Configure um agrupamento de alertas

Compatível com:

O mecanismo de agrupamento de alertas agrupa os alertas em casos, fornecendo aos analistas de segurança um melhor contexto para resolver os problemas de forma eficaz. O objetivo é realçar a importância do contexto adicional para um alerta de segurança e evitar situações em que os analistas investigam o mesmo incidente sem o contexto adequado, o que pode resultar numa perda de tempo ou numa gestão incorreta do incidente.

Pode configurar o mecanismo de agrupamento de alertas em Definições do SOAR > Avançadas > Agrupamento de alertas.

A secção Geral inclui definições multiplataforma:

  • Máximo de alertas agrupados num caso: Defina o número máximo de alertas a agrupar num caso (30). Depois de atingir o número máximo, é iniciado um novo registo.
  • Intervalo de tempo para agrupar alertas (em horas): defina o número de horas com que agrupar os alertas para o registo (varia entre 0,5 e 24 horas em intervalos de meia hora). Isto não se aplica a regras agrupadas pelo identificador de agrupamento de origem.
  • Agrupar entidades e identificadores de agrupamento de origem na mesma situação: quando esta opção está ativada, um alerta que deve ser agrupado por identificador de agrupamento de origem de acordo com a regra de agrupamento, procura primeiro alertas com o mesmo identificador de agrupamento de origem e, se não encontrar nenhum, procura todas as situações no sistema com entidades mútuas e agrupa os alertas em conformidade (e de acordo com o período de tempo multiplataforma). O agrupamento de alertas do identificador de agrupamento de origens baseia-se exclusivamente em sourceGroupIdentifier e maxAlertsInCase. Não usa um prazo.

Regras

A secção Regras permite-lhe criar regras específicas de segmentação de diferentes opções de agrupamento.

Exemplo de agrupamento

O mecanismo de agrupamento de alertas permite-lhe criar regras de agrupamento que controlam o tipo exato de alertas que são agrupados em registos. Como exemplo básico de agrupamento, um alerta de tráfego de C&C com o anfitrião de destino 10.1.1.13 é adicionado às 10:00 a um registo denominado Malware Encontrado.

Outro alerta, Conta de utilizador alterada, com o mesmo anfitrião de destino, é apresentado às 11:00. As Operações de segurança da Google identificam a mesma entidade envolvida em ambos os alertas e, dentro do período configurado, agrupam o segundo alerta no registo Malware encontrado.

Hierarquia de regras

As regras funcionam num sistema hierárquico em que cada alerta recebido é comparado com uma regra pela seguinte ordem:

  1. Tipo de alerta: por exemplo, um alerta de phishing.
  2. Produto: por exemplo, Cybereason EDR.
  3. Origem de dados: por exemplo, Arcsight SIEM.
  4. Regra alternativa: usada quando não é encontrada nenhuma correspondência para o tipo de alerta, o produto ou a origem de dados.

Assim que uma regra é correspondida, o sistema deixa de verificar. Se um alerta corresponder a uma regra e não existir nenhum registo para agrupar, é adicionado a um novo registo. Não pode criar duas regras na mesma hierarquia para o mesmo valor. Por exemplo: a origem de dados ArcSight só pode ter uma regra.

Regra alternativa

A plataforma tem uma regra predefinida que não pode ser eliminada. Esta regra alternativa oferece uma solução geral para alertas, para garantir que existe sempre um agrupamento nos registos. No entanto, pode editar estas opções:

  • Agrupar por: escolha entre Entidades ou Identificador de agrupamento de origem (para alertas com um ID de grupo pré-existente anexado aos mesmos a partir do sistema de origem). Por exemplo, os alertas do QRadar têm um identificador denominado offense, que é o ID do grupo ao qual pertencem no QRadar.)
  • Agrupar entidades (por direções): relevante apenas para entidades.

Regra Não agrupar

A regra Não agrupar permite-lhe tratar os alertas de forma independente (não são agrupados com outros alertas em casos). Isto é útil quando é necessário investigar um alerta específico de forma independente sem estar associado a outros casos.

Para mais informações sobre a exclusão de entidades específicas da agrupação de alertas, consulte Crie uma lista de bloqueio para excluir entidades de alertas.

Quando usa Entidades de agrupamento numa regra, o sistema requer apenas uma entidade correspondente para que os alertas sejam agrupados.

Por exemplo, uma regra de agrupamento especifica as seguintes entidades:

  • IP da fonte
  • IP de destino
  • Nome de utilizador

Se um alerta corresponder a qualquer uma destas entidades, é agrupado com um registo existente que contenha essa entidade, mesmo que as outras entidades não correspondam.

Considere os dois alertas seguintes:

  • Alerta 1:
    Endereço IP de origem: 192.168.1.10
    Endereço IP de destino: 10.0.0.5
    Nome de utilizador: user123
  • Alerta 2:
    Endereço IP de origem: 192.168.1.10
    Endereço IP de destino: 10.0.0.6
    Nome de utilizador: user456

Como ambos os alertas têm o mesmo endereço IP de origem (192.168.1.10), são agrupados no mesmo registo, mesmo que o endereço IP de destino e o nome de utilizador sejam diferentes.

Crie regras para exemplos de utilização específicos

As secções seguintes descrevem casos de utilização para a criação de regras de agrupamento de alertas dinâmicas e sensíveis ao contexto.

Exemplo de utilização: agrupamento de alertas por origem e entidade

Uma empresa que usa dois conetores, o Arcsight e o Cybereason EDR, quer agrupar os alertas do Arcsight por entidades de origem e de destino, e os alertas do Cybereason EDR por critérios específicos:

Alertas do ArcSight: agrupe por entidades de origem e destino.

Alertas de phishing do Cybereason EDR: agrupe apenas por entidades de origem.

Agrupar alertas de início de sessão falhado do Cybereason EDR: agrupe apenas por entidades de destino.

Para captar este exemplo de utilização, crie as seguintes regras. O Google SecOps fornece a regra final como regra de alternativa.

Regra um:

  • Categoria = Origem de dados
  • Value = Arcsight
  • Agrupar por = Entidades
  • Agrupar entidades = origem e destino

Regra dois:

  • Categoria = Tipo de alerta
  • Valor = Phishing
  • Agrupar por = Entidades
  • Grouping Entities = Source (SourceHostName, SourceAddress, SourceUserName)

Regra 3:

  • Categoria = Tipo de alerta
  • Valor = Falha no início de sessão
  • Agrupar por = Entidades
  • Entidades de agrupamento = Destino (DestinationAddress, DestinationUserName)

Regra quatro (alternativa):

  • Categoria = Tudo
  • Valor = Todos os alertas
  • Agrupar entidades = Todas as entidades

Exemplo de utilização: lógica de agrupamento adaptável

Um MSSP tem um cliente que está a usar o conector do QRadar e quer agrupar os alertas da mesma forma que aparecem no QRadar. Também tem outro cliente que usa o Arcsight e quer agrupar por entidades comuns os alertas deste cliente, exceto os alertas de phishing, que devem ser agrupados por entidades de destino.

Para capturar este exemplo de utilização, crie as seguintes regras:

Regra um:

  • Categoria = Origem de dados
  • Value = QRadar
  • Agrupar por = Identificador de agrupamento de origem
  • Grouping Entities = (leave blank)

Regra dois:

  • Categoria = Origem de dados
  • Value = Arcsight
  • Agrupar por = Entidades
  • Agrupar entidades = Todas as entidades

Regra 3:

  • Categoria = Tipo de alerta
  • Valor = Phishing
  • Agrupar por = Entidades
  • Entidades de agrupamento = Destino (DestinationAddress, DestinationUserName)

Regra quatro (alternativa):

  • Categoria = Tudo
  • Valor = Todos os alertas
  • Agrupar entidades = Todas as entidades

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.