راهنمای فعال کردن شاخص

قوانین به صورت دوره ای اجرا می شوند و به دنبال رویدادهای منبع ، مسابقات ، توالی ها یا یادگیری ماشین یادگیری که معیارهای آنها را برآورده می کند ، جستجو می کنند. هنگامی که معیارهای یک قانون رعایت می شود ، هشدار تشخیص ایجاد می شود.

می توانید انواع قوانین زیر را ایجاد کنید:

پرس و جو سفارشی: قانون مبتنی بر پرس و جو ، که شاخص های تعریف شده را جستجو می کند و هنگامی که یک یا چند سند با پرس و جو قانون مطابقت دارند ، هشدار ایجاد می کنند.

یادگیری ماشین: قانون یادگیری ماشین ، که وقتی یک کار یادگیری ماشین یک ناهنجاری بالاتر از آستانه تعریف شده را کشف می کند ، هشدار ایجاد می کند (به تشخیص ناهنجاری با یادگیری ماشین مراجعه کنید).

برای قوانین یادگیری ماشین ، کار یادگیری ماشین مرتبط باید در حال اجرا باشد. اگر کار یادگیری ماشین در حال اجرا نباشد ، این قانون خواهد بود:

• اگر ناهنجاری موجود با نمرات بالاتر از آستانه تعریف شده کشف شود ، هشدارها را اجرا و ایجاد کنید.
• خطایی را بیان کنید که هنگام اجرای قانون ، کار یادگیری ماشین کار نمی کرد.

آستانه: شاخص های تعریف شده را جستجو می کند و در صورت وجود تعداد دفعات موجود در قسمت مشخص شده ، هشدار تشخیص را ایجاد می کند و در طی یک اجرای واحد آستانه را برآورده می کند. هنگامی که مقادیر متعدد آستانه را برآورده می کنند ، هشدار برای هر مقدار ایجاد می شود.

به عنوان مثال ، اگر قسمت آستانه Source. ip باشد و مقدار آن 10 باشد ، هشدار برای هر آدرس IP منبع تولید می شود که حداقل در 10 نتایج جستجوی قانون ظاهر می شود.

مسابقه نشانگر: هنگامی که مقادیر میدان امنیتی الاستیک مقادیر میدانی را که در الگوهای شاخص شاخص مشخص شده تعریف شده است ، هشدار ایجاد می کند. به عنوان مثال ، شما می توانید یک شاخص شاخص برای آدرس های IP ایجاد کرده و از این فهرست برای ایجاد هشدار در هر زمان که یک رویداد یک رویداد باشد استفاده کنید. IP با یک مقدار در شاخص برابر است. نمادین فهرست شاخص شاخص باید سازگار با ECS باشد. برای اطلاعات در مورد ایجاد شاخص های Elasticsearch و انواع فیلد ، به برخی از اسناد مراجعه کنید ، API فهرست و انواع داده های میدانی را ایجاد کنید. اگر در قالب پرونده استاندارد مانند CSV یا JSON شاخص هایی دارید ، می توانید از Visualizer Data Machine Learning Data برای وارد کردن شاخص های خود به یک شاخص شاخص نیز استفاده کنید. به کاوش داده ها در Kibana مراجعه کنید و از گزینه Import Data برای وارد کردن شاخص های خود استفاده کنید.

همچنین می توانید از لیست های ارزش به عنوان شاخص مسابقه نشانگر استفاده کنید. برای اطلاعات بیشتر به لیست های ارزش با قوانین مطابقت با نشانگر در پایان این موضوع مراجعه کنید.

هنگام اصلاح قوانین یا مدیریت هشدارهای تشخیص ، می توانید استثنائاتی اضافه کنید که حتی در صورت رعایت معیارهای آن ، از ایجاد هشدارها جلوگیری می کند. این برای کاهش نویز ، مانند جلوگیری از هشدارها از فرآیندهای قابل اعتماد و آدرس های IP داخلی مفید است.

می توانید استثنائاتی را به پرس و جو سفارشی ، یادگیری ماشین ، همبستگی رویداد و انواع قانون مسابقه نشانگر اضافه کنید.

برای هر دو قوانین از پیش ساخته و سفارشی ، می توانید هنگام ایجاد هشدارها اعلان ها را ارسال کنید. اعلان ها را می توان از طریق JIRA ، تیم های مایکروسافت ، PagerDuty ، Slack و دیگران ارسال کرد و هنگام ایجاد یا ویرایش یک قانون می تواند پیکربندی شود.

ایجاد یک قانون جدید به مراحل زیر نیاز دارد:

1. نوع و دامنه قانون را انتخاب کنید
2. تنظیمات قانون اساسی را پیکربندی کنید
3. پیکربندی تنظیمات قانون پیشرفته (اختیاری)
4. برنامه قانون را تنظیم کنید
5. تنظیم اعلان های هشدار (اختیاری)
6. تنظیم اقدامات پاسخ (اختیاری)

در هر مرحله ، می توانید قبل از صرفه جویی در آن قانون را پیش نمایش کنید تا ببینید چه نوع نتیجه ای را می توانید انتظار داشته باشید.

پس از فعال کردن یک قانون ، می توانید بررسی کنید که آیا با استفاده از برگه مانیتورینگ در صفحه قوانین در حال اجرا است یا خیر. اگر مقادیر موجود در ستون GAP را مشاهده می کنید ، می توانید هشدارهای از دست رفته را عیب یابی کنید.

هنگامی که یک قانون نتواند اجرا شود ، برنامه امنیتی الاستیک سعی می کند آن را در زمان اجرا بعدی خود دوباره انجام دهد.

مجوز

قوانین ، از جمله کلیه تشخیص پس زمینه و اقداماتی که آنها ایجاد می کنند ، با استفاده از یک کلید API مرتبط با آخرین کاربر برای ویرایش قانون مجاز هستند. پس از ایجاد یا اصلاح یک قانون ، یک کلید API برای آن کاربر ایجاد می شود و عکس فوری از امتیازات آنها را ضبط می کند. سپس از کلید API برای اجرای کلیه کارهای پس زمینه مرتبط با قانون از جمله بررسی های تشخیص و اجرای اقدامات استفاده می شود.

اگر یک قاعده نیاز به اجرای امتیازات خاصی دارد ، مانند امتیازات شاخص ، به خاطر داشته باشید که اگر کاربر بدون آن امتیازات این قانون را به روز کند ، این قانون دیگر عملکرد نخواهد داشت.

نمایش داده ها و الگوهای فهرست

هنگامی که یک قانون را ایجاد می کنید ، باید پاتنهای شاخص Elasticsearch را که دوست دارید این قانون را اجرا کنید ، یا یک نمای داده را به عنوان منبع داده انتخاب کنید. اگر یک نمای داده را انتخاب کنید ، می توانید زمینه های زمان اجرا مرتبط با آن نمای داده را انتخاب کنید تا یک پرس و جو برای این قانون ایجاد کنید (به استثنای قوانین یادگیری ماشین ، که از نمایش داده ها استفاده نمی کنند).

برای دسترسی به نماهای داده ، اطمینان حاصل کنید که مجوزهای لازم را دارید.

نوع قانون و دامنه را انتخاب کنید

به مدیریت → قوانین بروید → ایجاد قانون جدید. صفحه قانون جدید ایجاد می کند.

نوع قاعده ای را که می خواهید ایجاد کنید انتخاب کنید ، سپس مراحل ذکر شده در آن بخش را دنبال کنید:

• فراگیری ماشین
• پرس و جو سفارشی
• آستانه
• همبستگی رویداد
• مسابقه نشانگر
• شرایط جدید

ایجاد یک دستگاه اصلی یادگیری ماشین

برای ایجاد یا ویرایش قوانین یادگیری ماشین ، باید مجوز مناسب داشته باشید یا از استقرار ابر استفاده کنید. علاوه بر این ، شما باید نقش کاربر Machine_Learning_admin را داشته باشید ، و کار یادگیری ماشین انتخاب شده باید برای عملکرد صحیح این قانون اجرا شود.

برای ایجاد یک قانون بر اساس آستانه ناهنجاری یادگیری ماشین ، یادگیری ماشین را انتخاب کنید ، سپس انتخاب کنید:

1. کار (های) یادگیری ماشین مورد نیاز.
2. آستانه نمره ناهنجاری در بالای آن هشدارها ایجاد می شود.

اطمینان حاصل کنید که مشاغل یادگیری ماشین مورد نیاز برای این قانون در حال اجرا است. اگر یک کار یادگیری ماشین مورد نیاز در حال اجرا نباشد ، هشدار نمایش داده می شود.

تنظیمات شغلی ML را در گوشه بالا سمت راست صفحه انتخاب کنید ، سپس کار یادگیری ماشین مورد نیاز را جستجو کنید.

سوئیچ کار را برای کار یادگیری ماشین مورد نیاز روشن کنید.

ایجاد یک سؤال پرس و جو سفارشی

برای ایجاد یک قانون بر اساس پرس و جو KQL یا Lucene ، پرس و جو سفارشی را انتخاب کنید ، سپس:

تعریف کنید که شاخص های Elasticsearch یا داده ها را مشاهده می کنید ، قانون جستجو برای هشدارها.

برای ایجاد معیارهای مورد استفاده برای تشخیص هشدارها ، از فیلتر و فیلتر استفاده کنید.

مثال زیر (بر اساس کپی سایه Volume Preduilt Rule Copy حذف شده یا تغییر اندازه از طریق Vssadmin) هنگام اجرای دستور VSSADMIN DELETE WINDOWS DELETE SHADOWS را تشخیص می دهد:

الگوهای فهرست: WinLogBeat-*

WinLogBeat گزارش های رویداد ویندوز را به امنیت الاستیک ارسال می کند.

پرس و جوهای سفارشی: رویداد: "فرآیند ایجاد (قاعده: فرآیند)" و فرآیند. name:"vssadmin. exe "و process. args :(" حذف "و" سایه ها ")

شاخص های WinLogBeat-* را برای اعدام های vssadmin. exe با آرگومان های حذف و سایه جستجو می کند ، که برای حذف نسخه های سایه جلد استفاده می شود.

شما می توانید به عنوان شرایط قانون ، از نمایش داده های ذخیره شده Kibana () و نمایش داده شدگان از جدول زمانی ذخیره شده (واردات واردات از جدول زمانی ذخیره شده) استفاده کنید.

هنگامی که از یک پرس و جو ذخیره شده استفاده می کنید ، Load Saved Query "نام پرس و جو" به صورت پویا در هر کادر اجرای قانون قانون نمایش داده می شود:

• این مورد را انتخاب کنید تا هر بار که قانون اجرا شود ، از پرس و جو ذخیره شده استفاده کنید. این قانون را به پرس و جو ذخیره شده پیوند می دهد ، و شما نمی توانید زمینه پرس و جو یا فیلترهای سفارشی قانون را اصلاح کنید زیرا این قانون فقط از تنظیمات پرس و جو ذخیره شده استفاده می کند. برای ایجاد تغییرات ، خود پرس و جو ذخیره شده را اصلاح کنید.
• برای بارگیری کوئری ذخیره شده به عنوان روشی یکباره برای پر کردن فیلد و فیلترهای درخواست سفارشی قانون، این مورد را لغو انتخاب کنید. این تنظیمات را از پرس و جو ذخیره شده به قانون کپی می کند، بنابراین می توانید در صورت نیاز، پرس و جو و فیلترهای قانون را بیشتر تنظیم کنید. اگر کوئری ذخیره شده بعداً تغییر کند، قانون آن تغییرات را به ارث نمی برد.

ایجاد یک آستانه ruleedit

برای ایجاد یک قانون بر اساس آستانه فیلد رویداد منبع، آستانه را انتخاب کنید، سپس:

تعریف کنید که Elasticsearch کدام شاخص ها را برای هشدارها تحلیل می کند.

برای ایجاد معیارهای مورد استفاده برای تشخیص هشدارها ، از فیلتر و فیلتر استفاده کنید.

شما می توانید به عنوان شرایط قانون ، از نمایش داده های ذخیره شده Kibana () و نمایش داده شدگان از جدول زمانی ذخیره شده (واردات واردات از جدول زمانی ذخیره شده) استفاده کنید.

از فیلد شمارش برای محدود کردن هشدارها بر اساس اصلی بودن یک فیلد خاص استفاده کنید.

برای مثال، اگر Group by source. ip باشد، destination. ip و آستانه آن 10 باشد، برای هر جفت آدرس IP مبدا و مقصد که حداقل در 10 نتیجه جستجوی قانون ظاهر می شود، هشدار ایجاد می شود.

You can also leave the Group by field undefined. The rule then creates an alert when the number of search results is equal to or greater than the threshold value. If you set Count to limit the results by process.name >= 2، یک هشدار فقط برای جفت‌های IP مبدا/مقصد تولید می‌شود که با حداقل 2 نام فرآیند منحصربه‌فرد در همه رویدادها ظاهر می‌شوند.

هشدارهای ایجاد شده توسط قوانین آستانه، هشدارهای مصنوعی هستند که شبیه اسناد منبع نیستند. خود هشدار فقط حاوی اطلاعات مربوط به فیلدهایی است که روی آنها جمع شده اند (گروه بر اساس فیلدها). سایر فیلدها حذف می شوند، زیرا می توانند در تمام اسناد منبعی که در آستانه شمارش شده اند متفاوت باشند. علاوه بر این، می توانید تعداد واقعی اسنادی را که از آستانه فراتر رفته اند از قسمت kibana. alert. threshold_result. count ارجاع دهید.

ایجاد یک همبستگی رویداد ruleedit

برای ایجاد یک قانون همبستگی رویداد با استفاده از EQL، همبستگی رویداد را انتخاب کنید، سپس:

تعریف کنید که شاخص های Elasticsearch یا داده ها را مشاهده می کنید ، قانون جستجو برای هشدارها.

یک عبارت EQL که برای تشخیص هشدارها استفاده می شود اضافه کنید.

به عنوان مثال، قانون زیر زمانی که msxsl. exe یک اتصال شبکه خروجی برقرار می کند، تشخیص می دهد:

الگوهای فهرست: WinLogBeat-*

Winlogbeat رویدادهای ویندوز را به Elastic Security ارسال می کند.

پرس و جو EQL:

شاخص‌های winlogbeat-* را برای دنباله‌ای از رویداد شروع فرآیند msxsl. exe به دنبال یک رویداد اتصال شبکه خروجی که توسط فرآیند msxsl. exe آغاز شده است، جستجو می‌کند.

برای رویدادهای توالی، برنامه Elastic Security زمانی که همه رویدادهای فهرست شده در دنباله شناسایی می شوند، یک هشدار تولید می کند. برای دیدن رویدادهای توالی منطبق با جزئیات بیشتر، می‌توانید هشدار را در Timeline مشاهده کنید، و اگر همه رویدادها از یک فرآیند آمده‌اند، هشدار را در نمای Analyze Event باز کنید.

(اختیاری) برای پیکربندی زمینه های اضافی مورد استفاده در جستجوی EQL ، روی نماد تنظیمات EQL () کلیک کنید:

• قسمت طبقه بندی رویداد: شامل طبقه بندی رویداد ، مانند فرآیند ، پرونده یا شبکه است. این قسمت به طور معمول به عنوان یک نوع فیلد در خانواده کلمات کلیدی نقشه برداری می شود. پیش فرض در قسمت Event. Category ECS.
• Tiebreaker Field: در صورت داشتن همان زمان بندی ، زمینه ثانویه را برای مرتب سازی رویدادها (به ترتیب صعودی ، واژگونی) تنظیم می کند.
• قسمت Timestamp: شامل زمانبندی رویداد مورد استفاده برای مرتب سازی دنباله ای از رویدادها است. این متفاوت از تنظیمات پیشرفته Timestamp است که برای پرس و جو در یک محدوده استفاده می شود. پیش فرض در قسمت TIMESTAMP ECS.

ایجاد یک نشانگر مسابقه را ایجاد کنید

امنیت الاستیک پشتیبانی محدودی را برای قوانین مسابقه نشانگر فراهم می کند. برای اطلاعات بیشتر به پشتیبانی محدود برای قوانین مسابقه نشانگر مراجعه کنید.

برای ایجاد یک قاعده که به دنبال رویدادهایی که مقدار فیلد مشخص شده آنها با مقدار میدان نشانگر مشخص شده در الگوهای شاخص شاخص مطابقت دارد ، انتخاب نشانگر را انتخاب کنید ، سپس زمینه های زیر را پر کنید:

منبع: الگوهای شاخص فردی یا نمایش داده که مشخص می کند چه داده هایی برای جستجو است.

پرس و جو سفارشی: پرس و جو و فیلترهای مورد استفاده برای بازیابی نتایج مورد نیاز از شاخص های رویداد امنیتی الاستیک. به عنوان مثال ، اگر می خواهید با اسنادی که فقط حاوی یک قسمت آدرس مقصد هستند مطابقت داشته باشید ، مقصد را اضافه کنید. ip: *.

اگر می خواهید این قانون برای بررسی هر زمینه در شاخص ها ، از این عبارت Wildcard استفاده کنید: *: *.

شما می توانید به عنوان شرایط قانون ، از نمایش داده های ذخیره شده Kibana () و نمایش داده شدگان از جدول زمانی ذخیره شده (واردات واردات از جدول زمانی ذخیره شده) استفاده کنید.

الگوهای شاخص شاخص: الگوهای شاخص شاخص حاوی مقادیر میدانی که می خواهید هشدار ایجاد کنید. این قسمت به طور خودکار با شاخص های مشخص شده در SecuritySolution: DefaultHreatIndex Advanced تنظیم شده است. برای اطلاعات بیشتر ، به بروزرسانی شاخص های اطلاعاتی تهدید امنیتی Elastic به روزرسانی کنید.

داده ها در شاخص های شاخص باید ECS سازگار باشند ، بنابراین باید حاوی یک قسمت timestamp باشد.

نقشه برداری نشانگر: مقادیر رویداد مشخص شده و مقادیر میدان نشانگر را مقایسه می کند. هنگامی که مقادیر میدانی یکسان هستند ، هشدار ایجاد می شود. برای تعریف کدام مقادیر میدانی از شاخص ها مقایسه شده است:

• زمینه: زمینه مورد استفاده برای مقایسه مقادیر در شاخص های رویداد امنیتی الاستیک.
• قسمت شاخص شاخص: زمینه مورد استفاده برای مقایسه مقادیر در شاخص های شاخص.

برای تعریف هشدارها می توانید اضافه و یا بندهایی را اضافه کنید و یا بندهایی را تعریف کنید.

به عنوان مثال ، برای ایجاد یک قاعده که هشدارهایی را هنگام میزبانی ایجاد می کند. name و مقصد مقادیر فیلد در سیاههها-* یا PacketBeat-* شاخص های امنیتی الاستیک یکسان با مقادیر زمینه مربوطه در شاخص نشانگر لیست ظلم هستند ، وارد کنید. پارامترهای قاعده دیده شده در تصویر زیر:

قبل از ایجاد قوانین ، الگوهای جدول زمانی را ایجاد کنید تا بتوانند در اینجا انتخاب شوند. هنگامی که هشدارهای تولید شده توسط این قانون در جدول زمانی مورد بررسی قرار می گیرند ، مقادیر پرس و جو جدول زمانی با مقادیر مربوط به هشدار مربوطه جایگزین می شوند.

یک اصطلاح جدید ایجاد کنید

برای ایجاد قانونی که برای هر اصطلاح جدید کشف شده در اسناد منبع جستجو می کند ، اصطلاحات جدید را انتخاب کنید ، سپس:

با وارد کردن الگوهای شاخص Elasticsearch انفرادی یا انتخاب نمای داده موجود ، چه داده هایی را برای جستجو مشخص کنید.

برای ایجاد معیارهای مورد استفاده برای تشخیص هشدارها ، از فیلتر و فیلتر استفاده کنید.

شما می توانید به عنوان شرایط قانون ، از نمایش داده های ذخیره شده Kibana () و نمایش داده شدگان از جدول زمانی ذخیره شده (واردات واردات از جدول زمانی ذخیره شده) استفاده کنید.

از منوی اندازه پنجره History استفاده کنید تا محدوده زمانی را برای جستجوی چند دقیقه ، ساعت یا روزها مشخص کنید تا مشخص شود آیا یک اصطلاح جدید است. اندازه پنجره تاریخ باید بزرگتر از فاصله قاعده به علاوه زمان نگاه اضافی باشد ، زیرا این قانون به دنبال شرایطی خواهد بود که تنها زمان (ها) این اصطلاح در پنجره تاریخ ظاهر می شود و در فاصله زمانی قانون قرار دارد و نگاه اضافیزمان.

به عنوان مثال ، اگر یک قاعده 5 دقیقه فاصله داشته باشد ، هیچ زمان دیگری به نظر نمی رسد و اندازه پنجره تاریخ 7 روز ، یک اصطلاح جدید در نظر گرفته می شود فقط در صورتی که در 7 روز گذشته ظاهر شود نیز در این زمینه است5 دقیقه آخرهنگام تنظیم برنامه قانون ، فاصله قانون و زمان نگاه اضافی را پیکربندی کنید.

پیش نمایش قانون (اختیاری) ویرایش

می توانید هر قانون سفارشی یا از پیش ساخته را پیش نمایش کنید تا دریابید که چقدر پر سر و صدا خواهد بود. برای یک قانون سفارشی ، می توانید پرس و جو قانون یا سایر تنظیمات را تنظیم کنید.

برای پیش نمایش قوانین ، شما به امتیاز خواندن به . preview. alerts-securance. alerts- فهرست و کلیه امتیازات برای ویژگی امنیتی نیاز دارید. برای اطلاعات بیشتر به پیش نیازها و الزامات مربوط به تشخیص مراجعه کنید.

هنگام ایجاد یا ویرایش یک قانون ، روی دکمه Rule Preview کلیک کنید. پیش نمایش در یک صفحه جانبی باز می شود و یک هیستوگرام و جدول را با هشدارهایی که می توانید انتظار داشته باشید ، بر اساس تنظیمات قانون تعریف شده و رویدادهای گذشته در شاخص های خود نشان می دهد.

پیش‌نمایش همچنین شامل اثرات استثنائات قانون و فیلدهای لغو می‌شود. در هیستوگرام، هشدارها بر اساس event. category (یا host. name برای قوانین یادگیری ماشین) انباشته می‌شوند و هشدارها با مقادیر متعدد بیش از یک بار شمارش می‌شوند.

برای تعامل با پیش نمایش قانون:

از انتخابگر تاریخ و زمان برای تعریف محدوده زمانی پیش‌نمایش استفاده کنید.

از تنظیم بازه‌های زمانی طولانی با فواصل قوانین کوتاه خودداری کنید، در غیر این صورت ممکن است زمان پیش‌نمایش قانون تمام شود.

برای به روز رسانی پیش نمایش، روی Refresh کلیک کنید.

• هنگامی که تنظیمات قانون یا محدوده زمانی پیش نمایش را ویرایش می کنید، دکمه از آبی ( ) به سبز ( ) تغییر می کند تا نشان دهد که قانون از آخرین پیش نمایش ویرایش شده است.
• برای بازه زمانی نسبی (مانند ۱ ساعت گذشته)، پیش‌نمایش را بازخوانی کنید تا آخرین نتایج را بررسی کنید.(پیش‌نمایش‌ها به‌طور خودکار با داده‌های ورودی جدید بازخوانی نمی‌شوند.)

پیکربندی قوانین اساسی تنظیمات ویرایش

در پنجره قوانین درباره درباره، فیلدهای زیر را پر کنید:

1. نام: نام قانون.
2. توضیحات: شرحی از آنچه قانون انجام می دهد.

شدت پیش‌فرض: سطح شدت هشدارهای ایجاد شده توسط قانون را انتخاب کنید:

• کم: هشدارهایی که مورد توجه هستند اما عموماً به عنوان حوادث امنیتی در نظر گرفته نمی شوند. گاهی اوقات ترکیبی از هشدارهای با شدت کم می تواند نشان دهنده فعالیت مشکوک باشد.
• رسانه: هشدارهایی که نیاز به بررسی دارند.
• بالا: هشدارهایی که نیاز به بررسی فوری دارند.
• بحرانی: هشدارهایی که نشان می دهد به احتمال زیاد یک حادثه امنیتی رخ داده است.

لغو شدت (اختیاری): برای استفاده از مقادیر رویداد منبع برای لغو شدت پیش‌فرض در هشدارهای تولید شده، انتخاب کنید. پس از انتخاب، یک مؤلفه رابط کاربری نمایش داده می شود که در آن می توانید مقادیر فیلد رویداد منبع را به سطوح شدت نگاشت کنید. مثال زیر نحوه نگاشت سطوح شدت به مقادیر host. name را نشان می دهد:

برای قوانین آستانه، همه مقادیر رویداد منبع را نمی توان برای لغو استفاده کرد. فقط فیلدهایی که روی آنها جمع شده اند (گروه بر اساس فیلدها) حاوی داده خواهند بود. لطفاً همچنین توجه داشته باشید که لغو برای قوانین همبستگی رویداد پشتیبانی نمی شود.

امتیاز ریسک پیش‌فرض: یک مقدار عددی بین 0 تا 100 که نشان‌دهنده خطر رویدادهای شناسایی‌شده توسط قانون است. این تنظیم با تغییر سطح شدت به یک مقدار پیش‌فرض تغییر می‌کند، اما می‌توانید امتیاز ریسک را در صورت نیاز تنظیم کنید. دستورالعمل های کلی عبارتند از:

• 0 - 21 نشان دهنده شدت کم است.
• 22 - 47 نشان دهنده شدت متوسط است.
• 48 - 73 نشان دهنده شدت بالا است.
• 74 - 100 نشان دهنده شدت بحرانی است.

امتیاز ریسک (اختیاری): برای استفاده از یک مقدار رویداد منبع برای غلبه بر نمره خطر پیش فرض در هشدارهای تولید شده ، انتخاب کنید. هنگام انتخاب ، یک مؤلفه UI برای انتخاب قسمت منبع مورد استفاده برای نمره ریسک نمایش داده می شود. به عنوان مثال ، اگر می خواهید از نمره خطر رویداد منبع در هشدارها استفاده کنید:

برای قوانین آستانه ، نمی توان از تمام مقادیر رویداد منبع برای نادیده گرفتن استفاده کرد. فقط زمینه هایی که در آن جمع شده اند (گروه توسط زمینه ها) حاوی داده ها هستند.

با یکی از موارد زیر ادامه دهید:

• پیکربندی تنظیمات قانون پیشرفته (اختیاری)
• برنامه قانون را تنظیم کنید

تنظیمات قانون پیشرفته (اختیاری) را ویرایش کنید

روی تنظیمات پیشرفته کلیک کنید و در صورت لزوم قسمت های زیر را پر کنید:

1. URL های مرجع (اختیاری): منابع مربوط به اطلاعات مربوط به این قانون. به عنوان مثال ، پیوندها به اطلاعات پس زمینه.
2. مثالهای مثبت کاذب (اختیاری): لیست سناریوهای مشترک که ممکن است هشدارهای مثبت کاذب ایجاد کنند.
3. تهدیدهای MITER ATT & CK TM (اختیاری): تاکتیک ها ، تکنیک ها و تکنیک های مربوط به چارچوب MITER مربوطه را اضافه کنید.
4. راهنمای تحقیقات (اختیاری): اطلاعات مربوط به تحلیلگران بررسی هشدارهای ایجاد شده توسط این قانون.
5. نویسنده (اختیاری): نویسندگان قانون.
6. مجوز (اختیاری): مجوز قانون.

استثنائات انتهایی Elastic (اختیاری): تمام استثنائات قانون امنیتی نقطه پایانی الاستیک را به این قانون اضافه می کند (به استثنائات قانون و لیست های ارزش مراجعه کنید).

اگر این گزینه را انتخاب کنید ، می توانید استثنائات انتهایی را در صفحه جزئیات قانون اضافه کنید. علاوه بر این ، تمام استثنائات آینده اضافه شده به قانون امنیت نقطه پایانی الاستیک نیز بر این قانون تأثیر می گذارد.

پیشوند نشانگر Override: مکان داده های شاخص را در ساختار اسناد شاخص تعریف کنید. هنگامی که قانون مطابقت با نشانگر اجرا می شود ، شاخص های شاخص مشخص شده را پرس و جو می کند و این تنظیمات را برای یافتن زمینه ها با داده های نشانگر ارجاع می دهد. این داده ها برای غنی سازی هشدارهای مسابقه با ابرداده در مورد شاخص های تهدید همسان استفاده می شود. مقدار پیش فرض این تنظیمات تهدید است.

اگر داده های نشانگر تهدید شما در مکان دیگری قرار دارد ، این تنظیمات را بر این اساس به روز کنید تا اطمینان حاصل شود که غنی سازی هشدار هنوز هم می تواند انجام شود.

نام قانون Override (اختیاری): یک قسمت رویداد منبع را انتخاب کنید تا به عنوان نام قانون در UI (جدول هشدار) استفاده کنید. این برای افشای ، با یک نگاه ، اطلاعات بیشتر در مورد هشدار مفید است. به عنوان مثال ، اگر این قانون هشدارهایی را از Suricata ایجاد کند ، انتخاب Event. Action به شما امکان می دهد ببینید که چه اکشن (دسته Suricata) باعث شده این رویداد به طور مستقیم در جدول هشدارها ایجاد شود.

برای قوانین آستانه ، نمی توان از تمام مقادیر رویداد منبع برای نادیده گرفتن استفاده کرد. فقط زمینه هایی که در آن جمع شده اند (گروه توسط زمینه ها) حاوی داده ها هستند.

لغو مهر زمانی (اختیاری): یک قسمت مهر زمان رویداد منبع را انتخاب کنید. هنگام انتخاب، درخواست قانون از فیلد انتخاب شده، به جای فیلد پیش‌فرض @timestamp، برای جستجوی هشدارها استفاده می‌کند. این می تواند به کاهش هشدارهای از دست رفته به دلیل قطع شدن شبکه یا سرور کمک کند. به طور خاص، اگر خط لوله دریافت شما زمانی که رویدادها به Elasticsearch ارسال می‌شوند، یک مهر زمانی اضافه می‌کند، با این کار هشدارهای از دست رفته به‌دلیل تأخیر در جذب، جلوگیری می‌شود. با این حال، اگر می‌دانید که منبع داده شما دارای مقدار @timestamp نادرست است، توصیه می‌شود برای نادیده گرفتن فیلد @timestamp گزینه Do not use @timestamp را به‌عنوان یک فیلد مُهر زمانی بازگشتی انتخاب کنید.

ماژول‌های Microsoft و Google Workspace Filebeat دارای یک فیلد علامت زمانی event. ingested هستند که می‌تواند به جای فیلد پیش‌فرض @timestamp استفاده شود.

روی Continue کلیک کنید. صفحه قوانین زمانبندی نمایش داده می شود.

تنظیم زمانبندی قانون

تعداد دفعات اجرای قانون را انتخاب کنید.

به صورت اختیاری، زمان بازگشت اضافی را به قانون اضافه کنید. وقتی این قانون تعریف شد، شاخص ها را با زمان اضافی جستجو می کند.

به عنوان مثال، اگر یک قانون را تنظیم کنید که هر 5 دقیقه یک بار با زمان نگاه به عقب اضافی 1 دقیقه اجرا شود، این قانون هر 5 دقیقه اجرا می شود اما اسناد اضافه شده به شاخص ها در طول 6 دقیقه آخر را تجزیه و تحلیل می کند.

توصیه می‌شود زمان نگاه به عقب اضافی را حداقل روی ۱ دقیقه تنظیم کنید. این تضمین می‌کند که وقتی یک قانون دقیقاً در زمان برنامه‌ریزی‌شده اجرا نمی‌شود، هیچ هشدار گمشده‌ای وجود ندارد.

Elastic Security از تکرار جلوگیری می کند. هر گونه هشدار تکراری که در طول زمان بازنگری اضافی کشف شود، ایجاد نمی شود.

روی Continue کلیک کنید. پنجره اقدامات قانون نمایش داده می شود.

یکی از موارد زیر را انجام دهید:

• به تنظیم اعلان‌های هشدار و اقدامات پاسخ (اختیاری) ادامه دهید.
• قانون را ایجاد کنید (با یا بدون فعال سازی).

تنظیم اعلان‌های هشدار (اختیاری) ویرایش

از Kibana Actions برای تنظیم اعلان‌های ارسال شده از طریق سیستم‌های دیگر هنگام ایجاد هشدار استفاده کنید.

برای استفاده از Kibana Actions برای اعلان‌های هشدار، به مجوز مناسب نیاز دارید و نقش شما به همه امتیازات برای ویژگی Action و Connectors نیاز دارد. برای اطلاعات بیشتر، پیش نیازهای موارد را ببینید.

تنظیم زمان ارسال اعلان‌ها:

• در اجرای هر قانون: هر بار که هشدارهای جدید ایجاد می شود، یک اعلان ارسال می کند.
• ساعتی: هر ساعت یک اعلان ارسال می کند.
• روزانه: هر روز یک اعلان ارسال می کند.

هفتگی: هر هفته یک اعلان ارسال می کند.

اعلان ها فقط در هنگام تولید هشدارهای جدید ارسال می شوند.

انواع کانکتور موجود نمایش داده می شود.

نوع کانکتور مورد نیاز را انتخاب کنید ، که نحوه ارسال اعلان ها را تعیین می کند. به عنوان مثال ، اگر اتصال JIRA را انتخاب کنید ، اعلان ها به سیستم JIRA شما ارسال می شوند.

هر نوع عمل به کانکتور نیاز دارد. اتصالات اطلاعات مورد نیاز برای ارسال اعلان را از سیستم خارجی ذخیره می کنند. می توانید اتصالات را هنگام ایجاد قانون یا در صفحه قوانین و اتصالات Kibana (مدیریت پشته → قوانین و اتصالات → اتصالات) پیکربندی کنید. برای اطلاعات بیشتر ، به انواع عمل و اتصال مراجعه کنید.

فیلدهای نوع کانکتور انتخاب شده نمایش داده می شوند (مثال JIRA).

قانون را با یا بدون فعال سازی ایجاد کنید.

هنگامی که یک قانون را فعال می کنید ، صف می شود و برنامه آن با زمان اجرای اولیه آن تعیین می شود. به عنوان مثال ، اگر قانونی را فعال کنید که هر 5 دقیقه ساعت 14:03 اجرا شود اما تا ساعت 14:04 اجرا نمی شود ، دوباره ساعت 14:09 اجرا می شود.

اخطار اخطار هشدار

شما می توانید از نحو سبیل برای اضافه کردن مکان های زیر برای حاکمیت در زمینه های عمل استفاده کنید:

• >: گروه اقدام هشدار که اقدامات برنامه ریزی شده برای این قانون است
• >: نام قابل خواندن بشر از گروه اقدام هشدار که اقدامات برنامه ریزی شده برای این قانون است
• >: زیر گروه عمل هشدار که اقدامات برنامه ریزی شده برای این قانون را برنامه ریزی کرده است
• >: شناسه هشدار که اقدامات برنامه ریزی شده برای این قانون است
• >: آرایه هشدارهای شناسایی شده
• >>: url به هشدارها در Kibana
• >: نمره آستانه ناهنجاری که در بالا هشدارها ایجاد می شود (فقط قوانین یادگیری ماشین)
• >: شرح قانون
• >: حاکم بر مثبت کاذب
• >: فیلترهای قانون (فقط قوانین پرس و جو)
• >: شناسه قانون منحصر به فرد پس از ایجاد قانون بازگشت
• >: قانون شاخص ها روشن است (فقط قوانین پرس و جو)
• >: قانون پرس و جو قانون (فقط قوانین پرس و جو)
• >: شناسه شغل یادگیری ماشین مرتبط (فقط قوانین یادگیری ماشین)
• >: حداکثر تعداد مجاز هشدارها در هر اجرای قانون
• >: نام قانون
• >: شاخصی که هشدارها برای آن نوشته شده است
• >: قانون پرس و جو (فقط قوانین پرس و جو)
• >: منابع منابع
• >: نمره خطر قاعده پیش فرض
• >: شناسه قانون تولید شده یا تعریف شده توسط کاربر که می تواند به عنوان شناسه در سیستم ها استفاده شود
• >: شناسه جستجو ذخیره شده
• >: شدت قانون پیش فرض
• >: چارچوب تهدید قانون
• >: مقادیر آستانه قانون (فقط قوانین آستانه)
• >: شناسه جدول زمانی مرتبط
• >: نام جدول زمانی مرتبط
• >: نوع قانون
• >: نسخه قانون
• >`: تاریخ قانون برنامه ریزی شده عمل
• >: پیکربندی شده سرور. مقدار publicbaseurl یا رشته خالی اگر پیکربندی نشده باشد
• >: شناسه قانون
• >: نام قانون
• >: شناسه فضایی قانون
• >: برچسب های قانون
• >: نوع قانون
• >: تعداد هشدارهای شناسایی شده

The > and >مکان‌نماها حاوی مقادیر پیش‌فرض قانون هستند، حتی زمانی که گزینه‌های نادیده گرفتن شدت و نادیده گرفتن امتیاز ریسک استفاده می‌شوند.

Alert placeholder examplesedit

برای درک اینکه کدام فیلدها را تجزیه کنید، به Detections API مراجعه کنید تا نمایش قوانین JSON را مشاهده کنید.

Example using >برای خروجی لیستی از فیلترها:

Example using >به عنوان یک آرایه، که حاوی هر هشداری است که از آخرین باری که عمل اجرا شده است، ایجاد شده است:

Example using the mustache "current element" notation >برای خروجی همه مراجع قوانین در آرایه signal. rule. references:

تنظیم اقدامات پاسخ (اختیاری) ویرایش

از Response Actions برای تنظیم عملکرد اضافی استفاده کنید که هر زمان که یک قانون اجرا شود اجرا می شود.

این عملکرد در پیش‌نمایش فنی است و ممکن است در نسخه‌های بعدی تغییر یا حذف شود. Elastic بهترین تلاش را برای رفع هرگونه مشکل به کار می‌گیرد، اما ویژگی‌های پیش‌نمایش فنی مشمول پشتیبانی SLA ویژگی‌های رسمی GA نیستند.

عمل Response Osquery به شما امکان می دهد پرس و جوهای Osquery زنده را با یک قانون پرس و جو سفارشی اضافه کنید. هنگامی که یک هشدار تولید می شود، Osquery به طور خودکار داده های مربوط به هشدار را در سیستم جمع آوری می کند. برای کسب اطلاعات بیشتر به Add Osquery Response Actions مراجعه کنید.

از فهرست‌های ارزش با ویرایش قوانین مطابقت شاخص استفاده کنید

در حالی که روش‌های متعددی وجود دارد که می‌توانید داده‌ها را به شاخص‌های نشانگر اضافه کنید، می‌توانید از فهرست‌های ارزشی به عنوان شاخص تطابق اندیکاتور در قانون تطبیق اندیکاتور استفاده کنید. برای مثال سناریوی زیر را در نظر بگیرید:

شما یک لیست ارزشی از دامنه‌های باج‌افزار شناخته‌شده آپلود کرده‌اید، و می‌خواهید در صورتی که هر یک از آن دامنه‌ها با مقدار موجود در یک فیلد دامنه در الگوی فهرست رویداد امنیتی شما مطابقت داشته باشد به شما اطلاع داده شود.

فهرستی از شاخص‌ها را بارگذاری کنید.

یک قانون مطابقت نشانگر ایجاد کنید و فیلدهای زیر را پر کنید:

1. الگوهای شاخص: شاخص های رویداد Elastic Security که قانون روی آن اجرا می شود.
2. پرس و جو سفارشی: پرس و جو و فیلترهای مورد استفاده برای بازیابی نتایج مورد نیاز از شاخص های رویداد Elastic Security (به عنوان مثال، host. domain :*).
3. الگوهای شاخص شاخص: لیست های ارزش در یک نمایه پنهان به نام . items- ذخیره می شوند. نام فضای Kibana که این قانون در آن اجرا می شود را در این قسمت وارد کنید.
4. عبارت Indicator index : مقدار list_id : را وارد کنید و سپس نام لیست ارزشی را که می خواهید به عنوان شاخص شاخص خود استفاده کنید (در مرحله 1 در بالا آپلود شده) وارد کنید.

نقشه برداری اندیکاتور

فیلد: فیلدی را از شاخص های رویداد Elastic Security وارد کنید تا برای مقایسه مقادیر استفاده شود.

فیلد شاخص نشانگر: نوع لیست ارزشی را که ایجاد کرده اید (به عنوان مثال، کلمه کلیدی، متن یا IP) وارد کنید.

اگر این اطلاعات را به خاطر ندارید، به مدیریت ← قوانین ← وارد کردن فهرست‌های ارزش بروید. لیست مقادیر مناسب را بیابید و فیلد را در ستون نوع مربوطه یادداشت کنید.(مثالها عبارتند از کلمه کلیدی، متن و IP.)