Configura un agrupamiento de alertas

Compatible con:

El mecanismo de agrupación de alertas agrupa las alertas en casos, lo que proporciona a los analistas de seguridad un mejor contexto para abordar los problemas de manera eficaz. El objetivo es destacar la importancia del contexto adicional en una alerta de seguridad y evitar situaciones en las que los analistas investiguen el mismo incidente sin el contexto adecuado, lo que podría generar una pérdida de tiempo o un manejo inadecuado del incidente.

Puedes configurar el mecanismo de agrupación de alertas en Configuración de SOAR > Avanzado > Agrupación de alertas.

La sección General incluye la configuración multiplataforma:

  • Cantidad máx. de alertas agrupadas en un caso: Define la cantidad máxima de alertas que se agruparán en un caso (30). Una vez que se alcanza la cantidad máxima, se inicia un caso nuevo.
  • Período para agrupar alertas (en horas): Establece la cantidad de horas con las que se agruparán las alertas para el caso (el rango es de 0.5 a 24 horas en intervalos de media hora). Esto no se aplica a las reglas agrupadas por identificador de agrupamiento de origen.
  • Agrupar identificadores de agrupamiento de origen y entidades en el mismo caso: Cuando esta opción está habilitada, una alerta que se debería agrupar por identificador de agrupamiento de origen según la regla de agrupamiento, primero busca alertas con el mismo identificador de agrupamiento de origen y, si no encuentra ninguna, busca todos los casos del sistema con entidades mutuas y agrupa las alertas según corresponda (y según el período multiplataforma). El agrupamiento de alertas por identificador de agrupamiento de origen se basa únicamente en sourceGroupIdentifier y maxAlertsInCase. No usa un período.

Reglas

La sección Reglas te permite crear reglas específicas para segmentar diferentes opciones de agrupación.

Ejemplo de agrupación

El mecanismo de agrupación de alertas te permite crear reglas de agrupación que controlan el tipo exacto de alertas que se agrupan en casos. Como ejemplo básico de agrupación, se agrega una alerta de tráfico de C&C con el host de destino 10.1.1.13 a las 10 a.m. a un caso llamado Se encontró software malicioso.

A las 11 a.m., se ve otra alerta, Se cambió la cuenta de usuario, con el mismo host de destino. Google Security Operations identifica la misma entidad involucrada en ambas alertas y, dentro del período configurado, agrupa la segunda alerta en el caso Se encontró software malicioso.

Jerarquía de reglas

Las reglas funcionan en un sistema jerárquico en el que cada alerta entrante se compara con una regla en el siguiente orden:

  1. Tipo de alerta: Por ejemplo, una alerta de phishing.
  2. Producto: Por ejemplo, Cybereason EDR.
  3. Fuente de datos: Por ejemplo, Arcsight SIEM.
  4. Regla de resguardo: Se usa cuando no se encuentra ninguna coincidencia para el tipo de alerta, el producto o la fuente de datos.

Una vez que se encuentra una regla que coincide, el sistema deja de realizar la verificación. Si una alerta coincide con una regla y no hay un caso existente al que agruparla, se agrega a un caso nuevo. No puedes crear dos reglas en la misma jerarquía para el mismo valor. Por ejemplo, la fuente de datos ArcSight solo puede tener una regla.

Regla de resguardo

La plataforma tiene una regla prediseñada que no se puede borrar. Esta regla de resguardo proporciona una solución general para las alertas y garantiza que siempre haya agrupaciones en los casos. Sin embargo, puedes editar estas opciones:

  • Agrupar por: Elige entre Entidades o Identificador de agrupación de fuentes (para las alertas que provienen con un ID de grupo preexistente adjunto desde el sistema de origen). Por ejemplo, las alertas de QRadar tienen un identificador llamado delito, que es el ID del grupo al que pertenecen en QRadar.
  • Agrupación de entidades (por direcciones): Solo es relevante para las entidades.

Regla de No agrupar

La regla No agrupar te permite tratar las alertas de forma independiente (no se agruparán con otras alertas en casos). Esto es útil cuando una alerta específica necesita investigarse de forma independiente sin estar vinculada a otros casos.

Para obtener más información sobre cómo excluir entidades específicas del agrupamiento de alertas, consulta Crea una lista de bloqueo para excluir entidades de las alertas.

Cuando se usa Grouping Entities en una regla, el sistema solo requiere una entidad coincidente para que las alertas se agrupen.

Por ejemplo, una regla de agrupación especifica las siguientes entidades:

  • IP de origen
  • IP de destino
  • Nombre de usuario

Si una alerta coincide con alguna de estas entidades, se agrupa con un caso existente que contenga esa entidad, incluso si las otras entidades no coinciden.

Considera las siguientes dos alertas:

  • Alerta 1:
    Dirección IP de origen: 192.168.1.10
    Dirección IP de destino: 10.0.0.5
    Nombre de usuario: user123
  • Alerta 2:
    Dirección IP de origen: 192.168.1.10
    Dirección IP de destino: 10.0.0.6
    Nombre de usuario: user456

Como ambas alertas tienen la misma dirección IP de origen (192.168.1.10), se agruparán en el mismo caso, aunque la dirección IP de destino y el nombre de usuario sean diferentes.

Crea reglas para casos de uso específicos

En las siguientes secciones, se describen casos de uso para crear reglas de agrupamiento de alertas dinámicas y basadas en el contexto.

Caso de uso: Agrupación de alertas por fuente y entidad

Una empresa que usa dos conectores, ArcSight y Cybereason EDR, desea agrupar las alertas de ArcSight por entidades de origen y destino, y las alertas de Cybereason EDR por criterios específicos:

Alertas de ArcSight: Se agrupan por entidades de origen y destino.

Alertas de phishing de Cybereason EDR: Se agrupan solo por entidades de origen.

Group Cybereason EDR Failed Login alerts: Agrupa solo por entidades de destino.

Para capturar este caso de uso, crea las siguientes reglas. Google SecOps proporciona la regla final como regla de reserva.

Regla uno:

  • Categoría = Fuente de datos
  • Valor = Arcsight
  • Agrupar por = Entidades
  • Agrupamiento de entidades = Fuente y destino

Regla dos:

  • Categoría = Tipo de alerta
  • Valor = Phishing
  • Agrupar por = Entidades
  • Agrupamiento de entidades = Fuente (SourceHostName, SourceAddress, SourceUserName)

Regla tres:

  • Categoría = Tipo de alerta
  • Valor = Failed Login
  • Agrupar por = Entidades
  • Agrupamiento de entidades = Destino (DestinationAddress, DestinationUserName)

Regla cuatro (reserva):

  • Categoría = Todas
  • Valor = Todas las alertas
  • Agrupamiento de entidades = Todas las entidades

Caso de uso: Lógica de agrupamiento adaptable

Un MSSP tiene un cliente que usa el conector de QRadar y desea agrupar las alertas de la misma manera en que aparecen en QRadar. También tienen otro cliente que usa ArcSight y desean agrupar las alertas de este cliente por entidades comunes, excepto las alertas de phishing, que se deben agrupar por entidades de destino.

Para capturar este caso de uso, crea las siguientes reglas:

Regla uno:

  • Categoría = Fuente de datos
  • Valor = QRadar
  • Agrupar por = Identificador de agrupamiento de origen
  • Grouping Entities = (dejar en blanco)

Regla dos:

  • Categoría = Fuente de datos
  • Valor = Arcsight
  • Agrupar por = Entidades
  • Agrupamiento de entidades = Todas las entidades

Regla tres:

  • Categoría = Tipo de alerta
  • Valor = Phishing
  • Agrupar por = Entidades
  • Agrupamiento de entidades = Destino (DestinationAddress, DestinationUserName)

Regla cuatro (reserva):

  • Categoría = Todas
  • Valor = Todas las alertas
  • Agrupamiento de entidades = Todas las entidades

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.