Mappatura dei Campi Personalizzati
Indice:
Questo post sul blog descrive la funzionalità di mappatura dello schema dei dati personalizzato disponibile su SOC Prime Threat Detection Marketplace per i piani di abbonamento Premium.
La mappatura dello schema dei dati personalizzato consente agli utenti di costruire una configurazione di mappatura personalizzata per la maggior parte delle fonti di log e delle piattaforme che può essere applicata automaticamente alle regole su Threat Detection Marketplace per renderle più compatibili con la tua piattaforma in modo tale da non dover tornare manualmente al SIEM e modificare i nomi dei campi per adattarli allo schema che stai usando.
Apparentemente, ci sono molte differenze tra i diversi ambienti e la modifica automatica dei nomi dei campi predefiniti con nomi di campi personalizzati ti consente di riscrivere automaticamente tutte le regole in base alle specificità della tua Qualità dei Dati ed evitare problemi di parsing.
Il motivo ovvio per cui questa funzione è necessaria è che i nomi dei campi che stai utilizzando probabilmente non sono gli stessi che tutti gli altri stanno usando, a prescindere dalla piattaforma che stai eseguendo – Elastic con l’Elastic Common Schema (ECS), o Splunk con il suo Common Information Model (CIM), oppure stai usando ArcSight Common Event Format (CEF), o il QRadar Log Event Extended Format (LEEF).
Profili Schema Dati
Puoi accedere alla configurazione facendo clic sulla piattaforma che vuoi configurare nella pagina della Regola selezionata e cliccare sull’icona dell’ingranaggio per configurare il Sigma Field Mapping, oppure puoi andare al Menu Utente in alto a destra e selezionare l’elemento del menu Sigma Field Mapping.
Nella finestra delle impostazioni aperta, puoi vedere il numero di Piattaforme per le quali puoi configurare la mappatura dei campi.
Inoltre, puoi creare diversi Profili di Mappatura e passare da uno all’altro se stai usando diversi SIEM con nomi di campi differenti. Avere più Gruppi di Mappatura è essenziale per i Fornitori di Servizi di Sicurezza Gestiti (MSSP) per gestire più istanze SIEM.
Personalizzazione dei Campi
Le regole di rilevamento che puoi trovare su Threat Detection Marketplace sono regole Sigma di formato aperto e generico con nomi di campo standard https://github.com/Neo23x0/sigma
Quando si effettua una traduzione delle regole con il traduttore Sigma predefinito, i nomi dei campi predefiniti del SIEM sono utilizzati per i campi della piattaforma di destinazione, per esempio, il campo Sigma EventID corrisponde al campo event.code in Elasticsearch, e al campo EventCode in Splunk.
Nella sezione Sigma Field Mapping, puoi personalizzare i nomi dei campi in modo che tutte le future traduzioni di Regole possano essere eseguite nella tua istanza SIEM senza alcuna personalizzazione manuale aggiuntiva. Seleziona i campi Sigma dalla lista a discesa e salva i nomi dei campi personalizzati nel Profilo. Inoltre, puoi aggiungere manualmente i campi da personalizzare ulteriormente per la tua istanza SIEM.
Puoi specificare tutti i nomi di campo disponibili usati nella tua istanza SIEM e salvare le impostazioni per un Gruppo di Mappatura dei Campi, e puoi anche creare un Gruppo di Mappatura per diverse piattaforme, in modo da poter copiare negli appunti una traduzione per la tua piattaforma con nomi di campo personalizzati semplicemente selezionando un Gruppo preimpostato.
Poiché risolvere i problemi di parsing richiede tempo, competenza e seguire il processo di Gestione del Cambiamento, adottare regole al volo elimina i blocchi per una rilevazione delle minacce proattiva.
