Configurar um agrupamento de alertas

Compatível com:

O mecanismo de agrupamento de alertas agrupa alertas em casos, oferecendo aos analistas de segurança um contexto melhor para resolver problemas de maneira eficaz. O objetivo é enfatizar a importância de mais contexto para um alerta de segurança e evitar situações em que os analistas investigam o mesmo incidente sem o contexto adequado, o que pode resultar em perda de tempo ou tratamento inadequado do incidente.

Configure o mecanismo de agrupamento de alertas em Configurações do SOAR > Avançado > Agrupamento de alertas.

A seção Geral inclui configurações multiplataforma:

  • Máximo de alertas agrupados em um caso: define o número máximo de alertas a serem agrupados em um caso (30). Depois que o número máximo é atingido, um novo caso é iniciado.
  • Período para agrupar alertas (em horas): defina o número de horas para agrupar os alertas do caso (varia de 0,5 a 24 horas em intervalos de meia hora). Isso não se aplica a regras agrupadas por identificador do agrupamento de origem.
  • Agrupar entidades e identificadores de agrupamento de origens no mesmo caso: quando ativado, um alerta que deve ser agrupado por identificador de agrupamento de origens de acordo com a regra de agrupamento primeiro procura alertas com o mesmo identificador de agrupamento de origens e, se não encontrar nenhum, procura todos os casos no sistema com entidades mútuas e agrupa os alertas de acordo com isso (e de acordo com o período entre plataformas). O agrupamento de alertas por identificador do agrupamento de origem é baseado apenas em sourceGroupIdentifier e maxAlertsInCase. Ela não usa um período.

Regras

Na seção Regras, é possível criar regras específicas para segmentar diferentes opções de agrupamento.

Exemplo de agrupamento

O mecanismo de agrupamento de alertas permite criar regras que controlam o tipo exato de alertas agrupados em casos. Como um exemplo básico de agrupamento, um alerta Tráfego de C&C com host de destino 10.1.1.13 é adicionado às 10h a um caso chamado Malware encontrado.

Outro alerta, Conta de usuário alterada, com o mesmo host de destino, é exibido às 11h. O Google Security Operations identifica a mesma entidade envolvida nos dois alertas e, dentro do período configurado, agrupa o segundo alerta no caso Malware encontrado.

Hierarquia de regras

As regras funcionam em um sistema hierárquico em que cada alerta recebido é comparado a uma regra na seguinte ordem:

  1. Tipo de alerta: por exemplo, um alerta de phishing.
  2. Produto: por exemplo, Cybereason EDR.
  3. Fonte de dados: por exemplo, Arcsight SIEM.
  4. Regra alternativa: usada quando não há correspondência para o tipo de alerta, produto ou fonte de dados.

Quando uma regra é correspondida, o sistema para de verificar. Se um alerta corresponder a uma regra e não houver um caso para agrupar, ele será adicionado a um novo caso. Não é possível criar duas regras na mesma hierarquia para o mesmo valor. Por exemplo, a fonte de dados ArcSight pode ter apenas uma regra.

Regra substituta

A plataforma tem uma regra predefinida que não pode ser excluída. Essa regra de substituição oferece uma solução geral para alertas, garantindo que sempre haja agrupamento em casos. No entanto, é possível editar estas opções:

  • Agrupar por: escolha entre Entidades ou Identificador de agrupamento de origem (para alertas com um ID de grupo preexistente anexado a eles do sistema de origem). Por exemplo, os alertas do QRadar têm um identificador chamado violação, que é o ID do grupo a que pertencem no QRadar.
  • Agrupamento de entidades (por direções): relevante apenas para entidades.

Regra "Não agrupar"

Com a regra Não agrupar, você pode tratar os alertas de forma independente (eles não serão agrupados com outros alertas em casos). Isso é útil quando um alerta específico precisa ser investigado de forma independente sem ser vinculado a outros casos.

Para mais informações sobre como excluir entidades específicas do agrupamento de alertas, consulte Criar uma lista de bloqueio para excluir entidades dos alertas.

Ao usar Entidades de agrupamento em uma regra, o sistema exige apenas uma entidade correspondente para que os alertas sejam agrupados.

Por exemplo, uma regra de agrupamento especifica as seguintes entidades:

  • IP de origem
  • IP de destino
  • Nome de usuário

Se um alerta corresponder a uma dessas entidades, ele será agrupado com um caso existente que contenha essa entidade, mesmo que as outras não correspondam.

Considere os dois alertas a seguir:

  • Alerta 1:
    Endereço IP de origem: 192.168.1.10
    Endereço IP de destino: 10.0.0.5
    Nome de usuário: user123
  • Alerta 2:
    Endereço IP de origem: 192.168.1.10
    Endereço IP de destino: 10.0.0.6
    Nome de usuário: user456

Como os dois alertas têm o mesmo endereço IP de origem (192.168.1.10), eles serão agrupados no mesmo caso, mesmo que o endereço IP de destino e o nome de usuário sejam diferentes.

Criar regras para casos de uso específicos

As próximas seções descrevem casos de uso para criar regras de agrupamento de alertas dinâmicas e sensíveis ao contexto.

Caso de uso: agrupamento de alertas por origem e entidade

Uma empresa que usa dois conectores, o Arcsight e o Cybereason EDR, quer agrupar os alertas do Arcsight por entidades de origem e destino e os alertas do Cybereason EDR por critérios específicos:

Alertas do Arcsight: agrupamento por entidades de origem e destino.

Alertas de phishing do Cybereason EDR: agrupe apenas por entidades de origem.

Agrupar alertas de falha no login do Cybereason EDR: agrupe apenas por entidades de destino.

Para capturar esse caso de uso, crie as seguintes regras. O Google SecOps fornece a regra final como a regra de substituição.

Regra 1:

  • Categoria = Fonte de dados
  • Valor = Arcsight
  • Agrupar por = Entidades
  • Agrupando entidades = origem e destino

Regra 2:

  • Categoria = Tipo de alerta
  • Valor = phishing
  • Agrupar por = Entidades
  • Agrupando entidades = origem (SourceHostName, SourceAddress, SourceUserName)

Regra 3:

  • Categoria = Tipo de alerta
  • Valor = Falha no login
  • Agrupar por = Entidades
  • Grouping Entities = Destination (DestinationAddress, DestinationUserName)

Regra 4 (substituição):

  • Category = All
  • Valor = Todos os alertas
  • Agrupando entidades = Todas as entidades

Caso de uso: lógica de agrupamento adaptativo

Um MSSP tem um cliente que usa o conector do QRadar e quer agrupar alertas da mesma forma que eles aparecem no QRadar. Eles também têm outro cliente que usa o ArcSight e querem agrupar por entidades comuns os alertas desse cliente, exceto os de phishing, que devem ser agrupados por entidades de destino.

Para capturar esse caso de uso, crie as seguintes regras:

Regra 1:

  • Categoria = Fonte de dados
  • Value = QRadar
  • Agrupar por = Identificador do agrupamento de origem
  • Agrupando entidades = (deixe em branco)

Regra 2:

  • Categoria = Fonte de dados
  • Valor = Arcsight
  • Agrupar por = Entidades
  • Agrupando entidades = Todas as entidades

Regra 3:

  • Categoria = Tipo de alerta
  • Valor = phishing
  • Agrupar por = Entidades
  • Grouping Entities = Destination (DestinationAddress, DestinationUserName)

Regra 4 (substituição):

  • Category = All
  • Valor = Todos os alertas
  • Agrupando entidades = Todas as entidades

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.