Configurare un raggruppamento di avvisi

Supportato in:

Il meccanismo di raggruppamento degli avvisi raggruppa gli avvisi in casi, fornendo agli analisti della sicurezza un contesto migliore per risolvere i problemi in modo efficace. L'obiettivo è sottolineare l'importanza di un contesto aggiuntivo per un avviso di sicurezza ed evitare situazioni in cui gli analisti esaminano lo stesso incidente senza un contesto adeguato, sprecando potenzialmente tempo o gestendo in modo errato l'incidente.

Puoi configurare il meccanismo di raggruppamento degli avvisi in Impostazioni SOAR > Avanzate > Raggruppamento avvisi.

La sezione Generale include le impostazioni multipiattaforma:

  • Numero massimo di avvisi raggruppati in una richiesta: Definisci il numero massimo di avvisi da raggruppare in una richiesta (30). Una volta raggiunto il numero massimo, viene avviata una nuova richiesta.
  • Periodo di tempo per il raggruppamento degli avvisi (in ore): imposta il numero di ore con cui raggruppare gli avvisi per la richiesta (l'intervallo va da 0,5 a 24 ore a intervalli di mezz'ora). Ciò non si applica alle regole raggruppate in base all'identificatore di raggruppamento di origine.
  • Raggruppa le entità e gli identificatori di raggruppamento di origine nella stessa richiesta: se abilitato, un avviso che deve essere raggruppato in base all'identificatore di raggruppamento di origine in base alla regola di raggruppamento, cerca prima gli avvisi con lo stesso identificatore di raggruppamento di origine e, se non ne trova, cerca tutte le richieste nel sistema con entità reciproche e raggruppa gli avvisi di conseguenza (e in base all'intervallo di tempo cross-platform). Il raggruppamento degli avvisi dell'identificatore di raggruppamento di origine si basa esclusivamente su sourceGroupIdentifier e maxAlertsInCase. Non utilizza un periodo di tempo.

Regole

La sezione Regole ti consente di creare regole specifiche per il targeting di diverse opzioni di raggruppamento.

Esempio di raggruppamento

Il meccanismo di raggruppamento degli avvisi consente di creare regole di raggruppamento che controllano il tipo esatto di avvisi raggruppati in casi. Come esempio di base di raggruppamento, un avviso Traffico C&C con host di destinazione 10.1.1.13 viene aggiunto alle ore 10:00 a una richiesta chiamata Malware trovato.

Alle ore 11:00 viene visualizzato un altro avviso, Account utente modificato, con lo stesso host di destinazione. Google Security Operations identifica la stessa entità coinvolta in entrambi gli avvisi e, entro il periodo di tempo configurato, raggruppa il secondo avviso nel caso Malware trovato.

Gerarchia delle regole

Le regole funzionano su un sistema gerarchico in cui ogni avviso in entrata viene confrontato con una regola nel seguente ordine:

  1. Tipo di avviso: ad esempio, un avviso di phishing.
  2. Prodotto: ad esempio, Cybereason EDR.
  3. Origine dati: ad esempio, Arcsight SIEM.
  4. Regola di riserva: utilizzata quando non viene trovata alcuna corrispondenza per il tipo di avviso, il prodotto o l'origine dati.

Una volta trovata una corrispondenza per una regola, il sistema interrompe il controllo. Se un avviso corrisponde a una regola e non esiste un caso esistente a cui raggrupparlo, viene aggiunto a un nuovo caso. Non puoi creare due regole nella stessa gerarchia per lo stesso valore. Ad esempio: l'origine dati ArcSight può avere una sola regola.

Regola di riserva

La piattaforma ha una regola predefinita che non può essere eliminata. Questa regola di riserva fornisce un'indicazione generale per gli avvisi per garantire che i casi siano sempre raggruppati. Tuttavia, puoi modificare queste opzioni:

  • Raggruppa per: scegli tra Entità o Identificatore raggruppamento fonti (per gli avvisi con un ID gruppo preesistente allegato dal sistema di origine). Ad esempio, gli avvisi di QRadar hanno un identificatore chiamato offense, che è l'ID del gruppo a cui appartengono in QRadar.)
  • Raggruppamento di entità (per indicazioni): pertinente solo per le entità.

Regola Non raggruppare

La regola Non raggruppare ti consente di trattare gli avvisi in modo indipendente (non verranno raggruppati con altri avvisi in casi). Questa opzione è utile quando un avviso specifico deve essere esaminato in modo indipendente senza essere collegato ad altri casi.

Per saperne di più sull'esclusione di entità specifiche dal raggruppamento degli avvisi, consulta Creare una lista bloccata per escludere le entità dagli avvisi.

Quando utilizzi Raggruppamento entità in una regola, il sistema richiede una sola entità corrispondente per raggruppare gli avvisi.

Ad esempio, una regola di raggruppamento specifica le seguenti entità:

  • IP di origine
  • IP di destinazione
  • Nome utente

Se un avviso corrisponde a una di queste entità, viene raggruppato con un caso esistente contenente l'entità, anche se le altre entità non corrispondono.

Prendi in esame i seguenti due avvisi:

  • Avviso 1:
    Indirizzo IP di origine: 192.168.1.10
    Indirizzo IP di destinazione: 10.0.0.5
    Nome utente: user123
  • Avviso 2:
    Indirizzo IP di origine: 192.168.1.10
    Indirizzo IP di destinazione: 10.0.0.6
    Nome utente: user456

Poiché entrambi questi avvisi hanno lo stesso indirizzo IP di origine (192.168.1.10), verranno raggruppati nello stesso caso, anche se l'indirizzo IP di destinazione e il nome utente sono diversi.

Crea regole per casi d'uso specifici

Le sezioni successive descrivono i casi d'uso per la creazione di regole di raggruppamento degli avvisi dinamiche e sensibili al contesto.

Caso d'uso: raggruppamento degli avvisi per origine ed entità

Un'azienda che utilizza due connettori, Arcsight e Cybereason EDR, vuole raggruppare gli avvisi di Arcsight in base alle entità di origine e di destinazione e gli avvisi di Cybereason EDR in base a criteri specifici:

Avvisi ArcSight: raggruppa per entità di origine e destinazione.

Avvisi di phishing Cybereason EDR: raggruppa solo per entità di origine.

Raggruppa gli avvisi di accesso non riuscito di Cybereason EDR: raggruppa solo per entità di destinazione.

Per acquisire questo caso d'uso, crea le seguenti regole. Google SecOps fornisce la regola finale come regola di riserva.

Regola 1:

  • Categoria = Origine dati
  • Valore = Arcsight
  • Raggruppa per = Entità
  • Raggruppamento di entità = origine e destinazione

Regola 2:

  • Categoria = Tipo di avviso
  • Valore = Phishing
  • Raggruppa per = Entità
  • Grouping Entities = Source (SourceHostName, SourceAddress, SourceUserName)

Regola 3:

  • Categoria = Tipo di avviso
  • Valore = Accesso non riuscito
  • Raggruppa per = Entità
  • Raggruppamento di entità = Destinazione (DestinationAddress, DestinationUserName)

Regola 4 (di riserva):

  • Categoria = All
  • Valore = Tutti gli avvisi
  • Raggruppamento di entità = Tutte le entità

Caso d'uso: logica di raggruppamento adattiva

Un MSSP ha un cliente che utilizza il connettore QRadar e vuole raggruppare gli avvisi nello stesso modo in cui vengono visualizzati in QRadar. Ha anche un altro cliente che utilizza ArcSight e vuole raggruppare per entità comuni gli avvisi di questo cliente, ad eccezione degli avvisi di phishing, che devono essere raggruppati per entità di destinazione.

Per acquisire questo caso d'uso, crea le seguenti regole:

Regola 1:

  • Categoria = Origine dati
  • Valore = QRadar
  • Raggruppa per = Identificatore di raggruppamento di origine
  • Raggruppamento di entità = (lasciare vuoto)

Regola 2:

  • Categoria = Origine dati
  • Valore = Arcsight
  • Raggruppa per = Entità
  • Raggruppamento di entità = Tutte le entità

Regola 3:

  • Categoria = Tipo di avviso
  • Valore = Phishing
  • Raggruppa per = Entità
  • Raggruppamento di entità = Destinazione (DestinationAddress, DestinationUserName)

Regola 4 (di riserva):

  • Categoria = All
  • Valore = Tutti gli avvisi
  • Raggruppamento di entità = Tutte le entità

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.