Skontaktuj się z nami
SIEM

Jak poprawnie tworzyć reguły korelacyjne w SIEM?

Do przeczytania w 1 min.
McAfee

Share

Jak poprawnie tworzyć reguły korelacyjne na przykładzie wykrycia Malware bazując na oprogramowaniu McAfee Endpoint Security.

Czym jest Malware?

Malware to oprogramowanie, które ma na celu uszkodzenie komputera, systemu lub sieci urządzeń bądź przejęcie częściowej kontroli nad ich działaniem. Próbuje również uzyskać dostęp do Twoich danych osobowych. Ilość Malware rośnie wykładniczo głównie z powodu technologii, które mogą przekształcić złośliwe oprogramowanie w nowe, nierozpoznane wersje, często w mniej niż 24 godziny.

Zapraszamy do przeczytania poprzedniego artykułu z tej serii pt.

Jak wiadomo do konsoli systemu McAfee SIEM trafiają miliardy zdarzeń z różnych podłączonych systemów.

McAfee ESM

Jak zatem poprawnie stworzyć regułę korelacyjną? Jak wyszukać interesujący nas incydent bezpieczeństwa w postaci wykrycia wirusa w systemie McAfee ESM w gąszczu innych zdarzeń z różnych systemów? Na te i inne pytania postaram się odpowiedzieć w niniejszym artykule.

Wyszukiwanie zdarzenia wykrycia wirusa.

Aby szybciej i efektywniej zdiagnozować incydent wykrycia wirusa zawsze warto w pierwszej kolejności wybrać źródło zdarzeń, które będzie zawierało incydent bezpieczeństwa. W naszym przypadku będzie to ePolicy Orchestrator. Wybierając tylko jedno źródło mamy pewność że bazujemy tylko na jego zdarzeniach ograniczając niepotrzebne logi w widokach w konsoli.

McAfee ESM

W celu zobrazowania całego procesu poniżej przedstawiono diagram pokazujący jak wygląda cykl incydentu związanego z wykryciem Malware:

McAfee ESM

Jak to wygląda w praktyce?

W celu wygenerowania incydentu związanego z wykryciem Malware użyto spreparowanego pliku na stacji roboczej. Mechanizm On-Access Scan w oprogramowaniu McAfee Endpoint Security wykrył zainfekowany plik na stacji roboczej.

McAfee ESM

Zdarzenie wykrycia Malware zostaje przekazane do centralnej konsoli zarządzającej McAfee ePolicy Orchestrator. Po wejściu w szczegóły Workstation w Threat Events widać zdarzenie w konsoli ePO.

McAfee EPO

Zdarzenia zostają pobrane do Event Receiver’a, a następnie przekazane do konsoli ESM.
W zdefiniowanym źródle ePO w konsoli należy odszukać incydent wykrycia wirusa. Ważnymi zmiennymi w szczegółach zdarzenia, które będą pomocne przy tworzeniu nowej reguły korelacyjnej są pola Signature ID oraz Normalized ID.

Normalized Groups

Czym jest Normalized ID i czym się różni od Signature ID?

Ponieważ nazwy reguł mogą się różnić w zależności od dostawców, co utrudnia zebranie informacji o zdarzeniach, McAfee ESM stale tworzy listę znormalizowanych identyfikatorów reguł, które umożliwiają organizowanie informacji o zdarzeniach. Aby usprawnić pracę stworzono listę znormalizowanych identyfikatorów zdarzeń, dzięki którym można wyświetlić wyniki zapytań na wykresach kołowych, słupkowych i listach lub filtrować widoki pulpitu nawigacyjnego.

Signature ID to numer identyfikacyjny reguły, która może pomyślnie przeanalizować zdarzenie.

W powyższym przykładzie został pokazany Normalized ID zdarzenia wykrycia Malware. W celu stworzenia poprawnie reguły korelacyjnej należy użyć tego atrybutu. Dla przykładu stworzenia nowej reguły korelacyjnej zostanie użyte właśnie to pole.

Tworzenie reguły korelacyjnej:

Z okna Policy Editor należy wybrać w drzewie opcję Correlations. Następnie należy utworzyć nową regułę korelacyjną poprzez New -> Correlation Rule. Szczegóły reguły korelacyjnej są podane poniżej:

Należy pamiętać o nazwie identyfikującej regułę, określeniu Severity oraz wybraniu odpowiedniego Normalization ID. Całość należy zatwierdzić przyciskiem OK.

Correlation Rule

Ostatnimi czynnościami jest włączenie reguły, wyłączenie agregacji oraz wykonanie rollout polityk.

Policy Editor

Po utworzeniu reguły korelacyjnej zostanie od razu wyświetlona jej sygnatura dzięki czemu można w łatwy sposób wyszukać wszystkie zdarzenia związane z daną regułą korelacyjną.

Ostatnim krokiem jest ponowne wywołanie incydentu związanego z wykryciem Malware i weryfikacja czy reguła korelacyjna wykonała się poprawnie.

Podstawowe informacje z wartościami znormalizowanymi można zobaczyć w karcie Details, w szczegółach wywołanej reguły korelacyjnej:

Dodatkowe informacje min. takie jak nazwa skompromitowanego pliku, jego lokalizacja na stacji roboczej, czy metoda wykrycia znajdują się w karcie Custom Types.

W ten sposób uzyskujemy pewność, że wszystkie potencjalne przyszłe wystąpienia tego typu incydentów zostaną natychmiast wychwycone i operator SIEM będzie mógł podjąć odpowiednie działania.

Zapraszamy do śledzenia naszych social media, gdzie pojawią się informacje o nowych artykułach.

Chcesz poznać więcej rozwiązań McAfee?

Zapisz się do naszego newslettera

Otrzymuj najnowsze wiadomości na temat bezpieczeństwa, spostrzeżenia i trendy rynkowe do swojej skrzynki pocztowej.

Updates

Więcej aktualizacji

Placeholder for Adobe Stock 598538570Adobe Stock 598538570

Cyberbezpieczeństwo

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa

Ministerstwo Cyfryzacji zaprezentowało projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa, który ma istotnie wzmocnić ochronę obywateli oraz instytucji przed rosnącymi zagrożeniami w cyberprzestrzeni.

Do przeczytania w 2 min.
Placeholder for Adobe Stock 369977292Adobe Stock 369977292
Juniper Networks

Bezpieczeństwo sieci

Juniper po raz czwarty liderem w raporcie Gartner Magic Quadrant

uniper Networks wielokrotnie zajmował wiodącą pozycję w Magic Quadrant firmy Gartner, co podkreśla jego innowacyjność i doskonałość w zakresie technologii przewodowych, bezprzewodowych i lokalizacji wewnątrz budynków.

Do przeczytania w 3 min.
Placeholder for Industrial company NIS2Industrial company NIS2

NIS2

NIS2 wymaga od firm przemysłowych podjęcia znacznych wysiłków w celu zabezpieczenia swoich środowisk OT: Od czego zacząć?

Wdrożenie NIS2 będzie miało wpływ na tysiące firm przemysłowych, a kwestie te będą się znacznie różnić w zależności od podmiotu. Przedstawiamy 12 kroków do osiągnięcia zgodności.

Arnaud Masson
Placeholder for ARMARM

Arnaud Masson

Do przeczytania w 4 min.
 Wszystkie artykuły