Mapeo de Campos Personalizados

Esta publicación de blog describe la función de mapeo de esquemas de datos personalizados que está disponible en el SOC Prime Threat Detection Marketplace para planes de Suscripción Premium.

El mapeo de esquemas de datos personalizados permite a los usuarios construir una configuración de mapeo personalizada para la mayoría de fuentes de registro y plataformas que se pueden aplicar automáticamente a las reglas en el Threat Detection Marketplace para hacerlas más compatibles con tu plataforma, de modo que no tengas que volver manualmente al SIEM y modificar los nombres de campo para que coincidan con el esquema que estás utilizando.

Aparentemente, hay muchas diferencias entre diferentes entornos, y el cambio automático de nombres de campo predeterminados por nombres de campo personalizados te permite reescribir automáticamente todas las reglas a las especificaciones de tu Calidad de Datos y evitar problemas de análisis.

La razón obvia por la que esta función es necesaria es que los nombres de campo que estás utilizando probablemente no sean los mismos que usa el resto del mundo, sea cual sea la plataforma que estés usando: Elastic con el Elastic Common Schema (ECS), o Splunk con su Common Information Model (CIM), o estás usando ArcSight Common Event Format (CEF), o el QRadar Log Event Extended Format (LEEF).

Perfiles de Esquema de Datos

Puedes acceder a la configuración ya sea haciendo clic en la plataforma que deseas ajustar en la página de Reglas seleccionadas y haciendo clic en el ícono de engranaje para configurar ¿Sigma Field Mapping¿, o puedes ir al Menú de Usuario en la parte superior derecha y seleccionar el elemento del menú de Sigma Field Mapping.

En la ventana de configuración abierta, puedes ver el número de plataformas para las que puedes configurar el mapeo de campos.

Además, puedes crear diferentes Perfiles de Mapeo y cambiar entre ellos si estás utilizando varios SIEMs con diferentes nombres de campo. Tener múltiples Grupos de Mapeo es esencial para los Proveedores de Servicios de Seguridad Gestionada (MSSP) para gestionar múltiples instancias de SIEM.

Personalización de Campos

Las reglas de detección que puedes encontrar en Threat Detection Marketplace son reglas Sigma de formato de firma genérico y abierto con nombres de campo estándar https://github.com/Neo23x0/sigma

Al hacer una traducción de regla con el traductor Sigma predeterminado, se utilizan los nombres de campo predeterminados del SIEM para los campos de la plataforma de destino, por ejemplo, el campo EventID corresponde al campo event.code en Elasticsearch, y el campo EventCode en Splunk.

En la sección de mapeo de campos de Sigma Field Mapping, puedes personalizar los nombres de archivo de modo que todas las traducciones de Reglas subsiguientes se puedan ejecutar en tu instancia de SIEM sin ninguna personalización manual adicional. Selecciona los campos de Sigma del menú desplegable y guarda los nombres de archivo personalizados en el Perfil. Además, puedes agregar campos manualmente para que sean personalizados aún más para tu instancia SIEM.

Puedes especificar todos los nombres de campo disponibles usados en tu instancia SIEM y guardar la configuración para un Grupo de Mapeo de Campos, también puedes crear un Grupo de Mapeo para varias plataformas, de modo que puedas copiar al portapapeles una traducción para tu plataforma con nombres de campo personalizados después de seleccionar simplemente un Grupo preestablecido.

Como solucionar problemas de análisis requiere tiempo, experiencia y seguir el proceso de Gestión de Cambios, adoptar reglas sobre la marcha elimina obstáculos para la detección proactiva de amenazas.