Работа с правилами корреляции
Раздел содержит описание процессов, связанных с настройкой и обслуживанием правил корреляции.
Предустановленные правила корреляции. Разработка правил корреляции
Платформа поставляется с набором готовых правил, которые при необходимости можно быстро включить, следующих категорий:
- обнаружение вредоносного кода;
- обнаружение подозрительных объектов в сетевом трафике;
- обнаружение подозрительной активности;
- аномалии в событиях аутентификации;
- контроль изменения конфигураций.
При необходимости можно разработать собственные правила корреляции. Процесс разработки правил корреляции приведен в разделе Описание специальных функций для правил корреляции.
Управление правилами корреляции
Включение правил корреляции
Для включения правил корреляции необходимо:
- Зайти в раздел "Коррелятор"->"Правила".
- В табличном списке правил найти интересующее выключенное правило.
- В строке правила нажать на пиктограмму
статуса активности (см. рисунок 1).
Статус правила сменится на Активное, в поле отобразится пиктограмма .
Рисунок 1 -- Включение правил корреляции в списке правил в разделе "Корреляторы"->"Правила"
Выключение правил корреляции
Для выключения правил корреляции необходимо:
- Зайти в раздел "Коррелятор"->"Правила".
- В табличном списке правил найти интересующее включенное правило.
- В строке правила нажать на пиктограмму
статуса активности (см. рисунок 2).
Статус правила сменится на Неактивное, в поле отобразится пиктограмма .
Рисунок 2 -- Выключение правил корреляции в списке правил в разделе "Корреляторы"->"Правила"
Обработка результатов работы правил корреляции
Источник результатов работы правил корреляции
Результаты работы правил корреляции создаются при вызове функции alert в правиле корреляции. Подробное описание приведено в разделе Описание специальных функций для правил корреляции.
Просмотр деталей инцидента, созданного по результатам работы правил корреляции
Для перехода к просмотру результата работы правила корреляции необходимо выполнить следующие действия:
- Зайти в раздел "Коррелятор"->"Результаты".
- В табличном списке найти интересующий инцидент и щелкнуть по заголовку результата (поле "Заголовок результата").
Откроется форма с детализацией инцидента, созданного по результатам работы правил корреляции. Детализированная информация состоит из нескольких блоков.
Блок сводной информации (см. рисунок 3) содержит следующие параметры:
- Заголовок - заголовок инцидента;
- Произошло - время определения инцидента правилами корреляции;
- Время создания - время "ручного" оформления инцидента в системе;
- Время последнего изменения - время последнего изменения параметров инцидента.
Рисунок 3 -- Форма детализации инцидента. Блок сводной информации
Блок описания правила корреляции (см. рисунок 4) одержит следующие параметры:
- "Оценка риска";
- "Правило" - название используемого при обнаружении инцидента правила корреляции.
- "Ключ из правил";
- "Тип инцидента";
- "Актив" - адрес актива, на котором был зафиксирован инцидент.
- "Инцидент".
Рисунок 4 -- Форма детализации инцидента. Блок описания правила
Также в форме детализации инцидента отображаются детали анализа события, передаваемые из правила в инцидент. Детали события, по которому создан инцидент, приведены ниже (см. рисунок 5).
Рисунок 5 -- Детали анализа события, по которому был создан инцидент
Конвертирование результатов работы правил корреляции в инцидент
Решение о необходимости конвертирования результатов работы правила в инцидент принимается пользователем после анализа результатов работы правила корреляции.
Для конвертирования в инцидент одного результата необходимо выполнить следующие действия:
- Зайти в раздел "Коррелятор"->"Результаты".
- Нажать на кнопку Инцидент напротив результата, который нужно конвертировать в инцидент.
Выбранный результат будет преобразован в инцидент (см. рисунок 6).
Рисунок 6 -- Окно конвертирования результатов в инцидент
Для просмотра созданного инцидента нужно нажать на кнопку Инцидент.
Управление табличными списками
Создание нового табличного списка
При клике на кнопку «Создать новое хранилище» откроется форма ввода параметров (см. рисунок 7).
Рисунок 7 -- Создание нового хранилища.
При создании хранилища задайте параметры:
- Наименование хранилища (произвольное).
- Описание (произвольное).
- Чекбокс «Под большой объем данных?». Предполагается, что объем будет более миллиона записей. При этом будет использоваться другой механизм работы с данными.
- Тип хранилища. Пока только pg.
- Система хранения данных. Пока только vstore.
- Схема данных. В схеме через запятую задаются столбцы с данными. По умолчанию
{“value” : “string”}
. Тип может быть указан строчный (string) или целочисленный (int). Например,{“value” : “string”, “column” : “int”}
. - Чекбокс «Маскировать данные?». Показывает, что данные в интерфейсе Платформы Радар необходимо отображать в маскированном виде.
Управление табличным списком
При клике на иконку просмотра табличного списка откроется его содержимое (см. рисунок 8).
Рисунок 8 -- Просмотр табличного списка.
Для табличного списка доступны действия:
- добавление нового значения;
- действия с документами;
- установка фильтра;
- массовые действия;
- выбор строки;
- редактирование отдельной строки;
- удаление отдельной строки.
При добавлении нового значения откроется форма ввода нового значения (см. рисунок 9).
Рисунок 9 -- Добавление нового значения.
Каждой строке табличного списка задается ключ, по которому к этой строке можно будет обратиться. При задании ключа необходимо соблюдать его уникальность. В поля, соответствующие схеме, необходимо ввести значения.
По клику «Действия с документами» доступна загрузка и выгрузка табличного списка. Доступные форматы для выгрузки и загрузки: CSV, Excel, JSON.
При установке фильтра откроется окно с установкой фильтра по ключу и значению (см. рисунок 10).
Рисунок 10 -- Фильтр табличного списка.
Кнопка «Показать все» позволяет сбросить фильтр.
В массовых действиях доступно удаление выбранных или всех строк.
При редактировании отдельной строки отобразится та же форма, что и при добавлении нового значения (см. рисунок 9).
Основные возможности применения правил корреляции
Настройка корреляции по количественному признаку
В правилах корреляции присутствуют переменные, позволяющие настроить правило по количественным признакам. Это такие переменные, как:
- временное окно детектирования - стандартное имя переменной в Платформе: detection_windows.
- пороговые значения количества событий или объектов - рекомендуется при создании пороговых переменных, присваивать им имена, которые содержат слово threshold. Например, переменная files_threshold - порог срабатывания по количеству обнаруженных файлов для правила корреляции "Обнаружение загрузки вредоносного файла".
Для правил корреляции, использующих данные переменные, можно настраивать значения переменных под текущие требования использования правила.
Для настройки существующего правила корреляции по количественному признаку необходимо:
- В веб-интерфейсе Платформы перейти в раздел "Коррелятор"->"Правила".
- Выбрать в списке правил корреляции интересующее правило и открыть его на редактирование нажав
.
- Отредактировать правило в части временного окна и порогового значения (см. рисунок 11).
- Нажать кнопку Сохранить.
Согласно правилу корреляции, происшествие будет сформировано в Платформе при превышении событиями (объектами) заданного порога в рамках заданного временного окна.
Карточка Инцидента в веб-интерфейсе должна содержать Происшествия, связанные с инцидентом. При просмотре деталей происшествия должны отображаться события, спровоцировавшие происшествие.
Подробное описание работы с правилами корреляции и описание основных стандартных правил корреляции приведены в разделе Описание специальных функций для правил корреляции..
Рисунок 11 - Настройка правила корреляции по количественным параметрам
Формирование корреляции по последовательности событий
В Платформе предусмотрена возможность создания правила корреляции, работающего по последовательности событий. Например, правила типа: «Многочисленные неудачные попытки входа, с последующим успешным входом на узел».
Для таких правил устанавливаются пороговые переменные на каждый тип события из последовательности событий (описание количественных переменных и редактирование правила см. выше в раздел "Настройка корреляции по количественному признаку"). Например, для правила «Многочисленные неудачные попытки входа, с последующим успешным входом на узел»:
- Должны быть установлены:
- пороговая переменная на событие "неудачный вход" - устанавливается порог на допустимое количество неудачных входов;
- пороговая переменная на событие "удачный вход" - устанавливается значение "1".
- В правиле настраивается соответствующая цепочка событий.
Если в разделе "Инциденты" выбрать в списке инцидентов инцидент по последовательности событий и открыть его карточку, то в карточке инцидента должны отображаться данные по каждому происшествию в последовательности и по каждому событию, спровоцировавшему последовательность происшествий.
Подробное описание работы с правилами корреляции и описание основных стандартных правил корреляции приведены разделе Описание специальных функций для правил корреляции..
Поддержка операций выделения фрагментов события в правилах корреляции
Подробнее в разделе Фильтрация событий
Настройка автоматического оповещения пользователя при срабатывании правила корреляции
При необходимости в Платформе можно настроить систему автоматического оповещения пользователя на электронную почту, ответственного за инцидент, при срабатывании правила корреляции.
Подробнее в разделе Toller
Ретроспективная корреляция
Платформа Радар позволяет осуществлять проверку гипотез на основе исторических данных, хранимых в системе. Для осуществления ретроспективного анализа можно использовать как существующие правила корреляции, так и вновь созданные. Для перевода правила в режим ретроспективного анализа необходимо изменить ключ очереди, на которую подписывается правило и создать задачу по ретроспективному анализу. Рассмотрим работу в режиме ретроспективного анализа на примере существующего правила. В примере будет использовано правило "Event_logs_cleared".
В разделе Коррелятор - Правила найти нужное правило и скопировать его нажатием иконки
Добавить префикс в имени правила
retro_
и изменить в правиле ключ, который будет использоваться для подписки на очередь с историческими данными.
Для изменения ключа необходимо на странице редактирования правила найти строку с функцией @log_connection.fetch
и указать в ней ключ, который далее планируется использовать в задаче по ретроспективному анализу. Наименование ключа может быть любым. Наименование в примере #.retro-event-clear.#
.
При создании нового правила, для тестирования его на исторических данных, нужно сразу указать необходимый ключ в функции подписи на очередь событий и указать в префиксе названия правила
retro_
.
Вид измененной функции:
@log_connection.fetch('#.retro-event-clear.#')
После внесения изменений в правило нажать кнопку Клонировать.
Далее необходимо создать задачу по ретроспективному анализу. Для этого нужно перейти в раздел Коррелятор - Ретроспективная корреляция (см. рисунок 12).
Рисунок 12 -- Ретроспективная корреляция.
На странице создания задач по ретроспективному анализу необходимо указать следующие параметры параметры:
- Период - указать значения начала и конца необходимого промежутка времени, в котором будет проводиться анализ.
- Название задачи - указать имя задачи для ее идентификации в списке задач.
- Ключ в правиле - указать ключ, который был задан в правиле корреляции, подготовленном для ретроспективного анализа. Наименование в примере #.retro-event-clear.#
.
- Индекс - указать индексы событий, по которым необходимо произвести анализ (поддерживается wildcard символ "*").
После настройки параметров необходимо нажать Создать задачу.
После выполнения вышеописанных действий система запустит созданную задачу с указанными параметрами.