Skip to main content

Rédaction de Règles

Lexique
  • BB - Building Blocks, règles de correlation sans autre action que l'ajout d'un tag à l'évènement
  • CEP - Custom Event Property, les propriétés non natives (Source IP, QID, starttie, ...) extraites d'un évènement
  • QID - QRadar ID, ID appliqué à un évènement par QRadar
  • EP - Event Processor, appliance chargée du traitement des évènements reçus
Deux types de tests
  • Stateless : un seul évènement
  • Statefull : au moins 2 évènements sur une période de temps donnée
Ordre des types de tests
  • Stateless
  • Stateful
Ordre d'efficacité des tests
  • Champs "basiques"
    • Adresse ip
    • Port
    • Event ID
    • QID
  • Sur la log elle-même (CEP)
  • Test alpha numériques
    • Regex
    • Payload

 

NOTE: Passer les tests aux résultats négatifs en priorité permet de sortir de l'algorithme plus tôt.
Il convient de voir s'il est plus sélectif d'exclure (sortie plus rapide de l'algorithme si non match)

Building Blocks

Le BB ajoute un tag à la log : Plus rapide dans la règle de matcher le tag qu'une CEP

Migrer les customs rules vers des BB quand la règle est bien validée,
pour réutiliser les tags entre plusieurs règles si nécessaire.

Intégration des Exceptions

Les exceptions permettent d'exclure de patterns définis de certaines règles.

Leur utilisation doit se faire de sorte à ce que le temps dédié au test soit le plus court, et le nombre de hits le plus faible.
Les deux exemples illustrent la situation, le #1 induisant une charge importante à la plateforme, lui préférer la solution #2

#1

Apply BB:Exception - Exemple 1 on events which are detected by the Local system
and NOT when the event matches Username contains any of [ABCDEF or GHIJKL]

#2

Apply BB:Exception - Exemple 2 on events which are detected by the Local system
and when the event matches Username contains any of [ABCDEF or GHIJKL]
Règle Locale ou Globale ?

Une règle locale tourne directement sur les Event Processors. L'analyse se fait de manière rapide et directe, mais ne concerne que les sources d'un même EP.
Une règle globale tourne elle sur la Console, et va requêter chaque EP pour que ce dernier lui envoie les évènements correspondants à la règles. Son travail est donc plus long, mais la correlation peut concerner des évènements reçus sur différents EP.

Exemple
Apply <RULE NAME> on events which are detected by the <Local system>
and when the event(s) were detected by one or more of <Log Source Group>
and NOT when the event category for the event is one of the following <Category Event Name>
and NOT when an event matches any of the following <BB Exclusion List>
and when any of <Property> match <Regex>
and when <BB Inclusion List> match at least <X> times with the same <Stateful condition #1> and different <Stateful condition #2> in <Y> minutes

 

No comments to display

Back to top