Benachrichtigungsgruppierung konfigurieren

Unterstützt in:

Durch die Gruppierung von Warnungen werden Warnungen in Fällen zusammengefasst. So erhalten Sicherheitsanalysten einen besseren Kontext, um Probleme effektiv zu beheben. Ziel ist es, die Bedeutung von zusätzlichem Kontext für eine Sicherheitsbenachrichtigung hervorzuheben und Situationen zu vermeiden, in denen Analysten denselben Vorfall ohne den richtigen Kontext untersuchen und möglicherweise Zeit verschwenden oder den Vorfall falsch behandeln.

Sie können den Mechanismus zur Gruppierung von Benachrichtigungen unter SOAR-Einstellungen > Erweitert > Gruppierung von Benachrichtigungen konfigurieren.

Der Bereich Allgemein enthält plattformübergreifende Einstellungen:

  • Max. Anzahl an Benachrichtigungen, die in einem Fall gruppiert sind: Legen Sie die maximale Anzahl an Benachrichtigungen fest, die in einem Fall gruppiert werden sollen (30). Wenn die maximale Anzahl erreicht ist, wird ein neuer Fall gestartet.
  • Zeitraum für die Gruppierung von Benachrichtigungen (in Stunden): Legen Sie die Anzahl der Stunden fest, mit denen die Benachrichtigungen für den Fall gruppiert werden sollen (Bereich von 0,5 bis 24 Stunden in halbstündigen Intervallen). Dies gilt nicht für Regeln, die nach einer Quellen gruppierenden Kennung gruppiert sind.
  • Gruppenentitäten und Quellen gruppierende Kennungen im selben Fall gruppieren: Wenn diese Option aktiviert ist, wird bei einer Warnung, die gemäß der Gruppierungsregel nach einer Quellen gruppierenden Kennung gruppiert werden soll, zuerst nach Warnungen mit derselben Quellen gruppierenden Kennung gesucht. Wenn keine gefunden werden, wird nach allen Fällen im System mit gemeinsamen Entitäten gesucht und Warnungen werden entsprechend gruppiert (und gemäß dem plattformübergreifenden Zeitraum). Die Gruppierung von Benachrichtigungen für die Quellen gruppierende Kennung basiert ausschließlich auf sourceGroupIdentifier und maxAlertsInCase. Es wird kein Zeitraum verwendet.

Regeln

Im Bereich Regeln können Sie spezifische Regeln für verschiedene Gruppierungsoptionen erstellen.

Beispiel für die Gruppierung

Mit dem Mechanismus zur Gruppierung von Benachrichtigungen können Sie Gruppierungsregeln erstellen, mit denen Sie den genauen Typ von Benachrichtigungen steuern, die in Fällen gruppiert werden. Ein einfaches Beispiel für die Gruppierung: Eine Benachrichtigung vom Typ C&C-Traffic mit dem Zielhost 10.1.1.13 wird um 10:00 Uhr einem Fall mit dem Namen Malware gefunden hinzugefügt.

Um 11:00 Uhr wird eine weitere Benachrichtigung mit dem gleichen Zielhost angezeigt: Nutzerkonto geändert. Google Security Operations identifiziert dieselbe Einheit, die in beiden Benachrichtigungen enthalten ist, und gruppiert die zweite Benachrichtigung innerhalb des konfigurierten Zeitrahmens in den Fall Malware gefunden.

Regelhierarchie

Die Regeln funktionieren nach einem hierarchischen System, bei dem jede eingehende Benachrichtigung in der folgenden Reihenfolge mit einer Regel abgeglichen wird:

  1. Benachrichtigungstyp: z. B. eine Phishing-Benachrichtigung.
  2. Produkt: z. B. Cybereason EDR.
  3. Datenquelle: z. B. Arcsight SIEM.
  4. Fallback-Regel: Wird verwendet, wenn keine Übereinstimmung für den Benachrichtigungstyp, das Produkt oder die Datenquelle gefunden wird.

Sobald eine Regel gefunden wurde, wird die Suche beendet. Wenn eine Benachrichtigung mit einer Regel übereinstimmt und kein vorhandener Fall zum Gruppieren vorhanden ist, wird sie einem neuen Fall hinzugefügt. Sie können nicht zwei Regeln in derselben Hierarchie für denselben Wert erstellen. Beispiel: Die Datenquelle „ArcSight“ kann nur eine Regel haben.

Fallback-Regel

Die Plattform hat eine integrierte Regel, die nicht gelöscht werden kann. Diese Fallback-Regel bietet eine allgemeine Auffangregel für Benachrichtigungen, um sicherzustellen, dass es in Fällen immer eine Gruppierung gibt. Sie können diese Optionen jedoch bearbeiten:

  • Gruppieren nach: Wählen Sie zwischen Entitäten und Quellgruppen-ID aus (für Benachrichtigungen, die aus dem ursprünglichen System mit einer vorhandenen Gruppen-ID gesendet werden). QRadar-Benachrichtigungen haben beispielsweise eine Kennung namens offense, die der Gruppen-ID entspricht, zu der sie in QRadar gehören.
  • Entitäten gruppieren (nach Richtungen): Nur für Entitäten relevant.

Regel „Nicht gruppieren“

Mit der Regel Nicht gruppieren können Sie Warnungen unabhängig voneinander behandeln. Sie werden nicht mit anderen Warnungen in Fällen gruppiert. Das ist hilfreich, wenn ein bestimmter Hinweis unabhängig untersucht werden muss, ohne mit anderen Fällen verknüpft zu sein.

Weitere Informationen zum Ausschließen bestimmter Entitäten aus der Benachrichtigungsgruppierung finden Sie unter Sperrliste erstellen, um Entitäten aus Benachrichtigungen auszuschließen.

Wenn Sie Grouping Entities in einer Regel verwenden, benötigt das System nur eine übereinstimmende Entität, damit Benachrichtigungen gruppiert werden.

Angenommen, in einer Gruppierungsregel werden die folgenden Einheiten angegeben:

  • Quell-IP-Adresse
  • Ziel-IP-Adresse
  • Nutzername

Wenn eine Benachrichtigung mit einer dieser Entitäten übereinstimmt, wird sie mit einem vorhandenen Fall mit dieser Entität gruppiert, auch wenn die anderen Entitäten nicht übereinstimmen.

Sehen Sie sich die folgenden beiden Benachrichtigungen an:

  • Benachrichtigung 1:
    Quell-IP-Adresse: 192.168.1.10
    Ziel-IP-Adresse: 10.0.0.5
    Nutzername: user123
  • Benachrichtigung 2:
    Quell-IP-Adresse: 192.168.1.10
    Ziel-IP-Adresse: 10.0.0.6
    Nutzername: user456

Da beide Benachrichtigungen dieselbe Quell-IP-Adresse (192.168.1.10) haben, werden sie in demselben Fall gruppiert, obwohl sich die Ziel-IP-Adresse und der Nutzername unterscheiden.

Regeln für bestimmte Anwendungsfälle erstellen

In den folgenden Abschnitten werden Anwendungsfälle für das Erstellen dynamischer und kontextbezogener Regeln für die Alertgruppierung beschrieben.

Anwendungsfall: Benachrichtigungen nach Quelle und Entität gruppieren

Ein Unternehmen, das zwei Connectors verwendet, Arcsight und Cybereason EDR, möchte Arcsight-Benachrichtigungen nach Quell- und Zielentitäten und Cybereason EDR-Benachrichtigungen nach bestimmten Kriterien gruppieren:

Arcsight-Benachrichtigungen: Nach Quell- und Zielentitäten gruppieren.

Cybereason EDR-Phishing-Benachrichtigungen: Nur nach Quellentitäten gruppieren.

Cybereason EDR-Warnungen zu fehlgeschlagenen Anmeldeversuchen gruppieren: Nur nach Zielentitäten gruppieren.

Erstellen Sie die folgenden Regeln, um diesen Anwendungsfall zu erfassen. Google SecOps stellt die endgültige Regel als Fallback-Regel bereit.

Regel 1:

  • Kategorie = Datenquelle
  • Wert = Arcsight
  • Gruppieren nach = Entitäten
  • Gruppierungs-Entitäten = Quelle und Ziel

Regel 2:

  • Kategorie = Benachrichtigungstyp
  • Wert = Phishing
  • Gruppieren nach = Entitäten
  • Gruppierungs-Entitäten = Quelle (SourceHostName, SourceAddress, SourceUserName)

Regel 3:

  • Kategorie = Benachrichtigungstyp
  • Wert = Fehler bei der Anmeldung
  • Gruppieren nach = Entitäten
  • Grouping Entities = Destination (DestinationAddress, DestinationUserName)

Regel 4 (Fallback):

  • Kategorie = Alle
  • Wert = Alle Benachrichtigungen
  • Gruppierungs-Entitäten = Alle Entitäten

Anwendungsfall: Adaptive Gruppierungslogik

Ein MSSP hat einen Kunden, der den QRadar-Connector verwendet und Benachrichtigungen so gruppieren möchte, wie sie in QRadar angezeigt werden. Sie haben auch einen anderen Kunden, der Arcsight verwendet, und möchten die Benachrichtigungen dieses Kunden nach gemeinsamen Entitäten gruppieren, mit Ausnahme von Phishing-Benachrichtigungen, die nach Zielentitäten gruppiert werden sollen.

Erstellen Sie die folgenden Regeln, um diesen Anwendungsfall zu erfassen:

Regel 1:

  • Kategorie = Datenquelle
  • Wert = QRadar
  • Gruppieren nach = Quellen gruppierende Kennung
  • Gruppierungs-Entitäten = (leer lassen)

Regel 2:

  • Kategorie = Datenquelle
  • Wert = Arcsight
  • Gruppieren nach = Entitäten
  • Gruppierungs-Entitäten = Alle Entitäten

Regel 3:

  • Kategorie = Benachrichtigungstyp
  • Wert = Phishing
  • Gruppieren nach = Entitäten
  • Grouping Entities = Destination (DestinationAddress, DestinationUserName)

Regel 4 (Fallback):

  • Kategorie = Alle
  • Wert = Alle Benachrichtigungen
  • Gruppierungs-Entitäten = Alle Entitäten

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten