Capacidades de Personalização de Conteúdo Potencializadas pela Plataforma SOC Prime: Diretrizes Passo a Passo para Implantação Sem Falhas

[post-views]
Julho 06, 2022 · 12 min de leitura
Capacidades de Personalização de Conteúdo Potencializadas pela Plataforma SOC Prime: Diretrizes Passo a Passo para Implantação Sem Falhas

Ajustar Implantações de Conteúdo para Esquemas de Dados Alternativos e Não-Padrão

No núcleo da plataforma de Detecção como Código da SOC Prime está a maior biblioteca mundial de conteúdo SOC. As regras são inicialmente escritas na linguagem Sigma, um formato de regra agnóstico à plataforma que permite aproveitar a expertise de uma comunidade global de mais de 23.000 especialistas em segurança. Depois, as regras Sigma são automaticamente convertidas em formatos nativos de mais de 25 SIEMs, EDRs e XDRs.

Ao converter uma regra Sigma, seguimos o esquema de dados padrão atual da plataforma de destino. Por exemplo, uma regra do Microsoft Sentinel é baseada no Advanced Security Information Model (ASIM) e uma consulta do Elastic Stack no Elastic Common Schema (ECS). O esquema define um conjunto de campos usados para a análise e normalização dos dados coletados de fontes de log.

No entanto, nem todas as organizações usam o esquema de dados padrão. Isso pode ocorrer por diversos motivos, por exemplo:

  • As organizações podem preferir esquemas de dados alternativos, como o Open Source Security Events Metadata (OSSEM) em vez do Advanced Security Information Model (ASIM) para o Microsoft Sentinel
  • Os fornecedores atualizam seus esquemas de dados de tempos em tempos, e nem sempre é tecnicamente viável para as organizações acompanhar as atualizações
  • As organizações frequentemente têm uma necessidade interna de personalizar o esquema de dados

Para capacitar organizações que usam esquemas de dados não-padrão e ajudá-las a garantir que as detecções funcionem corretamente em seus ambientes, a Plataforma SOC Prime oferece dois recursos especiais: Configuração para Traduções Alternativas and Mapeamento de Campos Personalizados.

Configuração para Traduções Alternativas

Quando um esquema de dados alternativo ganha popularidade entre as organizações que usam uma solução SIEM, EDR ou XDR, começamos a suportá-lo adicionando uma configuração de traduções alternativas. Assim, os usuários com um esquema padrão podem usar as traduções padrão, e os usuários com um alternativo podem selecionar seu tipo de esquema no Configuração suspensa e obter instantaneamente a tradução adaptada ao seu ambiente.

Você pode selecionar Configuração para traduções alternativas:

  • Na página do item de conteúdo para obter uma tradução alternativa para uma regra Sigma específica
  • No Hunt (Busca na Web) guia da configuração de integração do seu ambiente na seção Ambientes para configurar traduções alternativas usadas por padrão no Quick Hunt (se aplicável para uma plataforma específica) Nas configurações de Trabalho no módulo de Gerenciamento Contínuo de Conteúdo para configurar traduções alternativas usadas para todas as regras Sigma associadas a um Trabalho específico
  • As traduções de regras Sigma na Plataforma SOC Prime são baseadas no esquema de dados padrão da solução SIEM, EDR ou XDR correspondente. Consequentemente, se tabelas/índices ou campos não-padrão são usados no ambiente de destino, as regras traduzidas requerem personalização.

Mapeamento de Campos Personalizados

Personalizar tabelas/índices, nomes de campos, ou valores de campos manualmente no código da regra é uma tarefa tediosa propensa a erros. É por isso que oferecemos capacidades para configurar perfis de Mapeamento de Campos Personalizados onde você pode especificar todas as tabelas/índices personalizadas relevantes, nomes de campos ou valores de campos e mapeá-los para os padrões. Crie um perfil uma vez e aplique-o instantaneamente cada vez que implantar uma regra ou enviar uma consulta para o seu ambiente. Você pode criar múltiplos perfis e compartilhá-los com seus colegas.

Esta ferramenta é útil em vários casos:

Quando o conjunto de campos usados na instância de SIEM, EDR ou XDR da sua organização difere do definido no esquema de dados padrão da sua plataforma.

  • Quando você gostaria de consultar uma localização de dados de log diferente na sua instância de SIEM, EDR ou XDR, por exemplo, se você coleta logs específicos com uma ferramenta diferente. Neste caso, pode ser necessário personalizar a própria localização, bem como os campos e seus valores para uma atividade específica.
  • Você pode aplicar perfis de Mapeamento de Campos Personalizados:

Na página de item de conteúdo para modificar uma tradução de uma regra Sigma específica

  • seção para aplicar modificações por padrão no Quick Hunt (se aplicável para uma plataforma específica)
  • No Hunt (Busca na Web) guia da configuração de integração do seu ambiente na seção Ambientes para configurar traduções alternativas usadas por padrão no Quick Hunt (se aplicável para uma plataforma específica) Nas configurações de Trabalho no módulo de Gerenciamento Contínuo de Conteúdo para configurar modificações aplicadas a todas as regras Sigma associadas a um Trabalho específico
  • Nota:

Por padrão, a Utilizar Mapeamento de Campo Personalizado padrão baseado na Fonte de Log marca de seleção está selecionada. Neste caso, o Mapeamento de Campos Personalizados é aplicado dinamicamente ao conteúdo com base nos produtos fonte de log para os quais o conteúdo é destinado. Para mostrar a suspensa e selecionar um único perfil para todo o conteúdo vinculado ao Trabalho ou não aplicar mapeamento algum, desmarque a marca de seleção. Mapeamento de Campos Personalizados Configurar um Perfil de Mapeamento de Campo Personalizado

Crie um perfil de Mapeamento de Campo Personalizado separado para cada produto fonte de log monitorado no seu ambiente e que exija personalização.

Vá para

 Escolha se deseja compartilhar o perfil com seus colegas. Um perfil compartilhado pode ser visualizado e editado por qualquer pessoa na sua organização. Selecione a plataforma para a qual você deseja aplicar o perfil. Dê um nome ao seu perfil. Mapeamento de Campos Personalizados Para configurar um perfil de Mapeamento de Campo Personalizado: Você também pode abrir o pop-up de criação ou edição de perfil a partir de uma página de item de conteúdo ou configuração de integração de ambiente. Selecionar Categoria Sigma

Selecione o produto fonte de log para o qual o perfil é destinado e será aplicado automaticamente (se o

Atualmente, os campos

  1. Nota
  2. para visualizar o Produto Sigma, Serviço, e Categoria aos quais o produto fonte de log selecionado corresponde. Estas são configurações avançadas destinadas a usuários bem familiarizados com Sigma. Você pode remover valores predefinidos clicando no ícone de cruz, e adicionar novos valores, mas não recomendamos alterar os valores predefinidos se estiver em dúvida. Para fornecer um novo valor, clique em um campo, digite o valor e clique no nome digitado para adicioná-lo. Cada campo pode ter múltiplos valores.
  3. Choose if you want to share the profile with your teammates. A shared profile can be viewed and edited by anyone in your organization.
  4. Select the log source product for which the profile is intended and will be applied automatically (if the Selecionar Fonte de Log interruptor estiver ativado). Clique no campo Tornar Padrão Opcionalmente, você pode habilitar o interruptor
  5. , comece a digitar o nome do produto e selecione-o nas opções sugeridas. Mostrar Configurações Sigma para criar um novo perfil.
    Criar: e clique no botão Select Sigma Product, Dê um nome ao seu perfil.Integre Select Sigma Service fields have predefined values only for some log source products. Support for further products is coming soon.

  6. Selecionar Produto Sigma

    CriarConfigure o mapeamento. Se precisar mapear apenas campos, não preencha a guia

Configure the mapping. If you need to map only fields, do not fill in the Escolha se deseja tornar o perfil padrão. Um perfil padrão é aplicado automaticamente na página do item de conteúdo ao conteúdo da plataforma selecionada adequado para o produto fonte de log especificado (ou Produto, Serviço e Categoria Sigma). or O nome exato desta guia depende da plataforma selecionada, pois usamos os nomes nativos das localizações de dados de log para Microsoft Sentinel, Elastic Stack, e Splunk: Tabela

Escolha se deseja tornar o perfil padrão. Um perfil padrão é aplicado automaticamente na página do item de conteúdo ao conteúdo da plataforma selecionada adequado para o produto fonte de log especificado (ou Produto, Serviço e Categoria Sigma).

Elastic Stack e Splunk:

  • Escolha se deseja tornar o perfil padrão. Um perfil padrão é aplicado automaticamente na página do item de conteúdo ao conteúdo da plataforma selecionada adequado para o produto fonte de log especificado (ou Produto, Serviço e Categoria Sigma). têm valores predefinidos apenas para alguns produtos fonte de log. O suporte para outros produtos está chegando em breve.
  • Selecionar Serviço Sigma , e
  • Valores. Escolha se deseja tornar o perfil padrão. Um perfil padrão é aplicado automaticamente na página do item de conteúdo ao conteúdo da plataforma selecionada adequado para o produto fonte de log especificado (ou Produto, Serviço e Categoria Sigma).

Fonte

  1. Click on the DEFAULT SOURCE field and type the default name of the location (index, table, etc.) where logs of the indicated product are stored. This is the name used in a standard data schema. When finished typing, click on the entered name to add it. 

    Por padrão, a For some platforms, the value of this field is predefined and cannot be changed. In predefined names, an asterisk (*) is used as a wildcard.

  2. Click on the CUSTOM SOURCE field and type the custom name of the log location. This is the name used in your actual environment. When finished typing, click on the entered name to add it.

Fields

Clique no CAMPO PADRÃO e comece digitando o nome do campo padrão usado em um esquema de dados padrão. Selecione a opção sugerida ou, se não houver uma opção relevante, termine de digitar e clique no nome digitado para adicioná-lo.

  1. Para personalizar os nomes dos campos, faça o seguinte:
  2. Clique no ícone de marca verde para salvar o mapeamento de campos.
  3. Clique no campo FONTE PERSONALIZADA e digite o nome personalizado da localização do log. Este é o nome usado no seu ambiente real. Ao finalizar a digitação, clique no nome digitado para adicioná-lo.
  4. Para algumas plataformas, o valor deste campo é predefinido e não pode ser alterado. Nos nomes predefinidos, um asterisco (*) é usado como um curinga. Clique no campo FONTE PADRÃO e digite o nome padrão da localização (índice, tabela, etc.) onde os logs do produto indicado são armazenados. Este é o nome usado em um esquema de dados padrão. Ao finalizar a digitação, clique no nome digitado para adicioná-lo. Para configurar a localização da fonte de log, siga os seguintes passos:

Por padrão, a Clique no CAMPO PERSONALIZADO, digite o nome do campo personalizado usado no seu ambiente real, e clique no nome digitado para adicioná-lo.

  • Índice
  • Adicionar Campo

Outras plataformas:

O nome exato desta guia depende da plataforma selecionada, pois usamos os nomes nativos das localizações de dados de log para Microsoft Sentinel, Elastic Stack, e Splunk:

Adicione todos os mapeamentos de campos necessários usando o procedimento acima. Clique

  1. Adicionar Valor
  2. Clique
  3. Digite os nomes dos valores original e novo. Add Value para mapear valores para outro campo, se necessário.

Por padrão, a

  • Você pode ter o mesmo novo valor para diferentes valores originais de um campo.
  • Se você mapear múltiplos novos valores para o mesmo valor original de um campo, apenas o último mapeamento será considerado.
  • Para modificar qualquer valor original de um campo de acordo com um padrão, adicione o marcador {VALOR} que representa o valor original ao NOVO VALOR e deixe o VALOR ORIGINAL vazio. Por exemplo, para adicionar um prefixo “Microsoft-Windows-Security-” a qualquer valor no campo EventID, faça o seguinte mapeamento:
  • To dynamically insert the original value as part of the new one, use {VALUE} placeholder in the NEW VALUE field.
  • Para inserir dinamicamente o valor original como parte do novo, use o marcador {VALOR} no campo NOVO VALOR.
  • CAMPO: EventID
  • VALOR ORIGINAL: deixe vazio
  • NOVO VALOR: Microsoft-Windows-Security-{VALOR}

Para salvar um perfil de Mapeamento de Campo Personalizado criado, clique em Salvar Alterações.

Tudo pronto, e você pode aplicar instantaneamente o perfil de Mapeamento de Campo Personalizado criado para a implantação de conteúdo no seu SIEM, EDR ou solução XDR.

Unir-se à plataforma de Detecção como Código da SOC Prime para impulsionar a capacidade de detecção de ameaças e acelerar a velocidade de caça às ameaças utilizando uma solução tudo-em-um projetada para qualquer equipe de cibersegurança no mundo. A Plataforma SOC Prime aproveita o poder da defesa cibernética colaborativa conectando milhares de profissionais de cibersegurança de todo o mundo com um conjunto diversificado de habilidades e expertise tecnológica. Especialistas do setor que procuram maneiras de enriquecer o pool coletivo de conhecimento podem se candidatar ao Programa de Recompensas por Ameaça, compartilhar seus próprios algoritmos de detecção com a comunidade de cibersegurança e obter recompensas financeiras baseadas em classificação por suas contribuições.

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas