Configurar una agrupación de alertas

Disponible en:

El mecanismo de agrupación de alertas agrupa las alertas en casos, lo que proporciona a los analistas de seguridad un mejor contexto para abordar los problemas de forma eficaz. El objetivo es destacar la importancia de añadir contexto a una alerta de seguridad y evitar situaciones en las que los analistas investiguen el mismo incidente sin el contexto adecuado, lo que puede suponer una pérdida de tiempo o una gestión inadecuada del incidente.

Puedes configurar el mecanismo de agrupación de alertas en Configuración de SOAR > Avanzado > Agrupación de alertas.

La sección General incluye ajustes multiplataforma:

  • Número máximo de alertas agrupadas en un caso: define el número máximo de alertas que se pueden agrupar en un caso (30). Cuando se alcanza el número máximo, se inicia un nuevo caso.
  • Franja horaria para agrupar alertas (en horas): define el número de horas con el que se agruparán las alertas del caso (entre 0,5 y 24 horas en intervalos de media hora). Esto no se aplica a las reglas agrupadas por identificador de agrupaciones de origen.
  • Agrupar entidades e identificadores de agrupaciones de origen en el mismo caso: si está habilitada esta opción, una alerta que se deba agrupar por identificador de agrupaciones de origen según la regla de agrupación buscará primero alertas con el mismo identificador de agrupaciones de origen y, si no encuentra ninguna, buscará todos los casos del sistema con entidades mutuas y agrupará las alertas en consecuencia (y según el periodo multiplataforma). La agrupación de alertas por identificador de agrupaciones de origen se basa únicamente en sourceGroupIdentifier y maxAlertsInCase. No usa un periodo.

Reglas

La sección Reglas te permite crear reglas específicas para diferentes opciones de agrupación.

Ejemplo de agrupación

El mecanismo de agrupación de alertas te permite crear reglas de agrupación que controlan el tipo exacto de alertas que se agrupan en casos. Por ejemplo, si se añade a las 10:00 una alerta Tráfico de C&C con el host de destino 10.1.1.13 a un caso llamado Malware Found (Malware detectado),

A las 11:00, se muestra otra alerta, Cuenta de usuario modificada, con el mismo host de destino. Google Security Operations identifica la misma entidad implicada en ambas alertas y, en el plazo configurado, agrupa la segunda alerta en el caso Malware encontrado.

Jerarquía de reglas

Las reglas funcionan con un sistema jerárquico en el que cada alerta entrante se compara con una regla en el siguiente orden:

  1. Tipo de alerta: por ejemplo, una alerta de phishing.
  2. Producto: por ejemplo, Cybereason EDR.
  3. Fuente de datos: por ejemplo, Arcsight SIEM.
  4. Regla alternativa: se usa cuando no se encuentra ninguna coincidencia para el tipo de alerta, el producto o la fuente de datos.

Una vez que se encuentra una coincidencia con una regla, el sistema deja de comprobar. Si una alerta coincide con una regla y no hay ningún caso al que agruparla, se añade a un caso nuevo. No puedes crear dos reglas en la misma jerarquía para el mismo valor. Por ejemplo, la fuente de datos ArcSight solo puede tener una regla.

Regla de respaldo

La plataforma tiene una regla predefinida que no se puede eliminar. Esta regla de respaldo proporciona una solución general para las alertas, de modo que siempre se agrupen en casos. Sin embargo, puedes editar estas opciones:

  • Agrupar por: elige entre Entidades o Identificador de agrupación de fuentes (para las alertas que tengan un ID de grupo predefinido adjunto del sistema de origen). Por ejemplo, las alertas de QRadar tienen un identificador llamado offense, que es el ID del grupo al que pertenecen en QRadar.
  • Agrupación de entidades (por direcciones): solo es relevante para las entidades.

Regla No agrupar

La regla No agrupar te permite tratar las alertas de forma independiente (no se agruparán con otras alertas en casos). Esto resulta útil cuando es necesario investigar una alerta específica de forma independiente sin que esté vinculada a otros casos.

Para obtener más información sobre cómo excluir entidades específicas de la agrupación de alertas, consulta el artículo Crear una lista de bloqueo para excluir entidades de las alertas.

Cuando se usa Agrupar entidades en una regla, el sistema solo requiere una entidad coincidente para que las alertas se agrupen.

Por ejemplo, una regla de agrupación especifica las siguientes entidades:

  • IP de origen
  • IP de destino
  • Nombre de usuario

Si una alerta coincide con alguna de estas entidades, se agrupará con un caso que contenga esa entidad, aunque las demás entidades no coincidan.

Considera las dos alertas siguientes:

  • Alerta 1:
    Dirección IP de origen: 192.168.1.10
    Dirección IP de destino: 10.0.0.5
    Nombre de usuario: user123
  • Alerta 2:
    Dirección IP de origen: 192.168.1.10
    Dirección IP de destino: 10.0.0.6
    Nombre de usuario: user456

Como ambas alertas tienen la misma dirección IP de origen (192.168.1.10), se agruparán en el mismo caso, aunque la dirección IP de destino y el nombre de usuario sean diferentes.

Crear reglas para casos prácticos específicos

En las siguientes secciones se describen casos prácticos para crear reglas de agrupación de alertas dinámicas y contextuales.

Caso práctico: agrupar alertas por origen y entidad

Una empresa que usa dos conectores, Arcsight y Cybereason EDR, quiere agrupar las alertas de Arcsight por entidades de origen y de destino, y las alertas de Cybereason EDR por criterios específicos:

Alertas de ArcSight: agrupa las alertas por entidades de origen y de destino.

Alertas de phishing de Cybereason EDR: agrupa solo por entidades de origen.

Agrupar alertas de inicio de sesión fallido de Cybereason EDR: agrupa solo por entidades de destino.

Para registrar este caso práctico, crea las siguientes reglas. Google SecOps proporciona la regla final como regla de reserva.

Regla 1:

  • Category = Data Source
  • Value = Arcsight
  • Agrupar por = Entidades
  • Agrupación de entidades = origen y destino

Regla dos:

  • Categoría = Tipo de alerta
  • Valor = Phishing
  • Agrupar por = Entidades
  • Grouping Entities = Source (SourceHostName, SourceAddress, SourceUserName)

Regla tres:

  • Categoría = Tipo de alerta
  • Valor = Error al iniciar sesión
  • Agrupar por = Entidades
  • Grouping Entities = Destination (DestinationAddress, DestinationUserName)

Regla cuatro (alternativa):

  • Category = All
  • Valor = Todas las alertas
  • Agrupación de entidades = Todas las entidades

Caso práctico: lógica de agrupación adaptativa

Un proveedor de servicios de seguridad gestionados tiene un cliente que usa el conector de QRadar y quiere agrupar las alertas de la misma forma en que aparecen en QRadar. También tienen otro cliente que usa ArcSight y quieren agrupar las alertas de este cliente por entidades comunes, excepto las alertas de phishing, que deben agruparse por entidades de destino.

Para abarcar este caso práctico, crea las siguientes reglas:

Regla 1:

  • Category = Data Source
  • Value = QRadar
  • Agrupar por = Identificador de origen para la agrupación
  • Grouping Entities = (dejar en blanco)

Regla dos:

  • Category = Data Source
  • Value = Arcsight
  • Agrupar por = Entidades
  • Agrupación de entidades = Todas las entidades

Regla tres:

  • Categoría = Tipo de alerta
  • Valor = Phishing
  • Agrupar por = Entidades
  • Grouping Entities = Destination (DestinationAddress, DestinationUserName)

Regla cuatro (alternativa):

  • Category = All
  • Valor = Todas las alertas
  • Agrupación de entidades = Todas las entidades

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.