\t\t-\r\n\tLogon ID:\t\t0x0\r\n\r\nLogon Type:\t\t\t3\r\n\r\nImpersonation Level:\t\tImpersonation\r\n\r\nNew Logon:\r\n\tSecurity ID:\t\tS-1-5-21-1009658894-4016096118-1013530418-1275\r\n\tAccount Name:\t\tblacklisted.user1\r\n\tAccount Domain:\t\tDemo\r\n\tLogon ID:\t\t0xC2C9FA762\r\n\tLogon GUID:\t\t{00000000-0000-0000-0000-000000000000}\r\n\r\nProcess Information:\r\n\tProcess ID:\t\t0x0\r\n\tProcess Name:\t\t-\r\n\r\nNetwork Information:\r\n\tWorkstation Name:\tRemoteWorkstation\r\n\tSource Network Address:\t10.10.10.10\r\n\tSource Port:\t\t44214\r\n\r\nDetailed Authentication Information:\r\n\tLogon Process:\t\tNtLmSsp \r\n\tAuthentication Package:\tNTLM\r\n\tTransited Services:\t-\r\n\tPackage Name (NTLM only):\tNTLM V1\r\n\tKey Length:\t\t128\r\n\r\nThis event is generated when a logon session is created. It is generated on the computer that was accessed.\r\n\r\nThe subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.\r\n\r\nThe logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network).\r\n\r\nThe New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on.\r\n\r\nThe network fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.\r\n\r\nThe impersonation level field indicates the extent to which a process in the logon session can impersonate.\r\n\r\nThe authentication information fields provide detailed information about this specific logon request.\r\n\t- Logon GUID is a unique identifier that can be used to correlate this event with a KDC event.\r\n\t- Transited services indicate which intermediate services have participated in this logon request.\r\n\t- Package name indicates which sub-protocol was used among the NTLM protocols.\r\n\t- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.",
  "S1": "S-1-0-0",
  "S2": "-",
  "S3": "-",
  "S4": "0x0",
  "S5": "S-1-5-21-1009658894-4016096118-1013530418-1275",
  "S6": "blacklisted.user1",
  "S7": "Demo",
  "S8": "0xc2c9fa762",
  "S9": "3",
  "S10": "NtLmSsp ",
  "S11": "NTLM",
  "S12": "RemoteWorkstation",
  "S13": "{00000000-0000-0000-0000-000000000000}",
  "S14": "-",
  "S15": "NTLM V1",
  "S16": "128",
  "S17": "0x0",
  "S18": "-",
  "S19": "10.10.10.10",
  "S20": "44214",
  "S21": "%%1833",
  "S22": "",
  "S23": "",
  "S24": "",
  "S25": "",
  "S26": "",
  "S27": "",
  "S28": "",
  "S29": "",
  "S30": "",
  "S31": "",
  "S32": "",
  "S33": "",
  "S34": "",
  "S35": "",
  "S36": "",
  "S37": "",
  "S38": "",
  "S39": "",
  "S40": "",
  "S41": "",
  "S42": "",
  "S43": "",
  "S44": "",
  "S45": "",
  "S46": "",
  "S47": "",
  "S48": "",
  "S49": "",
  "S50": ""
}

S1-150 sunt câmpuri extra string și sunt utilizate, în general, pentru a stoca informații utile extrase din eveniment. Scopul acestui lucru este corelarea informațiilor utile în tablouri de bord și stabilirea declanșatorilor de alertă.

EXEMPLU: Putem folosi un obiect DTS pentru a verifica o listă dinamică sau statică pentru utilizatorii necunoscuți. Utilizăm funcția getter pentru a verifica dacă utilizatorul curent face parte dintr-o listă neagră sau dintr-o listă albă.

Caz 1: utilizatorul face parte dintr-o listă neagră: putem ridica o avertizare că un utilizator pe lista neagră s-a conectat la un computer cu funcția RaiseAsAlert

Caz 2: utilizatorul face parte dintr-o listă albă: nu facem nimic (din punct de vedere al alertei) analizăm doar date utile dacă este necesar

Caz 3: utilizatorul nu se află în niciuna dintre liste și dorim să adăugăm utilizatori necunoscuți la o listă neagră în mod implicit. Acest lucru se poate realiza prin utilizarea funcției setter.

Pentru ca un obiect DTS să primească un eveniment ca parametru (sau pentru ca un eveniment să fie analizat) trebuie respectate următoarele 3 condiții preliminare:

  1. Creați un obiect DTS Alt text Alt text

Un nou obiect DTS poate fi creat din meniul setări prin navigarea către: " Settings" -> " DTS Objects" -> " New DTS Object"

2.Creați o regulă de filtrare Alt text

O nouă regulă de filtrare poate fi creată din meniul setări prin navigarea la: " Settings" -> " Filter Rules" -> " New Filterrule"

Regula de filtrare este un set de condiții pe care evenimentele recepționate trebuie să le îndeplinească pentru a fi trecute printr-unul sau mai multe obiecte DTS (parsed).

3.Creați o regulă DA (regulă de achiziție de date)

Alt text

O nouă regulă DA poate fi creată din meniul setări prin navigarea la: "Settings" -> "Rules DA" -> "New DA Rule"

Regula DA este un mecanism de luare a deciziilor care trimite evenimente (date) care îndeplinesc criteriile stabilite de regulile filtrelor prin obiecte DTS și serviciul de stocare a datelor și / sau analizator de date.

1.1.5.1 DTS Obiecte - Metode încorporate

Obiectele DTS au funcții personalizate create în scopul interacțiunii cu listele Redis sau cu modulul de alertare. Funcțiile sunt:

setter

Introduce valori în listele Redis Parametrii: [list_name],[list_key],[list_value][TTL]

Exemplu: setter(‘UserLists’,this.inputEvent.UserName,this.inputEvent.SrcIP,360); În acest exemplu, obiectul DTS aratat în ‘UserLists’ pentru câmpul UserName al evenimentului și

Caz 1 Dacă există deja, acesta își modifică valoarea (câmpul SrcIP) și resetează durata de intrare a listei la 360 de secunde.

Caz 2 Dacă nu există, creează o intrare nouă cu cheia UserName și valoarea SrcIP care are o dată de expirare de 360 de secunde.

getter

Obține valori din listele Redis. Parametrii: [list_name],[list_key]

Exemplu: getter('IPLists',this.inputEvent.SrcIP); În acest exemplu, obiectul DTS aratat în 'IPLists' lista pentru evenimentele curente ale domeniului SrcIP și obține valoarea asociată.

RaiseAsAlert Genereaza un eveniment de alertă cu setările dorite. Parametrii: event_list,[alert_name],[email_address(es)],[security_score],[security_level], [alert template]

Exemplu:RaiseAsAlert(JSON.stringify(EventList),"Multiple Logins(10)","someone@company.com","7","7","Multiple Logins(10)"); În acest exemplu, alertele obiectului DTS "someone@company.com” si in continuare "Multiple Logins (10)" alerta este declanșată și îi oferă un scor de securitate de 7 și un nivel de securitate de 7.

Exemplu: backEvents(‘SearchString’), NumberOfDays); Mod implicit NumberOfDays (dacă nu este specificat) este 100. Căutări pentru ‘SearchString’ și returnează toate evenimentele care corespund căutării în format JSON (mulțime)

Exemplu: backCount(‘SearchString’), NumberOfDays); Căutări pentru ‘SearchString’ și returnează numărul tuturor evenimentelor care corespund căutării.

Exemplu: ConsoleLog(String); Jurnalul dorit String in in /var/log/data-acquisition.log