Capacidades de PersonalizaciĆ³n de Contenido Impulsadas por la Plataforma SOC Prime: GuĆ­a Paso a Paso para Despliegues Sin Problemas

[post-views]
julio 06, 2022 Ā· 9 min de lectura
Capacidades de PersonalizaciĆ³n de Contenido Impulsadas por la Plataforma SOC Prime: GuĆ­a Paso a Paso para Despliegues Sin Problemas

Ajustar despliegues de contenido a esquemas de datos no estƔndar y alternativos

En el nĆŗcleo de la plataforma Detection as Code de SOC Prime se encuentra la biblioteca de contenido de SOC mĆ”s grande del mundo. Las reglas se escriben inicialmente en el lenguaje Sigma, un formato de regla independiente de la plataforma que permite aprovechar la experiencia de una comunidad global de mĆ”s de 23,000 expertos en seguridad. Luego, las reglas Sigma se convierten automĆ”ticamente en formatos nativos de mĆ”s de 25 SIEM, EDR y XDR.

Al convertir una regla Sigma, seguimos el esquema de datos actualmente estĆ”ndar de la plataforma objetivo. Por ejemplo, una regla de Microsoft Sentinel se basa en el Modelo Avanzado de InformaciĆ³n de Seguridad (ASIM), y una consulta de Elastic Stack en el Esquema ComĆŗn de Elastic (ECS). El esquema define un conjunto de campos utilizados para el anĆ”lisis y la normalizaciĆ³n de datos recolectados de fuentes de registro.

Sin embargo, no todas las organizaciones utilizan el esquema de datos estƔndar. Esto podrƭa ser el caso por varias razones, por ejemplo:

  • Las organizaciones pueden preferir esquemas de datos alternativos, como Metadatos de Eventos de Seguridad de CĆ³digo Abierto (OSSEM) en lugar del Modelo Avanzado de InformaciĆ³n de Seguridad (ASIM) para Microsoft Sentinel
  • Los proveedores actualizan sus esquemas de datos de vez en cuando, y no siempre es tĆ©cnicamente viable para las organizaciones mantenerse al dĆ­a con las actualizaciones
  • Las organizaciones a menudo tienen una necesidad interna de personalizar el esquema de datos

Para capacitar a las organizaciones que utilizan esquemas de datos no estƔndar y ayudarles a garantizar que las detecciones funcionen correctamente en sus entornos, la plataforma SOC Prime ofrece dos caracterƭsticas especiales: Configurar para Traducciones Alternativas and Mapeo de Campos Personalizado.

Configurar para Traducciones Alternativas

Cuando un esquema de datos alternativo gana popularidad entre las organizaciones que utilizan una soluciĆ³n SIEM, EDR o XDR, comenzamos a apoyarlo aƱadiendo una configuraciĆ³n de traducciones alternativas. AsĆ­, los usuarios con un esquema estĆ”ndar pueden usar las traducciones predeterminadas, y los usuarios con uno alternativo pueden seleccionar su tipo de esquema en la ConfiguraciĆ³n desplegable y obtener instantĆ”neamente la traducciĆ³n adaptada a su entorno.

Puede seleccionar ConfiguraciĆ³n para traducciones alternativas:

  • En la pĆ”gina del Ć­tem de contenido para obtener una traducciĆ³n alternativa de una regla Sigma especĆ­fica
  • En la BĆŗsqueda (Web Search) pestaƱa de la configuraciĆ³n de integraciĆ³n de su entorno en la SecciĆ³n Entornos para configurar traducciones alternativas utilizadas por defecto en Quick Hunt (si es aplicable para una plataforma en particular)
  • En la configuraciĆ³n de Trabajos en el mĆ³dulo de GestiĆ³n Continua de Contenidos para configurar traducciones alternativas utilizadas para todas las reglas Sigma asociadas con un Trabajo en particular

Mapeo de Campos Personalizado

Las traducciones de reglas Sigma en la plataforma SOC Prime se basan en el esquema de datos estĆ”ndar de la soluciĆ³n SIEM, EDR o XDR correspondiente. En consecuencia, si se utilizan tablas/Ć­ndices o campos no estĆ”ndar en el entorno objetivo, las reglas traducidas requieren personalizaciĆ³n.

Personalizar tablas/Ć­ndices, nombres de campos o valores de campos en el cĆ³digo de regla manualmente es una tarea tediosa propensa a errores. Por eso brindamos capacidades para configurar perfiles de Mapeo de Campos Personalizados donde puede especificar todas las tablas/Ć­ndices personalizados relevantes, nombres de campos o valores de campos y mapearlos a los predeterminados. Cree un perfil una vez, y aplĆ­quelo al instante cada vez que despliegue una regla o envĆ­e una consulta a su entorno. Puede crear mĆŗltiples perfiles y compartirlos con sus compaƱeros de equipo.

Esta herramienta es Ćŗtil en diversos casos:

  • Cuando el conjunto de campos utilizados en la instancia de SIEM, EDR o XDR de su organizaciĆ³n difiere de aquel definido en el esquema de datos estĆ”ndar de su plataforma.
  • Cuando desea consultar una ubicaciĆ³n diferente de datos de registros en su instancia de SIEM, EDR o XDR, por ejemplo, si recolecta registros particulares con una herramienta diferente. En este caso, es posible que necesite personalizar la ubicaciĆ³n en sĆ­, asĆ­ como los campos y sus valores para una actividad en particular.

Puede aplicar perfiles de Mapeo de Campos Personalizados:

  • En la pĆ”gina del Ć­tem de contenido para modificar una traducciĆ³n de una regla Sigma en particular
  • En la BĆŗsqueda (Web Search) pestaƱa de la configuraciĆ³n de integraciĆ³n de su entorno en la SecciĆ³n Entornos secciĆ³n para aplicar modificaciones por defecto en Quick Hunt (si es aplicable para una plataforma en particular)
  • En la configuraciĆ³n de Trabajos en el mĆ³dulo de GestiĆ³n Continua de Contenidos para configurar modificaciones aplicadas a todas las reglas Sigma asociadas con un Trabajo en particular

Nota: Por defecto, la Usar Mapeo de Campos Personalizado por Defecto basado en Fuente de Registro casilla estĆ” seleccionada. En este caso, el Mapeo de Campos Personalizado se aplica dinĆ”micamente al contenido basado en los productos de la fuente de registro para el cual el contenido estĆ” destinado. Para mostrar el Mapeo de Campos Personalizado desplegable y seleccionar un Ćŗnico perfil para todo el contenido vinculado al Trabajo o no aplicar mapeo en absoluto, deseleccione la casilla.

Configure un Perfil de Mapeo de Campos Personalizado

Cree un perfil separado de Mapeo de Campos Personalizado para cada producto de fuente de registro monitoreado en su entorno y que requiera personalizaciĆ³n.

Ā Vaya a Integrar > Mapeo de Campos Personalizado y haga clic en el Crear botĆ³n para crear un nuevo perfil.

TambiĆ©n puede abrir la creaciĆ³n o ediciĆ³n de perfiles emergente desde una pĆ”gina de Ć­tem de contenido o configuraciĆ³n de integraciĆ³n de entorno.

Para configurar un perfil de Mapeo de Campos Personalizado:

  1. DĆ© a su perfil un nombre.
  2. Seleccione la plataforma para la que desea aplicar el perfil.
  3. Elija si desea compartir el perfil con sus compaƱeros de equipo. Un perfil compartido puede ser visto y editado por cualquier persona en su organizaciĆ³n.
  4. Seleccione el producto de fuente de registro para el cual estĆ” destinado el perfil y se aplicarĆ” automĆ”ticamente (si el Hacer Por Defecto interruptor estĆ” habilitado). Haga clic en el Seleccionar Fuente de Registro campo, comience a escribir el nombre del producto y selecciĆ³nelo de las opciones sugeridas.
  5. Opcionalmente, puede habilitar el Mostrar Configuraciones Sigma interruptor para ver el Producto Sigma, Servicio y CategorĆ­a a la que corresponde el producto de fuente de registro seleccionado. Estas son configuraciones avanzadas destinadas a usuarios bien familiarizados con Sigma. Puede eliminar valores predefinidos haciendo clic en el Ć­cono de la cruz y aƱadir nuevos valores, pero no recomendamos cambiar los valores predefinidos si tiene dudas. Para proporcionar un nuevo valor, haga clic en un campo, escriba el valor y haga clic en el nombre ingresado para aƱadirlo. Cada campo puede tener mĆŗltiples valores.
    Nota: Actualmente, los campos de Seleccionar Producto Sigma, Seleccionar Categorƭa Sigma, y Seleccionar Servicio Sigma tienen valores predefinidos solo para algunos productos de fuente de registro. El soporte para mƔs productos llegarƔ pronto.

  6. Elija si desea hacer el perfil por defecto. Un perfil por defecto se aplica automƔticamente en la pƔgina del ƭtem de contenido al contenido para la plataforma seleccionada adecuada para el producto de fuente de registro especificado (o Producto, Servicio y Categorƭa de Sigma).

    Nota: El perfil por defecto se aplica automƔticamente solo para los productos de fuente de registro que tienen Producto, Servicio y Categorƭa de Sigma asociados con ellos.

Configure el mapeo. Si solo necesita mapear campos, no llene la pestaƱa Fuente or Valores .

Fuente

El nombre exacto de esta pestaƱa depende de la plataforma seleccionada ya que usamos los nombres nativos de las ubicaciones de datos de registro para Microsoft Sentinel, Elastic Stack, y Splunk:

  • Microsoft Sentinel: Tabla
  • Elastic Stack y Splunk: ƍndice
  • Otras plataformas: Fuente

Para configurar la ubicaciĆ³n de la fuente de registro, siga los siguientes pasos:

  1. Haga clic en el campo FUENTE POR DEFECTO y escriba el nombre por defecto de la ubicaciĆ³n (Ć­ndice, tabla, etc.) donde se almacenan los registros del producto indicado. Este es el nombre utilizado en un esquema de datos estĆ”ndar. Al terminar de escribir, haga clic en el nombre ingresado para aƱadirlo.

    Nota: Para algunas plataformas, el valor de este campo estĆ” predefinido y no se puede cambiar. En nombres predefinidos, se usa un asterisco (*) como comodĆ­n.

  2. Haga clic en el campo FUENTE PERSONALIZADA y escriba el nombre personalizado de la ubicaciĆ³n del registro. Este es el nombre utilizado en su entorno actual. Al terminar de escribir, haga clic en el nombre ingresado para aƱadirlo.

Campos

Para personalizar los nombres de los campos, haga lo siguiente:

  1. Haga clic en el CAMPO POR DEFECTO y comience a escribir el nombre del campo por defecto utilizado en un esquema de datos estĆ”ndar. Seleccione una opciĆ³n sugerida o, si no hay una opciĆ³n relevante, termine de escribir y haga clic en el nombre ingresado para aƱadirlo.
  2. Haga clic en el CAMPO PERSONALIZADO, escriba el nombre de campo personalizado utilizado en su entorno actual, y haga clic en el nombre ingresado para aƱadirlo.
  3. Haga clic en el icono de marca de verificaciĆ³n verde para guardar el mapeo de campos.
  4. AƱada todos los mapeos de campo requeridos utilizando el procedimiento anterior. Haga clic en AƱadir Campo para aƱadir un nuevo campo. Si necesita editar un mapeo aƱadido, haga clic en el icono de lƔpiz cerca de Ʃl. Para eliminar un mapeo, haga clic en el icono de papelera cerca de Ʃl.

Nota: Puede importar mapeos de campos utilizando un CSV. El archivo debe estar delimitado por comas y tener dos columnas:

  • Primera columna con los nombres de campo por defecto que desea cambiar
  • Segunda columna con sus nombres de campo personalizados

Los nombres de los campos pueden contener solo caracteres, guiones bajos (_), guiones (-), o puntos (.). El nĆŗmero mĆ”ximo permitido de lĆ­neas es 500. Las filas vacĆ­as se ignoran.

Valores

Para personalizar el valor del campo, siga los siguientes pasos:

  1. Escriba el nombre del campo para el cual necesita mapear valores.
  2. Escriba el nombre de los valores originales y nuevos.
  3. Haga clic en AƱadir Valor para mapear valores para otro campo si es necesario.

Nota:

  • Puede tener el mismo valor nuevo para diferentes valores originales de un campo.
  • Si mapea mĆŗltiples valores nuevos al mismo valor original de un campo, solo se considera el Ćŗltimo mapeo.
  • Si deja el valor original vacĆ­o, el valor nuevo ingresado se usarĆ” para CUALQUIER valor original del campo.
  • Para insertar dinĆ”micamente el valor original como parte del nuevo, use el marcador de posiciĆ³n {VALUE} en el campo NUEVO VALOR.
  • Para modificar cualquier valor original de un campo de acuerdo con un patrĆ³n, aƱada el marcador de posiciĆ³n {VALUE} que representa el valor original al NUEVO VALOR y deje el VALOR ORIGINAL vacĆ­o. Por ejemplo, para aƱadir un prefijo Ā«Microsoft-Windows-Security-Ā» a cualquier valor en el campo EventID, haga el siguiente mapeo:
  • CAMPO: EventID
  • VALOR ORIGINAL: deje vacĆ­o
  • NUEVO VALOR: Microsoft-Windows-Security-{VALUE}

Para guardar un perfil de Mapeo de Campos Personalizado creado, haga clic en Guardar Cambios.

Todo estĆ” listo y puede aplicar instantĆ”neamente el perfil de Mapeo de Campos Personalizado creado para el despliegue de contenido en su soluciĆ³n SIEM, EDR o XDR.

ƚnase a la plataforma Detection as Code de SOC Prime para aumentar la capacidad de detecciĆ³n de amenazas y acelerar la velocidad de bĆŗsqueda de amenazas aprovechando una soluciĆ³n todo en uno diseƱada para cualquier equipo de ciberseguridad en el mundo. La plataforma SOC Prime aprovecha el poder de la defensa cibernĆ©tica colaborativa conectando a miles de profesionales de ciberseguridad de todo el mundo con habilidades diversas y experiencia tecnolĆ³gica. Los expertos de la industria que buscan maneras de enriquecer la reserva colectiva de conocimientos pueden postular al Programa de Recompensas de Amenazas, compartir sus propios algoritmos de detecciĆ³n con la comunidad de ciberseguridad, y obtener recompensas financieras basadas en el calificativo por sus contribuciones.

ĀæFue Ćŗtil este artĆ­culo?

Dale me gusta y compƔrtelo con tus compaƱeros.
ƚnase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas mĆ”s relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reuniĆ³n ahora con los expertos de SOC Prime.
ƚnase Gratis Reserve una ReuniĆ³n

Publicaciones relacionadas