Mengonfigurasi pengelompokan pemberitahuan

Didukung di:

Mekanisme pengelompokan pemberitahuan mengelompokkan pemberitahuan ke dalam kasus, sehingga memberikan konteks yang lebih baik kepada analis keamanan untuk mengatasi masalah secara efektif. Tujuannya adalah untuk menekankan pentingnya konteks tambahan pada notifikasi keamanan dan menghindari situasi saat analis menyelidiki insiden yang sama tanpa konteks yang tepat, sehingga berpotensi membuang waktu atau salah menangani insiden.

Anda dapat mengonfigurasi mekanisme pengelompokan pemberitahuan di Setelan SOAR > Lanjutan > Pengelompokan Pemberitahuan.

Bagian Umum mencakup setelan lintas platform:

  • Jumlah maksimum pemberitahuan yang dikelompokkan ke dalam satu kasus: Tentukan jumlah maksimum pemberitahuan yang akan dikelompokkan menjadi satu kasus (30). Setelah jumlah maksimum tercapai, kasus baru akan dimulai.
  • Jangka waktu pengelompokan pemberitahuan (dalam jam): Tetapkan jumlah jam untuk mengelompokkan pemberitahuan untuk kasus (berkisar dari 0,5-24 jam dalam interval setengah jam). Hal ini tidak berlaku untuk aturan yang dikelompokkan menurut ID pengelompokan sumber.
  • Mengelompokkan entity dan ID pengelompokan sumber dalam kasus yang sama: Jika diaktifkan, pemberitahuan yang harus dikelompokkan menurut ID pengelompokan sumber sesuai dengan aturan pengelompokan, pertama-tama akan mencari pemberitahuan dengan ID pengelompokan sumber yang sama, dan jika tidak menemukannya, pemberitahuan akan mencari semua kasus dalam sistem dengan entity yang sama dan mengelompokkan pemberitahuan yang sesuai (dan sesuai dengan jangka waktu lintas platform). Pengelompokan pemberitahuan ID Pengelompokan Sumber hanya didasarkan pada sourceGroupIdentifier dan maxAlertsInCase. Tidak menggunakan jangka waktu.

Aturan

Bagian Aturan memungkinkan Anda membuat aturan spesifik yang menargetkan berbagai opsi pengelompokan.

Contoh pengelompokan

Mekanisme pengelompokan pemberitahuan memungkinkan Anda membuat aturan pengelompokan yang mengontrol jenis pemberitahuan persis yang dikelompokkan bersama ke dalam kasus. Sebagai contoh dasar pengelompokan, pemberitahuan traffic C&C dengan host tujuan 10.1.1.13 ditambahkan pada pukul 10.00 ke kasus yang disebut Malware Ditemukan.

Peringatan lain, Akun pengguna diubah dengan host tujuan yang sama, terlihat pada pukul 11.00. Google Security Operations mengidentifikasi entitas yang sama yang terlibat dalam kedua peringatan dan dalam jangka waktu yang dikonfigurasi, mengelompokkan peringatan kedua ke dalam kasus Malware Ditemukan.

Hierarki aturan

Aturan ini berfungsi pada sistem hierarkis yang mencocokkan setiap pemberitahuan masuk dengan aturan dalam urutan berikut:

  1. Jenis Notifikasi: Misalnya, notifikasi phishing.
  2. Produk: Misalnya, Cybereason EDR.
  3. Sumber Data: Misalnya, Arcsight SIEM.
  4. Aturan Penggantian: Digunakan jika tidak ada kecocokan untuk jenis pemberitahuan, produk, atau sumber data.

Setelah aturan cocok, sistem akan berhenti memeriksa. Jika pemberitahuan cocok dengan aturan, dan tidak ada kasus yang ada untuk dikelompokkan, maka pemberitahuan tersebut ditambahkan ke kasus baru. Anda tidak dapat membuat dua aturan pada hierarki yang sama untuk nilai yang sama. Misalnya: Sumber data - ArcSight hanya dapat memiliki satu aturan.

Aturan penggantian

Platform ini memiliki aturan bawaan yang tidak dapat dihapus. Aturan penggantian ini menyediakan penampung umum untuk pemberitahuan guna memastikan selalu ada pengelompokan dalam kasus. Namun, Anda dapat mengedit opsi berikut:

  • Kelompokkan Menurut: Pilih antara Entitas atau Pengelompokan Sumber - ID (untuk pemberitahuan yang dilengkapi dengan ID grup yang sudah ada yang dilampirkan padanya dari sistem asal). Misalnya, pemberitahuan QRadar memiliki ID yang disebut pelanggaran, yang merupakan ID grup tempat pemberitahuan tersebut berada di QRadar.)
  • Mengelompokkan Entitas (menurut arah): Hanya relevan untuk entitas.

Aturan Jangan Kelompokkan

Aturan Jangan Kelompokkan memungkinkan Anda memperlakukan pemberitahuan secara terpisah (pemberitahuan tidak akan dikelompokkan dengan pemberitahuan lain ke dalam kasus). Hal ini berguna saat pemberitahuan tertentu perlu diselidiki secara independen tanpa ditautkan ke kasus lain.

Untuk mengetahui informasi selengkapnya tentang cara mengecualikan entitas tertentu dari pengelompokan pemberitahuan, lihat Membuat daftar blokir untuk mengecualikan entitas dari pemberitahuan.

Saat menggunakan Mengelompokkan Entitas dalam aturan, sistem hanya memerlukan satu entitas yang cocok agar pemberitahuan dikelompokkan bersama.

Misalnya, aturan pengelompokan menentukan entity berikut:

  • IP Sumber
  • IP tujuan
  • Nama pengguna

Jika pemberitahuan cocok dengan salah satu entitas ini, pemberitahuan tersebut dikelompokkan dengan kasus yang ada yang berisi entitas tersebut, meskipun entitas lainnya tidak cocok.

Pertimbangkan dua pemberitahuan berikut:

  • Peringatan 1:
    Alamat IP sumber: 192.168.1.10
    Alamat IP tujuan: 10.0.0.5
    Nama pengguna: user123
  • Peringatan 2:
    Alamat IP sumber: 192.168.1.10
    Alamat IP tujuan: 10.0.0.6
    Nama pengguna: user456

Karena kedua pemberitahuan ini memiliki Alamat IP sumber yang sama (192.168.1.10), keduanya akan dikelompokkan ke dalam kasus yang sama, meskipun Alamat IP tujuan dan Nama pengguna berbeda.

Membuat aturan untuk kasus penggunaan tertentu

Bagian berikutnya menjelaskan kasus penggunaan untuk membuat aturan pengelompokan pemberitahuan dinamis dan sadar konteks.

Kasus Penggunaan: Pengelompokan pemberitahuan menurut sumber dan entity

Perusahaan enterprise yang menggunakan dua konektor, Arcsight dan Cybereason EDR, ingin mengelompokkan pemberitahuan Arcsight menurut entitas sumber dan tujuan, serta pemberitahuan Cybereason EDR menurut kriteria tertentu:

Pemberitahuan Arcsight: Dikelompokkan menurut entitas sumber dan tujuan.

Pemberitahuan Phishing Cybereason EDR: Dikelompokkan hanya menurut entitas sumber.

Mengelompokkan pemberitahuan Login Gagal Cybereason EDR: Kelompokkan hanya menurut tujuan entitas.

Untuk mencakup kasus penggunaan ini, buat aturan berikut. Google SecOps menyediakan aturan akhir sebagai aturan fallback.

Aturan Pertama:

  • Kategori = Sumber Data
  • Nilai = Arcsight
  • Kelompokkan menurut = Entitas
  • Mengelompokkan Entity = Sumber dan Tujuan

Aturan Dua:

  • Kategori = Jenis Notifikasi
  • Nilai = Phishing
  • Kelompokkan menurut = Entitas
  • Mengelompokkan Entity = Sumber (SourceHostName, SourceAddress, SourceUserName)

Aturan Ketiga:

  • Kategori = Jenis Notifikasi
  • Nilai = Login Gagal
  • Kelompokkan menurut = Entitas
  • Mengelompokkan Entity = Tujuan (DestinationAddress, DestinationUserName)

Aturan Empat (fallback):

  • Kategori = Semua
  • Nilai = Semua Pemberitahuan
  • Mengelompokkan Entity = Semua Entity

Kasus Penggunaan: Logika pengelompokan adaptif

MSSP memiliki pelanggan yang menggunakan konektor QRadar, dan ingin mengelompokkan pemberitahuan dengan cara yang sama seperti yang muncul di QRadar. Mereka juga memiliki pelanggan lain yang menggunakan Arcsight, dan ingin mengelompokkan menurut entitas umum untuk pemberitahuan pelanggan ini, kecuali pemberitahuan phishing, yang harus dikelompokkan menurut entitas tujuan.

Untuk mencakup kasus penggunaan ini, buat aturan berikut:

Aturan Pertama:

  • Kategori = Sumber Data
  • Nilai = QRadar
  • Kelompokkan menurut = ID Pengelompokan Sumber
  • Mengelompokkan Entity = (kosongkan)

Aturan Dua:

  • Kategori = Sumber Data
  • Nilai = Arcsight
  • Kelompokkan menurut = Entitas
  • Mengelompokkan Entity = Semua Entity

Aturan Ketiga:

  • Kategori = Jenis Notifikasi
  • Nilai = Phishing
  • Kelompokkan menurut = Entitas
  • Mengelompokkan Entity = Tujuan (DestinationAddress, DestinationUserName)

Aturan Empat (fallback):

  • Kategori = Semua
  • Nilai = Semua Pemberitahuan
  • Mengelompokkan Entity = Semua Entity

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.