Capacità di Personalizzazione del Contenuto Offerte dalla Piattaforma SOC Prime: Linee Guida Passo-Passo per Implementazioni Senza Problemi

Adatta il deployment dei contenuti a schemi di dati non standard e alternativi

Al centro della piattaforma Detection as Code di SOC Prime c’è la più grande libreria di contenuti SOC del mondo. Le regole sono scritte inizialmente nel linguaggio Sigma, un formato di regole indipendente dalla piattaforma che consente di sfruttare l’esperienza di una comunità globale di oltre 23.000 esperti di sicurezza. Successivamente, le regole Sigma vengono convertite automaticamente nei formati nativi di oltre 25 SIEM, EDR e XDR.

Quando convertiamo una regola Sigma, seguiamo lo schema dati standard attualmente in uso della piattaforma di destinazione. Ad esempio, una regola di Microsoft Sentinel si basa su Advanced Security Information Model (ASIM), e una query di Elastic Stack sullo schema di Elastic Common (ECS). Lo schema definisce una serie di campi utilizzati per il parsing e la normalizzazione dei dati raccolti dalle fonti di log.

Tuttavia, non tutte le organizzazioni utilizzano lo schema dati standard. Questo potrebbe accadere per vari motivi, ad esempio:

• Le organizzazioni possono preferire schemi di dati alternativi, come Open Source Security Events Metadata (OSSEM) invece di Advanced Security Information Model (ASIM) per Microsoft Sentinel
• I venditori aggiornano i loro schemi di dati di tanto in tanto, e non è sempre tecnicamente fattibile per le organizzazioni tenere il passo con gli aggiornamenti
• Le organizzazioni spesso hanno una necessità interna di personalizzare lo schema dati

Per potenziare le organizzazioni che utilizzano schemi di dati non standard e aiutarle a garantire che le rilevazioni funzionino correttamente nei loro ambienti, la piattaforma SOC Prime offre due funzionalità speciali: Configurazione per Traduzioni Alternative and Mapping Personalizzato dei Campi.

Configurazione per Traduzioni Alternative

Quando uno schema di dati alternativo guadagna popolarità tra le organizzazioni che utilizzano una soluzione SIEM, EDR o XDR, iniziamo a supportarlo aggiungendo una configurazione di traduzioni alternative. Così, gli utenti con uno schema standard possono utilizzare le traduzioni predefinite, e gli utenti con uno alternativo possono selezionare il loro tipo di schema nel Config a tendina e ottenere immediatamente la traduzione su misura per il loro ambiente.

Puoi selezionare Config per traduzioni alternative:

• Sulla pagina dell’elemento del contenuto per ottenere una traduzione alternativa per una specifica regola Sigma

• Nel tab di Hunt (Ricerca Web) della configurazione dell’integrazione dell’ambiente nella sezione Ambienti per configurare le traduzioni alternative utilizzate di default in Quick Hunt (se applicabile per una piattaforma particolare)

• Nelle impostazioni del lavoro nel modulo di Gestione Continua del Contenuto per configurare le traduzioni alternative utilizzate per tutte le regole Sigma associate a un particolare lavoro
  

Mapping Personalizzato dei Campi

Le traduzioni delle regole Sigma nella piattaforma SOC Prime si basano sullo schema dati standard della soluzione SIEM, EDR o XDR corrispondente. Di conseguenza, se nel ambiente di destinazione vengono utilizzati tabelle/indici o campi non standard, le regole tradotte richiedono personalizzazione.

Personalizzare manualmente tabelle/indici, nomi dei campi o valori dei campi nel codice delle regole è un compito noioso soggetto a errori. Ecco perché forniamo capacità per configurare profili di Mapping Personalizzato dei Campi dove è possibile specificare tutte le tabelle/indici personalizzate rilevanti, i nomi dei campi o i valori dei campi e mapparli a quelli predefiniti. Crea un profilo una volta e applicalo al volo ogni volta che distribuisci una regola o invii una query al tuo ambiente. Puoi creare più profili e condividerli con i tuoi colleghi.

Questo strumento è utile in vari casi:

• Quando l’insieme dei campi utilizzati nell’istanza SIEM, EDR o XDR della tua organizzazione differisce da quello definito nello schema dati standard della tua piattaforma.
• Quando desideri interrogare una diversa posizione di dati di log nella tua istanza SIEM, EDR o XDR, ad esempio, se raccogli log particolari con un diverso strumento. In questo caso, potrebbe essere necessario personalizzare la posizione stessa così come i campi e i loro valori per una particolare attività.

Puoi applicare profili di Mapping Personalizzato dei Campi:

• Sulla pagina dell’elemento del contenuto per modificare una traduzione di una particolare regola Sigma

• Nel tab di Hunt (Ricerca Web) della configurazione dell’integrazione dell’ambiente nella sezione Ambienti sezione per applicare modifiche di default in Quick Hunt (se applicabile per una particolare piattaforma)

• Nelle impostazioni del lavoro nel modulo di Gestione Continua del Contenuto per configurare le modifiche applicate a tutte le regole Sigma associate a un particolare lavoro
  

Nota: Di default, il Usa Mapping Personalizzato dei Campi Predefinito basato sulla Fonte di Log segno di spunta è selezionato. In questo caso, il Mapping Personalizzato dei Campi viene applicato dinamicamente al contenuto in base ai prodotti fonte di log per cui il contenuto è destinato. Per mostrare il Mapping Personalizzato dei Campi a tendina e selezionare un singolo profilo per tutto il contenuto collegato al lavoro o per non applicare affatto il mapping, deseleziona il segno di spunta.

Imposta un Profilo di Mapping Personalizzato dei Campi

Crea un profilo separato di Mapping Personalizzato dei Campi per ogni prodotto fonte di log monitorato nel tuo ambiente e che richiede personalizzazione.

 Vai a Integrare > Mapping Personalizzato dei Campi e clicca il pulsante Crea per creare un nuovo profilo.

Puoi anche aprire il pop-up di creazione o modifica del profilo da una pagina dell’elemento del contenuto o dalla configurazione dell’integrazione dell’ambiente.

Per impostare un profilo di Mapping Personalizzato dei Campi:

1. Dai un nome al tuo profilo.
2. Seleziona la piattaforma alla quale vuoi applicare il profilo.
3. Scegli se desideri condividere il profilo con i tuoi colleghi. Un profilo condiviso può essere visualizzato e modificato da chiunque nella tua organizzazione.
4. Seleziona il prodotto fonte di log per il quale il profilo è destinato e verrà applicato automaticamente (se l’interruttore Rendi Predefinito è abilitato). Clicca sul campo Seleziona Fonte di Log , inizia a digitare il nome del prodotto e selezionalo dalle opzioni suggerite.
   
5. Facoltativamente, puoi abilitare l’interruttore Mostra Impostazioni Sigma per visualizzare il Prodotto Sigma, il Servizio e la Categoria a cui corrisponde il prodotto fonte di log selezionato. Queste sono impostazioni avanzate destinate agli utenti ben esperti di Sigma. Puoi rimuovere i valori predefiniti cliccando sull’icona a croce, e aggiungere nuovi valori, ma non consigliamo di cambiare i valori predefiniti se non sei sicuro. Per fornire un nuovo valore, clicca su un campo, digita il valore e clicca sul nome inserito per aggiungerlo. Ogni campo può avere più valori.
   Nota: Attualmente, i campi Seleziona Prodotto Sigma, Seleziona Categoria Sigma, e Seleziona Servizio Sigma hanno valori predefiniti solo per alcuni prodotti fonte di log. Il supporto per ulteriori prodotti è in arrivo.
   
   
6. Scegli se desideri rendere il profilo predefinito. Un profilo predefinito viene applicato automaticamente sulla pagina dell’elemento del contenuto al contenuto per la piattaforma selezionata adatta al prodotto fonte di log specificato (o Prodotto Sigma, Servizio e Categoria).
   
   Nota: Il profilo predefinito viene applicato automaticamente solo per i prodotti fonte di log che hanno Prodotto Sigma, Servizio e Categoria associati con loro.
   

Configura il mapping. Se hai bisogno di mappare solo i campi, non riempire la scheda Origine or Valori .

Origine

Il nome esatto di questa scheda dipende dalla piattaforma selezionata poiché utilizziamo i nomi nativi delle posizioni dei dati di log per Microsoft Sentinel, Elastic Stack e Splunk:

• Microsoft Sentinel: Tabella
• Elastic Stack e Splunk: Indice
• Altre piattaforme: Origine
  

Per configurare la posizione della fonte di log, segui questi passaggi:

1. Clicca sul campo DEFAULT SOURCE e digita il nome predefinito della posizione (indice, tabella, ecc.) dove sono memorizzati i log del prodotto indicato. Questo è il nome utilizzato in uno schema dati standard. Quando hai finito di digitare, clicca sul nome inserito per aggiungerlo.
   
   Nota: Per alcune piattaforme, il valore di questo campo è predefinito e non può essere cambiato. Nei nomi predefiniti, un asterisco (*) viene utilizzato come carattere jolly.
   
   
2. Clicca sul campo CUSTOM SOURCE e digita il nome personalizzato della posizione dei log. Questo è il nome utilizzato nel tuo ambiente attuale. Quando hai finito di digitare, clicca sul nome inserito per aggiungerlo.

Campi

Per personalizzare i nomi dei campi, procedi come segue:

1. Clicca sul campo DEFAULT FIELD e inizia a digitare il nome del campo predefinito utilizzato in uno schema dati standard. Seleziona un’opzione suggerita o, se non c’è un’opzione rilevante, termina la digitazione e clicca sul nome inserito per aggiungerlo.
2. Clicca sul campo CUSTOM FIELD, digita il nome del campo personalizzato utilizzato nel tuo ambiente attuale, e clicca sul nome inserito per aggiungerlo.
   
3. Clicca sull’icona del segno di spunta verde per salvare il mapping dei campi.
4. Aggiungi tutti i mapping di campo richiesti utilizzando la procedura sopra. Clicca su Aggiungi Campo per aggiungere un nuovo campo. Se hai bisogno di modificare un mapping aggiunto, clicca sull’icona della matita vicino ad esso. Per eliminare un mapping, clicca sull’icona del cestino vicino ad esso.
   

Nota: Puoi importare mapping dei campi utilizzando un file CSV. Il file dovrebbe essere delimitato da virgole e avere due colonne:

• Prima colonna con i nomi dei campi predefiniti che vuoi cambiare
• Seconda colonna con i tuoi nomi di campo personalizzati

I nomi dei campi possono contenere solo caratteri, underscore (_), trattini (-), o punti (.). Il numero massimo consentito di righe è 500. Le righe vuote vengono ignorate.

Valori

Per personalizzare il valore del campo, segui questi passaggi:

1. Digita il nome del campo per il quale hai bisogno di mappare i valori.
2. Digita il nome dei valori originali e nuovi.
3. Clicca su Aggiungi Valore per mappare valori per un altro campo se necessario.

Nota:

• Puoi avere lo stesso nuovo valore per diversi valori originali di un campo.

• Se mappi più nuovi valori allo stesso valore originale di un campo, viene considerato solo l’ultimo mapping.

• Se lasci il valore originale vuoto, il nuovo valore inserito viene utilizzato per QUALSIASI valore originale del campo.

• Per inserire dinamicamente il valore originale come parte del nuovo, usa il segnaposto {VALUE} nel campo NUOVO VALORE.

• Per modificare qualsiasi valore originale di un campo secondo un modello, aggiungi il segnaposto {VALUE} che rappresenta il valore originale a NUOVO VALORE e lascia vuoto VALORE ORIGINALE. Ad esempio, per aggiungere un prefisso “Microsoft-Windows-Security-” a qualsiasi valore nel campo EventID, fai il seguente mapping:

• CAMPO: EventID
• VALORE ORIGINALE: lascia vuoto
• NUOVO VALORE: Microsoft-Windows-Security-{VALUE}

Per salvare un profilo di Mapping Personalizzato dei Campi creato, clicca su Salva Modifiche.

Sei a posto e puoi applicare istantaneamente il profilo di Mapping Personalizzato dei Campi creato per il deployment del contenuto nella tua soluzione SIEM, EDR o XDR.

Unisciti alla piattaforma Detection as Code di SOC Prime per potenziare la capacità di rilevamento delle minacce e accelerare la velocità di Threat Hunting sfruttando una soluzione all-in-one progettata per qualsiasi team di cybersecurity al mondo. La piattaforma SOC Prime sfrutta il potere della difesa cibernetica collaborativa collegando migliaia di professionisti della cybersecurity da tutto il mondo con un diverso insieme di competenze e expertise tecnologica. Gli esperti del settore alla ricerca di modi per arricchire il pool collettivo di conoscenze possono fare domanda per il Threat Bounty Program, condividere i propri algoritmi di rilevamento con la comunità della cybersecurity, e ricevere ricompense finanziarie basate sulla valutazione per i loro contributi.