主页 » 实时事件相关性 » 了解相关性

了解相关性

本章节内容

 

什么是相关性?

相关性就是通过识别一个或多个设备中发生的多个相互关联的小事件,形成一个独立的大事件的过程。相关性之所以如此重要是因为,在大多数情况下,单个的事件本身看起来并不可疑,但是一旦和其它事件关联到一起,可能会形成潜在的安全隐患。

 

例如,两个事件"员工登录A设备"和"员工登录B设备"看起来非常正常。

但是,"同一个员工登录两个不同的设备 (设备A和设备B)几乎在同一时间"就存在着账户共享的可能。

 

什么是相关性规则?

相关性规则是用来关联多个日志并且检测识别安全事件的一种形式或一个模板。这个规则指定一系列形成大事件的小事件,事件之间的时窗,有时也可以指定情况。这个规则详细说明了组成大事件的一系列事件,事件之间的时间窗,以及些具体的条件。下面说明了在相关性规则中可以指定的参数:

  • 相关性规则:相关性规则是一系列有序的网络动作。
  • 动作:动作相当于网络日志。它包含数个有着唯一的的值比如用户名,设备名等等的区域。
  • 动作间的时窗:在某一个特定时窗内,每个动作必须遵循其之前的动作。
  • 动作阈值(可选择的):为了适用于一个特定的规则,单一动作可能连续出现多次。可以设定在一个特定时间窗内需要被观察的重复动作的最小阈值。
  • 过滤一个动作(可选择的): 使用过滤功能,可以在每个区域的动作中添加条件。

更多关于使用以上参数创建相关性的信息,请参看定制相关性规则

 

举例:

相关性规则: 暴力

暴力攻击发生在攻击者通过尝试多个登录证书直到成功侵入你的网络设备中时。它的主要特征是成功登录设备前有多次失败登录的记录:

 

一般形式:失败登录->失败登录->失败登录-> (...) ->成功登录(所有动作都在几分钟之内发生在同一个设备中)

特殊形式: 两分钟内至少10次失败登录一个设备->(一分钟之内)->成功登录同一个设备

 

由此可以配置以下规则:

动作1:失败登录-员工登录设备失败。

    • 阈值:这个动作2分钟内至少发生10次。
    • 过滤:动作1中出现的所有设备名称都应该是同一个。

 

动作1&动作2之间的时窗:1分钟

 

动作2:成功登录-员工登录设备。

    • 阈值:无。
    • 过滤: 设备名称应该和动作1中相同。

 

相关性规则与告警配置参数的对比

    • 相关性规则详细说明了一个或多个设备中的一个或多个动作。告警配置参数只能说明一个动作(因此只能在一个设备中)。
    • 相关性规则可以给动作中的不同区域的值设定条件(比如用户名,设备等)。告警配置参数只能设定其适用的网络设备。
    • 相关性规则和告警配置参数可以设定阈值范围。但是,相关性规则可以检查一个特定区域中贯穿整个重复动作的值是否是相同的,告警配置参数却不可以。

 

相关性最佳案例

    • 相关性是一个加强记忆的过程。 如果你要启用相关性工具,确保只为你最重要的工作启用/创建规则。
    • 创建新规则前,确保告警配置参数不可以创建相同的规则。如果对于以下清单你的所有答案都是"是"的话,请配置告警配置参数的使用案例而不是相关性规则的使用案例:
        • 使用案例中只包含一个动作。
        • 你只需要指定使用案例应用的设备,并且不需要检查其它区域的特定值(比如用户名)。
        • 除非你需要为这个动作指定一个阈值,否则你不需要检查任何区域的常数字段值(比如用户名,设备名等)。
    • 定期回顾相关性规则的逻辑。如果这个规则出现太多的误报,你可以调整规则参数来减少误报。

 

举例

相关性规则:过多的应用崩溃(Windows)

一个设备中短时间内的一系列的应用崩溃可以表明设备的缺点。 而且,这个检查不适用于设备名为"Device-1234"的设备,因为它是用来崩溃测试的,可能会产生很多的误报。

 

一般动作流:应用崩溃->应用崩溃-> (...) ->应用崩溃(几小时内发生在同一个设备中,不适用于设备-1234)

特殊动作流:同一个设备180分钟内至少5个应用崩溃(除设备-1234外)

 

由此可以配置以下规则:

动作1:应用崩溃-Windows设备上的应用崩溃。

    • 阈值:此动作180分钟内至少发生5次。
    • 过滤:
        • 动作1中出现的所有设备名应该是同一个。
        • 设备名不可以是设备-1234。

 

相关性规则:可能的勒索软件活动(Windows)

勒索软件攻击的典型流程是在一个设备中开始修改数个文件(为了将它们译成密码)。它的特点在一个刚开始的过程中,短时间内伴随多个文件修改。

 

一般动作流:流程开始->文件修改->文件修改-> (...) ->文件修改(所有动作发生在几分钟内,在同一个设备中)。

特殊动作流:流程开始-> (接下来的5分钟内) ->至少15个文件在同一个设备上用同一种方法被修改

 

由此可以配置以下规则:

动作1:Windows流程开始-在Windows上开始流程。

    • 阈值:
    • 过滤:

 

动作1&动作2之间的时间窗:5分钟

 

动作2文件修改-Windows设备上文件修改。

    • 阈值:30分钟内15次。
    • 过滤:
        • 动作2中出现的所有设备名应该是同一个。
        • 动作1中出现的所有流程名应该是同一个。
        • 设备名应该与动作1的设备名一致。
        • 流程名应该与动作1的流程名一致。
 
Copyright © 2022, ZOHO Corp。版权所有。
ManageEngine