Inhaltsanpassungsfähigkeiten der SOC Prime Plattform: Schritt-für-Schritt Richtlinien für nahtlose Implementierungen

[post-views]
Juli 06, 2022 · 9 min zu lesen
Inhaltsanpassungsfähigkeiten der SOC Prime Plattform: Schritt-für-Schritt Richtlinien für nahtlose Implementierungen

Anpassung von Inhaltsbereitstellungen an nicht-standardisierte und alternative Datenschemata

Im Kern der Detection as Code-Plattform von SOC Prime befindet sich die weltweit größte Bibliothek von SOC-Inhalten. Regeln werden zunächst in der Sigma-Sprache verfasst, einem plattformunabhängigen Regelformat, das es ermöglicht, das Fachwissen einer weltweiten Gemeinschaft von über 23.000 Sicherheitsexperten zu nutzen. Anschließend werden die Sigma-Regeln automatisch in die nativen Formate von über 25 SIEMs, EDRs und XDRs konvertiert.

Beim Konvertieren einer Sigma-Regel folgen wir dem aktuell standardisierten Datenschema der Zielplattform. Zum Beispiel basiert eine Microsoft Sentinel-Regel auf dem Advanced Security Information Model (ASIM) und eine Elastic Stack-Abfrage auf dem Elastic Common Schema (ECS). Das Schema definiert eine Reihe von Feldern, die für das Parsen und die Normalisierung von Daten, die aus Protokollquellen gesammelt werden, verwendet werden.

Allerdings nutzen nicht alle Organisationen das standardisierte Datenschema. Dies kann aus verschiedenen Gründen der Fall sein, zum Beispiel:

  • Organisationen bevorzugen möglicherweise alternative Datenschemata, wie zum Beispiel Open Source Security Events Metadata (OSSEM) anstelle des Advanced Security Information Model (ASIM) für Microsoft Sentinel
  • Anbieter aktualisieren ihre Datenschemata von Zeit zu Zeit, und es ist nicht immer technisch machbar, dass Organisationen mit den Updates Schritt halten
  • Organisationen haben oft ein internes Bedürfnis, das Datenschema anzupassen

Um Organisationen, die nicht-standardisierte Datenschemata verwenden, zu unterstützen und sicherzustellen, dass die Erkennungen in ihren Umgebungen ordnungsgemäß funktionieren, bietet die SOC Prime-Plattform zwei spezielle Funktionen: Konfig für alternative Übersetzungen and Benutzerdefinierte Feldzuordnung.

Konfig für alternative Übersetzungen

Wenn ein alternatives Datenschema bei Organisationen, die eine SIEM-, EDR- oder XDR-Lösung verwenden, an Popularität gewinnt, unterstützen wir es, indem wir eine alternative Übersetzungskonfiguration hinzufügen. So können Nutzer mit einem Standardschema die Standardübersetzungen verwenden und Nutzer mit einem alternativen Schema können ihren Schemtyp im Konfigurationsmenü Dropdown-Menü auswählen und sofort die auf ihre Umgebung zugeschnittene Übersetzung erhalten.

Sie können auswählen Konfigurationsmenü für alternative Übersetzungen:

  • Auf der Inhaltsdetailseite, um eine alternative Übersetzung für eine bestimmte Sigma-Regel zu erhalten
  • Im Hunt (Websuche) Tab Ihrer Umgebungseinrichtungen im Umgebungen Bereich, um alternative Übersetzungen zu konfigurieren, die standardmäßig in Quick Hunt verwendet werden (sofern für eine bestimmte Plattform anwendbar)
  • In den Job-Einstellungen im Modul zur kontinuierlichen Inhaltsverwaltung, um alternative Übersetzungen zu konfigurieren, die für alle Sigma-Regeln eines bestimmten Jobs verwendet werden

Benutzerdefinierte Feldzuordnung

Sigma-Regelübersetzungen auf der SOC Prime-Plattform basieren auf dem standardisierten Datenschema der entsprechenden SIEM-, EDR- oder XDR-Lösung. Dementsprechend erfordern übersetzte Regeln, wenn in der Zielumgebung nicht-standardisierte Tabellen/Indizes oder Felder verwendet werden, eine Anpassung.

Das manuelle Anpassen von Tabellen/Indizes, Feldnamen oder Feldwerten im Regelcode ist eine mühsame Aufgabe, die anfällig für Fehler ist. Aus diesem Grund bieten wir die Möglichkeit, Profile für benutzerdefinierte Feldzuordnungen zu konfigurieren, in denen Sie alle relevanten benutzerdefinierten Tabellen/Indizes, Feldnamen oder Feldwerte angeben und sie den Standardwerten zuordnen können. Erstellen Sie ein Profil einmal und wenden Sie es sofort jedes Mal an, wenn Sie eine Regel bereitstellen oder eine Abfrage an Ihre Umgebung senden. Sie können mehrere Profile erstellen und sie mit Ihren Teammitgliedern teilen.

Dieses Tool ist in verschiedenen Fällen nützlich:

  • Wenn die Felder in der SIEM-, EDR- oder XDR-Instanz Ihrer Organisation von denen im standardisierten Datenschema Ihrer Plattform abweichen.
  • Wenn Sie einen anderen Protokolldatenstandort in Ihrer SIEM-, EDR- oder XDR-Instanz abfragen möchten, zum Beispiel wenn Sie bestimmte Protokolle mit einem anderen Tool sammeln. In diesem Fall müssen Sie gegebenenfalls den Standort selbst sowie die Felder und ihre Werte für eine bestimmte Aktivität anpassen.

Sie können Profile für benutzerdefinierte Feldzuordnungen anwenden:

  • Auf der Inhaltsdetailseite, um eine Übersetzung einer bestimmten Sigma-Regel zu ändern
  • Im Hunt (Websuche) Tab Ihrer Umgebungseinrichtungen im Umgebungen Bereich, um standardmäßig Änderungen in Quick Hunt anzuwenden (sofern für eine bestimmte Plattform anwendbar)
  • In den Job-Einstellungen im Modul zur kontinuierlichen Inhaltsverwaltung, um Änderungen zu konfigurieren, die auf alle Sigma-Regeln eines bestimmten Jobs angewendet werden

Hinweis: Standardmäßig ist das Verwendung der Standardbenutzerzuordnung basierend auf der Logquelle Häkchen ausgewählt. In diesem Fall wird die benutzerdefinierte Feldzuordnung dynamisch auf Inhalte basierend auf den logquellproduktbezogenen Inhalten angewendet. Um das Benutzerdefinierte Feldzuordnung Dropdown-Menü anzuzeigen und ein einzelnes Profil für alle Inhalte zu einem Job auszuwählen oder keine Zuordnung anzuwenden, deaktivieren Sie das Häkchen.

Ein Profil für benutzerdefinierte Feldzuordnung einrichten

Erstellen Sie ein separates Profil für benutzerdefinierte Feldzuordnungen für jedes in Ihrer Umgebung überwachte Logquellenprodukt, das eine Anpassung erfordert.

 Gehen Sie zu Integrieren > Benutzerdefinierte Feldzuordnung und klicken Sie auf die Erstellen Schaltfläche, um ein neues Profil zu erstellen.

Sie können auch das Pop-up zur Profilerstellung oder -bearbeitung von einer Inhaltsdetailseite oder dem Umgebungsintegrationssetup öffnen.

Um ein Profil für benutzerdefinierte Feldzuordnung einzurichten:

  1. Geben Sie Ihrem Profil einen Namen.
  2. Wählen Sie die Plattform aus, für die Sie das Profil anwenden möchten.
  3. Wählen Sie, ob Sie das Profil mit Ihren Teamkollegen teilen möchten. Ein geteiltes Profil kann von jedem in Ihrer Organisation angesehen und bearbeitet werden.
  4. Wählen Sie das logquellenprodukt, für das das Profil bestimmt ist und automatisch angewendet wird (falls der Standardmäßig machen Schalter aktiviert ist). Klicken Sie auf das Logquelle auswählen Feld, beginnen Sie mit der Eingabe des Produktnamens und wählen Sie es aus den vorgeschlagenen Optionen aus.
  5. Optional können Sie den Sigma-Einstellungen anzeigen Schalter aktivieren, um das Sigma-Produkt, den Service und die Kategorie zu sehen, zu denen das ausgewählte logquellenprodukt gehört. Diese sind erweiterte Einstellungen, die für mit Sigma vertraute Benutzer gedacht sind. Sie können vordefinierte Werte entfernen, indem Sie auf das Kreuzsymbol klicken und neue Werte hinzufügen, allerdings empfehlen wir nicht, die vordefinierten Werte zu ändern, wenn Unsicherheit besteht. Um einen neuen Wert anzugeben, klicken Sie auf ein Feld, geben Sie den Wert ein und klicken Sie auf den eingegebenen Namen, um ihn hinzuzufügen. Jedes Feld kann mehrere Werte haben.
    Hinweis: Derzeit die Sigma-Produkt auswählen, Sigma-Kategorie auswählen, und Sigma-Service wählen Felder haben vordefinierte Werte nur für einige Logquellenprodukte. Unterstützung für weitere Produkte ist bald verfügbar.

  6. Wählen Sie, ob Sie das Profil zum Standardprofil machen möchten. Ein Standardprofil wird automatisch auf der Inhaltsdetailseite auf den Inhalt für die ausgewählte Plattform angewendet, der für das angegebene logquellenprodukt (oder Sigma-Produkt, Service und Kategorie) geeignet ist.

    Hinweis: Das Standardprofil wird automatisch nur auf Logquellenprodukte angewendet, die mit einem Sigma-Produkt, Service und einer Kategorie verbunden sind.

Konfigurieren Sie die Zuordnung. Wenn Sie nur Felder zuordnen müssen, füllen Sie die Quelle or Werte Tab nicht aus.

Quelle

Der genaue Name dieses Tabs hängt von der ausgewählten Plattform ab, da wir die nativen Namen der Protokolldatenstandorte für Microsoft Sentinel, Elastic Stack und Splunk verwenden:

  • Microsoft Sentinel: Tabelle
  • Elastic Stack und Splunk: Index
  • Andere Plattformen: Quelle

Um den Protokolldatenstandort zu konfigurieren, gehen Sie wie folgt vor:

  1. Klicken Sie auf das Feld STANDARDQUELLE und geben Sie den Standardnamen des Standorts ein (Index, Tabelle, etc.), an dem Protokolle des angegebenen Produkts gespeichert sind. Dies ist der Name, der in einem standardisierten Datenschema verwendet wird. Wenn Sie mit der Eingabe fertig sind, klicken Sie auf den eingegebenen Namen, um ihn hinzuzufügen.

    Hinweis: Für einige Plattformen ist der Wert dieses Feldes vordefiniert und kann nicht geändert werden. In vordefinierten Namen wird ein Sternchen (*) als Platzhalter verwendet.

  2. Klicken Sie auf das Feld BENUTZERDEFINIERTE QUELLE und geben Sie den benutzerdefinierten Namen des Protokolldatenstandorts ein. Dies ist der Name, der in Ihrer tatsächlichen Umgebung verwendet wird. Wenn Sie mit der Eingabe fertig sind, klicken Sie auf den eingegebenen Namen, um ihn hinzuzufügen.

Felder

Um die Feldnamen anzupassen, gehen Sie wie folgt vor:

  1. Klicken Sie auf das STANDARDFELD und beginnen Sie mit der Eingabe des Standardfeldnamens, der in einem standardisierten Datenschema verwendet wird. Wählen Sie eine vorgeschlagene Option oder, falls keine relevante Option vorhanden ist, beenden Sie die Eingabe und klicken Sie auf den eingegebenen Namen, um ihn hinzuzufügen.
  2. Klicken Sie auf das BENUTZERDEFINIERTE FELD, geben Sie den benutzerdefinierten Feldnamen ein, der in Ihrer tatsächlichen Umgebung verwendet wird, und klicken Sie auf den eingegebenen Namen, um ihn hinzuzufügen.
  3. Klicken Sie auf das grüne Häkchensymbol, um die Feldzuordnung zu speichern.
  4. Fügen Sie alle erforderlichen Feldzuordnungen mit dem obigen Verfahren hinzu. Klicken Sie auf Feld hinzufügen um ein neues Feld hinzuzufügen. Wenn Sie eine hinzugefügte Zuordnung bearbeiten müssen, klicken Sie auf das Bleistiftsymbol daneben. Um eine Zuordnung zu löschen, klicken Sie auf das Papierkorbsymbol daneben.

Hinweis: Sie können Feldzuordnungen mit einem CSV importieren. Die Datei sollte durch Kommas getrennt sein und zwei Spalten haben:

  • Erste Spalte mit den Standardfeldnamen, die Sie ändern möchten
  • Zweite Spalte mit Ihren benutzerdefinierten Feldnamen

Feldnamen dürfen nur Zeichen, Unterstriche (_), Bindestriche (-) oder Punkte (.) enthalten. Die maximale erlaubte Anzahl von Zeilen beträgt 500. Leere Zeilen werden ignoriert.

Werte

Um den Feldwert anzupassen, gehen Sie wie folgt vor:

  1. Geben Sie den Namen des Feldes ein, für das Sie Werte zuordnen müssen.
  2. Geben Sie den Namen der Original- und der neuen Werte ein.
  3. Klicken Sie auf Wert hinzufügen um erforderlichenfalls Werte für ein weiteres Feld zuzuordnen.

Hinweis:

  • Sie können den gleichen neuen Wert für verschiedene Originalwerte eines Feldes haben.
  • Wenn Sie mehrere neue Werte für den gleichen Originalwert eines Feldes zuordnen, wird nur die letzte Zuordnung berücksichtigt.
  • Wenn Sie den Originalwert leer lassen, wird der eingegebene neue Wert für JEDEN Originalwert des Feldes verwendet.
  • Um den Originalwert dynamisch als Teil des neuen Wertes einzufügen, verwenden Sie den Platzhalter {VALUE} im NEUEN WERT-Feld.
  • Um jeden Originalwert eines Feldes nach einem Muster zu ändern, fügen Sie den Platzhalter {VALUE} hinzu, der für den Originalwert im NEUEN WERT steht, und lassen Sie den ORIGINALWERT leer. Zum Beispiel, um ein Präfix „Microsoft-Windows-Security-“ zu jedem Wert im EventID-Feld hinzuzufügen, erstellen Sie die folgende Zuordnung:
  • FELD: EventID
  • ORIGINALWERT: leer lassen
  • NEUER WERT: Microsoft-Windows-Security-{VALUE}

Um ein erstelltes Profil für benutzerdefinierte Feldzuordnung zu speichern, klicken Sie auf Änderungen speichern.

Sie sind nun bereit und können das erstellte Profil für benutzerdefinierte Feldzuordnung sofort zur Inhaltsbereitstellung in Ihre SIEM-, EDR- oder XDR-Lösung anwenden.

Beteiligen SOC Prime’s Detection as Code-Plattform um die Erkennungsfähigkeit von Bedrohungen zu steigern und die Jagdgeschwindigkeit zu erhöhen, indem eine All-in-One-Lösung genutzt wird, die für jedes Cybersecurity-Team weltweit entwickelt wurde. Die SOC Prime-Plattform nutzt die Macht der kollaborativen Cyber-Verteidigung, indem sie tausende von Cybersicherheitsexperten aus der ganzen Welt mit unterschiedlichen Fähigkeiten und technologischen Fachkenntnissen verbindet. Branchenspezialisten, die Wege suchen, den gemeinsamen Wissenspool zu bereichern, können sich für das Threat Bounty Programbewerben, ihre eigenen Erkennungsalgorithmen mit der Cybersicherheitsgemeinschaft teilen und auf bewertungsbasierte finanzielle Belohnungen für ihre Beiträge erhalten.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge