Capacidades de Personalización de Contenido Impulsadas por la Plataforma SOC Prime: Guía Paso a Paso para Despliegues Sin Problemas

[post-views]
julio 06, 2022 · 9 min de lectura
Capacidades de Personalización de Contenido Impulsadas por la Plataforma SOC Prime: Guía Paso a Paso para Despliegues Sin Problemas

Ajustar despliegues de contenido a esquemas de datos no estándar y alternativos

En el núcleo de la plataforma Detection as Code de SOC Prime se encuentra la biblioteca de contenido de SOC más grande del mundo. Las reglas se escriben inicialmente en el lenguaje Sigma, un formato de regla independiente de la plataforma que permite aprovechar la experiencia de una comunidad global de más de 23,000 expertos en seguridad. Luego, las reglas Sigma se convierten automáticamente en formatos nativos de más de 25 SIEM, EDR y XDR.

Al convertir una regla Sigma, seguimos el esquema de datos actualmente estándar de la plataforma objetivo. Por ejemplo, una regla de Microsoft Sentinel se basa en el Modelo Avanzado de Información de Seguridad (ASIM), y una consulta de Elastic Stack en el Esquema Común de Elastic (ECS). El esquema define un conjunto de campos utilizados para el análisis y la normalización de datos recolectados de fuentes de registro.

Sin embargo, no todas las organizaciones utilizan el esquema de datos estándar. Esto podría ser el caso por varias razones, por ejemplo:

  • Las organizaciones pueden preferir esquemas de datos alternativos, como Metadatos de Eventos de Seguridad de Código Abierto (OSSEM) en lugar del Modelo Avanzado de Información de Seguridad (ASIM) para Microsoft Sentinel
  • Los proveedores actualizan sus esquemas de datos de vez en cuando, y no siempre es técnicamente viable para las organizaciones mantenerse al día con las actualizaciones
  • Las organizaciones a menudo tienen una necesidad interna de personalizar el esquema de datos

Para capacitar a las organizaciones que utilizan esquemas de datos no estándar y ayudarles a garantizar que las detecciones funcionen correctamente en sus entornos, la plataforma SOC Prime ofrece dos características especiales: Configurar para Traducciones Alternativas and Mapeo de Campos Personalizado.

Configurar para Traducciones Alternativas

Cuando un esquema de datos alternativo gana popularidad entre las organizaciones que utilizan una solución SIEM, EDR o XDR, comenzamos a apoyarlo añadiendo una configuración de traducciones alternativas. Así, los usuarios con un esquema estándar pueden usar las traducciones predeterminadas, y los usuarios con uno alternativo pueden seleccionar su tipo de esquema en la Configuración desplegable y obtener instantáneamente la traducción adaptada a su entorno.

Puede seleccionar Configuración para traducciones alternativas:

  • En la página del ítem de contenido para obtener una traducción alternativa de una regla Sigma específica
  • En la Búsqueda (Web Search) pestaña de la configuración de integración de su entorno en la Sección Entornos para configurar traducciones alternativas utilizadas por defecto en Quick Hunt (si es aplicable para una plataforma en particular)
  • En la configuración de Trabajos en el módulo de Gestión Continua de Contenidos para configurar traducciones alternativas utilizadas para todas las reglas Sigma asociadas con un Trabajo en particular

Mapeo de Campos Personalizado

Las traducciones de reglas Sigma en la plataforma SOC Prime se basan en el esquema de datos estándar de la solución SIEM, EDR o XDR correspondiente. En consecuencia, si se utilizan tablas/índices o campos no estándar en el entorno objetivo, las reglas traducidas requieren personalización.

Personalizar tablas/índices, nombres de campos o valores de campos en el código de regla manualmente es una tarea tediosa propensa a errores. Por eso brindamos capacidades para configurar perfiles de Mapeo de Campos Personalizados donde puede especificar todas las tablas/índices personalizados relevantes, nombres de campos o valores de campos y mapearlos a los predeterminados. Cree un perfil una vez, y aplíquelo al instante cada vez que despliegue una regla o envíe una consulta a su entorno. Puede crear múltiples perfiles y compartirlos con sus compañeros de equipo.

Esta herramienta es útil en diversos casos:

  • Cuando el conjunto de campos utilizados en la instancia de SIEM, EDR o XDR de su organización difiere de aquel definido en el esquema de datos estándar de su plataforma.
  • Cuando desea consultar una ubicación diferente de datos de registros en su instancia de SIEM, EDR o XDR, por ejemplo, si recolecta registros particulares con una herramienta diferente. En este caso, es posible que necesite personalizar la ubicación en sí, así como los campos y sus valores para una actividad en particular.

Puede aplicar perfiles de Mapeo de Campos Personalizados:

  • En la página del ítem de contenido para modificar una traducción de una regla Sigma en particular
  • En la Búsqueda (Web Search) pestaña de la configuración de integración de su entorno en la Sección Entornos sección para aplicar modificaciones por defecto en Quick Hunt (si es aplicable para una plataforma en particular)
  • En la configuración de Trabajos en el módulo de Gestión Continua de Contenidos para configurar modificaciones aplicadas a todas las reglas Sigma asociadas con un Trabajo en particular

Nota: Por defecto, la Usar Mapeo de Campos Personalizado por Defecto basado en Fuente de Registro casilla está seleccionada. En este caso, el Mapeo de Campos Personalizado se aplica dinámicamente al contenido basado en los productos de la fuente de registro para el cual el contenido está destinado. Para mostrar el Mapeo de Campos Personalizado desplegable y seleccionar un único perfil para todo el contenido vinculado al Trabajo o no aplicar mapeo en absoluto, deseleccione la casilla.

Configure un Perfil de Mapeo de Campos Personalizado

Cree un perfil separado de Mapeo de Campos Personalizado para cada producto de fuente de registro monitoreado en su entorno y que requiera personalización.

 Vaya a Integrar > Mapeo de Campos Personalizado y haga clic en el Crear botón para crear un nuevo perfil.

También puede abrir la creación o edición de perfiles emergente desde una página de ítem de contenido o configuración de integración de entorno.

Para configurar un perfil de Mapeo de Campos Personalizado:

  1. Dé a su perfil un nombre.
  2. Seleccione la plataforma para la que desea aplicar el perfil.
  3. Elija si desea compartir el perfil con sus compañeros de equipo. Un perfil compartido puede ser visto y editado por cualquier persona en su organización.
  4. Seleccione el producto de fuente de registro para el cual está destinado el perfil y se aplicará automáticamente (si el Hacer Por Defecto interruptor está habilitado). Haga clic en el Seleccionar Fuente de Registro campo, comience a escribir el nombre del producto y selecciónelo de las opciones sugeridas.
  5. Opcionalmente, puede habilitar el Mostrar Configuraciones Sigma interruptor para ver el Producto Sigma, Servicio y Categoría a la que corresponde el producto de fuente de registro seleccionado. Estas son configuraciones avanzadas destinadas a usuarios bien familiarizados con Sigma. Puede eliminar valores predefinidos haciendo clic en el ícono de la cruz y añadir nuevos valores, pero no recomendamos cambiar los valores predefinidos si tiene dudas. Para proporcionar un nuevo valor, haga clic en un campo, escriba el valor y haga clic en el nombre ingresado para añadirlo. Cada campo puede tener múltiples valores.
    Nota: Actualmente, los campos de Seleccionar Producto Sigma, Seleccionar Categoría Sigma, y Seleccionar Servicio Sigma tienen valores predefinidos solo para algunos productos de fuente de registro. El soporte para más productos llegará pronto.

  6. Elija si desea hacer el perfil por defecto. Un perfil por defecto se aplica automáticamente en la página del ítem de contenido al contenido para la plataforma seleccionada adecuada para el producto de fuente de registro especificado (o Producto, Servicio y Categoría de Sigma).

    Nota: El perfil por defecto se aplica automáticamente solo para los productos de fuente de registro que tienen Producto, Servicio y Categoría de Sigma asociados con ellos.

Configure el mapeo. Si solo necesita mapear campos, no llene la pestaña Fuente or Valores .

Fuente

El nombre exacto de esta pestaña depende de la plataforma seleccionada ya que usamos los nombres nativos de las ubicaciones de datos de registro para Microsoft Sentinel, Elastic Stack, y Splunk:

  • Microsoft Sentinel: Tabla
  • Elastic Stack y Splunk: Índice
  • Otras plataformas: Fuente

Para configurar la ubicación de la fuente de registro, siga los siguientes pasos:

  1. Haga clic en el campo FUENTE POR DEFECTO y escriba el nombre por defecto de la ubicación (índice, tabla, etc.) donde se almacenan los registros del producto indicado. Este es el nombre utilizado en un esquema de datos estándar. Al terminar de escribir, haga clic en el nombre ingresado para añadirlo.

    Nota: Para algunas plataformas, el valor de este campo está predefinido y no se puede cambiar. En nombres predefinidos, se usa un asterisco (*) como comodín.

  2. Haga clic en el campo FUENTE PERSONALIZADA y escriba el nombre personalizado de la ubicación del registro. Este es el nombre utilizado en su entorno actual. Al terminar de escribir, haga clic en el nombre ingresado para añadirlo.

Campos

Para personalizar los nombres de los campos, haga lo siguiente:

  1. Haga clic en el CAMPO POR DEFECTO y comience a escribir el nombre del campo por defecto utilizado en un esquema de datos estándar. Seleccione una opción sugerida o, si no hay una opción relevante, termine de escribir y haga clic en el nombre ingresado para añadirlo.
  2. Haga clic en el CAMPO PERSONALIZADO, escriba el nombre de campo personalizado utilizado en su entorno actual, y haga clic en el nombre ingresado para añadirlo.
  3. Haga clic en el icono de marca de verificación verde para guardar el mapeo de campos.
  4. Añada todos los mapeos de campo requeridos utilizando el procedimiento anterior. Haga clic en Añadir Campo para añadir un nuevo campo. Si necesita editar un mapeo añadido, haga clic en el icono de lápiz cerca de él. Para eliminar un mapeo, haga clic en el icono de papelera cerca de él.

Nota: Puede importar mapeos de campos utilizando un CSV. El archivo debe estar delimitado por comas y tener dos columnas:

  • Primera columna con los nombres de campo por defecto que desea cambiar
  • Segunda columna con sus nombres de campo personalizados

Los nombres de los campos pueden contener solo caracteres, guiones bajos (_), guiones (-), o puntos (.). El número máximo permitido de líneas es 500. Las filas vacías se ignoran.

Valores

Para personalizar el valor del campo, siga los siguientes pasos:

  1. Escriba el nombre del campo para el cual necesita mapear valores.
  2. Escriba el nombre de los valores originales y nuevos.
  3. Haga clic en Añadir Valor para mapear valores para otro campo si es necesario.

Nota:

  • Puede tener el mismo valor nuevo para diferentes valores originales de un campo.
  • Si mapea múltiples valores nuevos al mismo valor original de un campo, solo se considera el último mapeo.
  • Si deja el valor original vacío, el valor nuevo ingresado se usará para CUALQUIER valor original del campo.
  • Para insertar dinámicamente el valor original como parte del nuevo, use el marcador de posición {VALUE} en el campo NUEVO VALOR.
  • Para modificar cualquier valor original de un campo de acuerdo con un patrón, añada el marcador de posición {VALUE} que representa el valor original al NUEVO VALOR y deje el VALOR ORIGINAL vacío. Por ejemplo, para añadir un prefijo «Microsoft-Windows-Security-» a cualquier valor en el campo EventID, haga el siguiente mapeo:
  • CAMPO: EventID
  • VALOR ORIGINAL: deje vacío
  • NUEVO VALOR: Microsoft-Windows-Security-{VALUE}

Para guardar un perfil de Mapeo de Campos Personalizado creado, haga clic en Guardar Cambios.

Todo está listo y puede aplicar instantáneamente el perfil de Mapeo de Campos Personalizado creado para el despliegue de contenido en su solución SIEM, EDR o XDR.

Únase a la plataforma Detection as Code de SOC Prime para aumentar la capacidad de detección de amenazas y acelerar la velocidad de búsqueda de amenazas aprovechando una solución todo en uno diseñada para cualquier equipo de ciberseguridad en el mundo. La plataforma SOC Prime aprovecha el poder de la defensa cibernética colaborativa conectando a miles de profesionales de ciberseguridad de todo el mundo con habilidades diversas y experiencia tecnológica. Los expertos de la industria que buscan maneras de enriquecer la reserva colectiva de conocimientos pueden postular al Programa de Recompensas de Amenazas, compartir sus propios algoritmos de detección con la comunidad de ciberseguridad, y obtener recompensas financieras basadas en el calificativo por sus contribuciones.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas