Capacités de Personnalisation de Contenu Propulsées par la Plateforme SOC Prime : Instructions Étape par Étape pour des Déploiements Fluides

[post-views]
juillet 06, 2022 · 11 min de lecture
Capacités de Personnalisation de Contenu Propulsées par la Plateforme SOC Prime : Instructions Étape par Étape pour des Déploiements Fluides

Ajustez les Déploiements de Contenu aux Schémas de Données Non Standards et Alternatifs

Au cœur de la plateforme Detection as Code de SOC Prime se trouve la plus grande bibliothèque mondiale de contenu SOC. Les règles sont initialement écrites dans le langage Sigma, un format de règle indépendant de la plateforme qui permet de tirer parti de l’expertise d’une communauté mondiale de plus de 23 000 experts en sécurité. Les règles Sigma sont ensuite automatiquement converties en formats natifs de plus de 25 SIEM, EDR et XDR.

Lors de la conversion d’une règle Sigma, nous suivons le schéma de données standard actuel de la plateforme cible. Par exemple, une règle Microsoft Sentinel est basée sur le Advanced Security Information Model (ASIM), et une requête Elastic Stack sur l’Elastic Common Schema (ECS). Le schéma définit un ensemble de champs utilisés pour l’analyse et la normalisation des données collectées à partir des sources de journaux.

Cependant, toutes les organisations n’utilisent pas le schéma de données standard. Cela peut être le cas pour diverses raisons, par exemple :

  • Les organisations peuvent préférer des schémas de données alternatifs, tels que l’Open Source Security Events Metadata (OSSEM) au lieu du Advanced Security Information Model (ASIM) pour Microsoft Sentinel
  • Les vendeurs mettent à jour leurs schémas de données de temps à autre, et il n’est pas toujours techniquement possible pour les organisations de suivre les mises à jour
  • Les organisations ont souvent un besoin interne de personnaliser le schéma de données

Pour permettre aux organisations qui utilisent des schémas de données non standards de garantir que les détections fonctionnent correctement dans leurs environnements, la plateforme SOC Prime propose deux fonctionnalités spéciales : Configuration pour Traductions Alternatives and Mappage de Champ Personnalisé.

Configuration pour Traductions Alternatives

Lorsqu’un schéma de données alternatif gagne en popularité parmi les organisations utilisant une solution SIEM, EDR ou XDR, nous commençons à le soutenir en ajoutant une configuration de traductions alternatives. Ainsi, les utilisateurs avec un schéma standard peuvent utiliser les traductions par défaut, et ceux avec un alternatif peuvent sélectionner leur type de schéma dans le Configuration déroulant et obtenir instantanément la traduction adaptée à leur environnement.

Vous pouvez sélectionner Configuration pour des traductions alternatives :

  • Sur la page de l’élément de contenu pour obtenir une traduction alternative pour une règle Sigma spécifique
  • Dans le onglet Hunt (Recherche Web) de la configuration de votre intégration d’environnement dans la section Environnements pour configurer les traductions alternatives utilisées par défaut dans Quick Hunt (si applicable à une plateforme particulière)
  • Dans les paramètres de l’emploi dans le module de Gestion Continue du Contenu pour configurer les traductions alternatives utilisées pour toutes les règles Sigma associées à un emploi particulier

Mappage de Champ Personnalisé

Les traductions de règles Sigma dans la plate-forme SOC Prime sont basées sur le schéma de données standard de la solution SIEM, EDR ou XDR correspondante. En conséquence, si des tables/index non standards ou des champs sont utilisés dans l’environnement cible, les règles traduites nécessitent une personnalisation.

Personnaliser manuellement les tables/index, noms de champs ou valeurs de champs dans le code de la règle est une tâche fastidieuse sujette aux erreurs. C’est pourquoi nous fournissons des capacités de configuration de profils de Mappage de Champ Personnalisé où vous pouvez spécifier tous les tableaux/index personnalisés pertinents, noms de champs ou valeurs de champs et les associer à ceux par défaut. Créez un profil une fois, et appliquez-le à la volée chaque fois que vous déployez une règle ou envoyez une requête à votre environnement. Vous pouvez créer plusieurs profils et les partager avec vos coéquipiers.

Cet outil est utile dans diverses situations :

  • Lorsque l’ensemble de champs utilisé dans l’instance SIEM, EDR ou XDR de votre organisation diffère de celui défini dans le schéma de données standard de votre plateforme.
  • Lorsque vous souhaitez interroger un emplacement de données de journal différent dans votre instance SIEM, EDR ou XDR, par exemple, si vous collectez des journaux particuliers avec un outil différent. Dans ce cas, vous devrez peut-être personnaliser l’emplacement lui-même ainsi que les champs et leurs valeurs pour une activité particulière.

Vous pouvez appliquer des profils de Mappage de Champ Personnalisé :

  • Sur la page de l’élément de contenu pour modifier une traduction d’une règle Sigma particulière
  • Dans le onglet Hunt (Recherche Web) de la configuration de votre intégration d’environnement dans la section Environnements section pour appliquer des modifications par défaut dans Quick Hunt (si applicable pour une plateforme particulière)
  • Dans les paramètres de l’emploi dans le module de Gestion Continue du Contenu pour configurer les modifications appliquées à toutes les règles Sigma associées à un emploi particulier

Note : Par défaut, la Utilisez le Mappage de Champ Personnalisé par Défaut basé sur la Source de Journal case est sélectionnée. Dans ce cas, le Mappage de Champ Personnalisé est appliqué dynamiquement au contenu basé sur les produits sources de journaux auxquels le contenu est destiné. Pour afficher le Mappage de Champ Personnalisé déroulant et sélectionner un profil unique pour tout le contenu lié à l’Emploi ou pour ne pas appliquer de mappage du tout, désélectionnez la case.

Configurer un Profil de Mappage de Champ Personnalisé

Créez un profil de Mappage de Champ Personnalisé séparé pour chaque produit source de journal surveillé dans votre environnement nécessitant une personnalisation.

 Allez à Intégrer > Mappage de Champ Personnalisé et cliquez sur le Créer bouton pour créer un nouveau profil.

Vous pouvez également ouvrir le pop-up de création ou d’édition de profil depuis une page d’élément de contenu ou la configuration d’intégration d’environnement.

Pour configurer un profil de Mappage de Champ Personnalisé :

  1. Donnez un nom à votre profil.
  2. Sélectionnez la plateforme pour laquelle vous voulez appliquer le profil.
  3. Choisissez si vous souhaitez partager le profil avec vos coéquipiers. Un profil partagé peut être vu et édité par n’importe qui dans votre organisation.
  4. Sélectionnez le produit source de journal pour lequel le profil est destiné et sera appliqué automatiquement (si le Rendre Par Défaut interrupteur est activé). Cliquez sur le Sélectionner la Source de Journal champ, commencez à taper le nom du produit et sélectionnez-le parmi les options suggérées.
  5. Optionnellement, vous pouvez activer le Afficher les Paramètres Sigma interrupteur pour voir le Produit Sigma, Service et Catégorie auxquels correspond le produit source de journal sélectionné. Ce sont des paramètres avancés destinés aux utilisateurs bien familiarisés avec Sigma. Vous pouvez supprimer les valeurs prédéfinies en cliquant sur l’icône en forme de croix, et ajouter de nouvelles valeurs, mais nous ne recommandons pas de changer les valeurs prédéfinies en cas de doute. Pour fournir une nouvelle valeur, cliquez sur un champ, tapez la valeur et cliquez sur le nom entré pour l’ajouter. Chaque champ peut avoir plusieurs valeurs.
    Note: Actuellement, les champs Sélectionner le Produit Sigma, Sélectionner la Catégorie Sigma, et Sélectionner le Service Sigma ont des valeurs prédéfinies uniquement pour certains produits sources de journal. La prise en charge de nouveaux produits est à venir.

  6. Choisissez si vous souhaitez rendre le profil par défaut. Un profil par défaut est appliqué automatiquement sur la page de l’élément de contenu pour le contenu de la plateforme sélectionnée adapté au produit source de journal spécifié (ou Produit Sigma, Service et Catégorie).

    Note: Le profil par défaut est automatiquement appliqué uniquement aux produits sources de journal qui ont un Produit Sigma, Service et Catégorie associés avec eux.

Configurez le mappage. Si vous avez besoin de mapper seulement des champs, ne remplissez pas l’onglet Source or Valeurs .

Source

Le nom exact de cet onglet dépend de la plateforme sélectionnée, car nous utilisons les noms natifs des emplacements de données de journaux pour Microsoft Sentinel, Elastic Stack et Splunk :

  • Microsoft Sentinel : Table
  • Elastic Stack et Splunk : Index
  • Autres plateformes : Source

Pour configurer la localisation de la source de journal, suivez ces étapes :

  1. Cliquez sur le champ SOURCE PAR DÉFAUT et tapez le nom par défaut de l’emplacement (index, table, etc.) où les journaux du produit indiqué sont stockés. C’est le nom utilisé dans un schéma de données standard. Lorsque vous avez fini de taper, cliquez sur le nom entré pour l’ajouter.

    Note : Pour certaines plateformes, la valeur de ce champ est prédéfinie et ne peut pas être changée. Dans les noms prédéfinis, un astérisque (*) est utilisé comme caractère générique.

  2. Cliquez sur le champ SOURCE PERSONNALISÉE et tapez le nom personnalisé de l’emplacement du journal. C’est le nom utilisé dans votre environnement actuel. Lorsque vous avez fini de taper, cliquez sur le nom entré pour l’ajouter.

Champs

Pour personnaliser les noms de champs, faites ce qui suit :

  1. Cliquez sur le CHAMP PAR DÉFAUT et commencez à taper le nom de champ par défaut utilisé dans un schéma de données standard. Sélectionnez une option suggérée ou, s’il n’y a pas d’option pertinente, terminez de taper et cliquez sur le nom entré pour l’ajouter.
  2. Cliquez sur le CHAMP PERSONNALISÉ, tapez le nom de champ personnalisé utilisé dans votre environnement actuel, et cliquez sur le nom entré pour l’ajouter.
  3. Cliquez sur l’icône de coche verte pour enregistrer le mappage de champ.
  4. Ajoutez tous les mappages de champs requis en utilisant la procédure ci-dessus. Cliquez sur Ajouter Champ pour ajouter un nouveau champ. Si vous devez modifier un mappage ajouté, cliquez sur l’icône de crayon à côté. Pour supprimer un mappage, cliquez sur l’icône de poubelle à côté.

Note : Vous pouvez importer des mappages de champs en utilisant un fichier CSV. Le fichier doit être délimité par des virgules et comporter deux colonnes :

  • Première colonne avec les noms de champs par défaut que vous souhaitez changer
  • Deuxième colonne avec vos noms de champs personnalisés

Les noms de champs peuvent contenir seulement des caractères, des underscores (_), des tirets (-), ou des points (.). Le nombre maximum de lignes autorisé est de 500. Les lignes vides sont ignorées.

Valeurs

Pour personnaliser la valeur du champ, suivez ces étapes :

  1. Tapez le nom du champ pour lequel vous avez besoin de mapper des valeurs.
  2. Tapez le nom des valeurs originales et nouvelles.
  3. Cliquez sur Ajouter Valeur pour mapper les valeurs pour un autre champ si nécessaire.

Note :

  • Vous pouvez avoir la même nouvelle valeur pour différentes valeurs originales d’un champ.
  • Si vous mappez plusieurs nouvelles valeurs à la même valeur originale d’un champ, seul le dernier mappage est pris en compte.
  • Si vous laissez la valeur originale vide, la nouvelle valeur entrée est utilisée pour TOUTE valeur originale du champ.
  • Pour insérer dynamiquement la valeur originale comme partie de la nouvelle, utilisez le placeholder {VALUE} dans le champ NOUVELLE VALEUR.
  • Pour modifier toute valeur originale d’un champ selon un modèle, ajoutez le placeholder {VALUE} qui représente la valeur originale à NOUVELLE VALEUR et laissez VALEUR ORIGINALE vide. Par exemple, pour ajouter le préfixe « Microsoft-Windows-Security- » à toute valeur dans le champ EventID, effectuez le mappage suivant :
  • CHAMP : EventID
  • VALEUR ORIGINALE : laisser vide
  • NOUVELLE VALEUR : Microsoft-Windows-Security-{VALUE}

Pour enregistrer un profil de Mappage de Champ Personnalisé créé, cliquez sur Enregistrer les Modifications.

Tout est prêt et vous pouvez instantanément appliquer le profil de Mappage de Champ Personnalisé créé pour le déploiement de contenu dans votre solution SIEM, EDR ou XDR.

Rejoignez la plateforme Detection as Code de SOC Prime pour renforcer la capacité de détection des menaces et accélérer la vitesse de chasse aux menaces en profitant d’une solution tout-en-un conçue pour toute équipe de cybersécurité dans le monde. La plateforme SOC Prime exploite la puissance de la défense cybernétique collaborative en connectant des milliers de professionnels de la cybersécurité du monde entier possédant une multitude de compétences et d’expertise technologique. Les experts du secteur recherchant des moyens d’enrichir le pool de connaissances collectif peuvent postuler au Programme Threat Bounty, partager leurs propres algorithmes de détection avec la communauté de cybersécurité, et obtenir des récompenses financières basées sur des notes pour leurs contributions.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes