Modulul Alerte

Crearea alertelor

Introducere în modulul Alerte

Funcția de alertă a CYBERQUEST este un modul personalizabil pentru fiecare utilizator conectat. Evenimentul care declanșează o alertă poate fi definit de utilizator pentru a răspunde nevoilor specifice ale evenimentului, asigurând o mare precizie și reducând la minimum alertele false. Acest lucru se poate face din opțiunile Alerts (Alerte) din meniul Settings (Setări).

Capacitățile de personalizare pentru fiecare opțiune sunt descrise mai jos.

Cum se creează noi alerte

Funcția de alertă a CYBERQUEST este un modul complet personalizabil pentru fiecare utilizator conectat. Evenimentul care declanșează o alertă poate fi definit de utilizator pentru a răspunde nevoilor specifice ale evenimentului, asigurând o mare precizie și reducând la minimum alertele false.

Urmați pașii pentru a crea o nouă alertă:

Pasul 1. Autentificare

Pentru a accesa interfața web, deschideți un browser web și tastați adresa aplicației sau numele DNS. Adresa implicită atribuită inițial interfeței Web este https://CyberquestIPAddress (exemplu).

Browserul vă redirecționează automat către pagina de autentificare a CYBERQUEST:

Pasul 2. Navigați la Alerte

Din meniul Setări, selectați Alerte > Timp real. Pagina de personalizare a alertelor se deschide în Alerts interfața modulului.

Pasul 3. Creați o nouă definiție a alertei

Pe pagina "Alerts" (Alerte), selectați butonul "Create new alert definition" (Creați o nouă definiție a alertei) pentru a crea o nouă alertă.

Pasul 4. Completați formularul

Completați formularul cu informațiile corespunzătoare și apăsați butonul "Save Alert & Exit":

Denumirea alertei: Numele noii alerte.

Alertă activă: Bifați caseta de selectare ALERT ACTIVE dacă alerta este activă sau debifați-o pentru a o dezactiva.

Interval de timp TTL(sec.) : Această setare dă instrucțiuni pentru ca alerta să fie activă pentru cât timp după declanșare.

Scorul de securitate al alertei: Atunci când o alertă este declanșată, scorul de securitate al acesteia își va modifica în mod dinamic valoarea pornind de la această bază de referință definită, în funcție de regulile definite și de numărul de evenimente. Un scor de securitate în timp real nu poate fi mai mic decât linia de bază definită și mai mare de 100.

Alertă Nivel de securitate: Nivelurile de securitate se comportă în mod similar cu scorurile de securitate și suportă același cod de culori.

Trimis ca alertă: caseta de selectare Trimite ca alertă are un efect similar cu caseta de selectare

ALERTĂ ACTIVĂ. Atunci când nu este bifată, alerta este activă, dar nu va produce niciun efect vizibil. Această setare asigură corelarea în backend a analizei anomaliilor pe mai multe evenimente, declanșatoare și alerte.

Are acțiune: Dacă alertei poate fi asociată o execuție de script, bifați și caseta de selectare Has Action (Are acțiune). Regula de script este ultima regulă din lista de condiții a regulilor și prevalează asupra tuturor celorlalte reguli. Apăsați butonul . pentru a deschide fereastra Script Editor (Editor de scripturi), unde puteți crea un script personalizat pentru a-l aplica ca regulă.

Trimiteți prin e-mail: Căsuța de selectare "Send via Email" (Trimitere prin e-mail) permite ca alerta să fie trimisă către destinatarii definiți.

Model de notificare: Alegeți un șablon de notificare care să se aplice alertei dumneavoastră. Puteți alege dintre șabloanele de notificare încorporate sau personalizate. Default (Implicit) este Notificare implicită.

În secțiunea Rules (Reguli), puteți defini în mod granular regulile care controlează comportamentul alertelor. Puteți defini de la reguli pentru un singur eveniment până la orice corelație între evenimente, ordinea în care se produc evenimentele, corelația cu lipsa unui eveniment dintr-o succesiune logică de evenimente și așa mai departe.

Anterior: Navigați prin starea unei alerte.

Următorul: Navigați prin starea unei alerte.

Adăugați o regulă: Adăugați o nouă regulă prin apăsarea butonului "Add Rule". Noua regulă este definită în panoul Rule Settings (Setări reguli) din dreapta.

Panoul Rule Settings (Setări regulă) vă ajută să definiți logica regulii. Logica regulilor constă în condiții de câmp, raport și corelație separate de operatorii logici AND, OR și NOT.

Fiecare regulă are:

Descriere: O descriere în care introduceți un text care să descrie regula.

Adăugați o condiție de câmp: În meniul derulant Select Field (Selectare câmp), selectați un câmp de eveniment reprezentativ. Din următoarea listă derulantă, selectați operatorul de valori corespunzător. În al treilea câmp introduceți valoarea dorită.

Adăugați o condiție de raportare: Condiția regulii vă prezintă o listă derulantă din care puteți selecta un raport din toate rapoartele existente.

Ștergeți: Puteți șterge o condiție de regulă.

Atunci când se adaugă o condiție de regulă, se adaugă automat un operator logic pentru corelarea cu condiția anterioară. Operatorul implicit este AND (ȘI). Faceți clic pe comutatorul AND pentru a schimba valoarea logică în OR. Faceți clic din nou pentru a schimba din nou la AND.

În cazul în care lanțul logic o cere, se adaugă și un operator "NOT" sub forma unei casete de selectare. În mod implicit, operatorul nu este selectat. Faceți clic pe NOT pentru a selecta operatorul.

Alerte în timp real

Personalizarea alertelor în timp real

Din meniul Setări, selectați Alerte > Timp real. Pagina de personalizare a alertelor se deschide în Alerts în interfața modulului. Toate definițiile alertelor sunt enumerate aici și pot fi editate, șterse sau exportate rapid într-un fișier CQO.

Apăsați butonul pentru a crea o nouă definiție de alertă. Se deschide fereastra Alert Settings (Setări alertă), care vă permite să creați o nouă alertă personalizată, specifică nevoilor dumneavoastră. Funcționalitățile ferestrei sunt identice cu cele pentru editarea unei alerte și sunt descrise mai târziu în acest capitol.

Apăsați pentru a importa o definiție de alertă dintr-un fișier CQO existent.

În partea de jos a paginii, un selector de navigare vă permite să navigați printre paginile care conțin definiții ale alertelor.

Editarea definiției unei alerte

Apăsați butonul pentru a edita o definiție existentă. Se deschide fereastra Alert Settings (Setări alertă):

În secțiunea Nume alertă, puteți seta următoarele opțiuni:

• Introduceți un nume de alertă, modificați-l sau lăsați-l neschimbat.

• Alegeți un șablon de notificare pe care să îl aplicați alertei dumneavoastră. Puteți alege dintre șabloanele de notificare încorporate sau personalizate. Default (Implicit) este Notificare implicită.

• Bifați caseta de selectare ALERT ACTIVE dacă alerta este activă sau debifați-o pentru a o dezactiva.

• Modificați valoarea predefinită pentru Time frame (TTL) sau lăsați-o ca valoare implicită. Această setare indică alertei cât timp trebuie să fie activă după declanșare, reducând numărul de alerte care se repetă

• Stabiliți o linie de bază a scorului de securitate de alertă de la 1 la 100. Atunci când se declanșează o alertă, scorul de securitate al acesteia își va modifica în mod dinamic valoarea pornind de la această linie de bază definită, în funcție de regulile definite și de numărul de evenimente. Un scor de securitate în timp real nu poate fi mai mic decât linia de bază definită și mai mare de 100. Scorurile de securitate sunt marcate printr-un cod de culori:

• Culoarea verde indică o alertă scăzută. Valoarea maximă este de 30
• Culoarea galbenă indică o alertă medie. Aceasta variază între 31 și 60

• Culoarea roșie indică o alertă ridicată. Aceasta variază de la 61 la maxim 100.

• Setați o linie de bază a nivelului de securitate de alertă de la 1 la 10. Nivelurile de securitate se comportă în mod similar cu scorurile de securitate și suportă aceeași codificare coloristică.

• Caseta de selectare Trimite ca alertă are un efect similar cu cel al casetei de selectare ALERTĂ ACTIVĂ. Atunci când nu este bifată, alerta este activă, dar nu va produce niciun efect vizibil. Această setare asigură corelarea în backend a analizei anomaliilor pe mai multe evenimente, declanșatoare și alerte.

• Caseta de selectare Send via Email (Trimitere prin e-mail) permite ca alerta să fie trimisă destinatarilor definiți.

• Dacă alertei poate fi asociată o execuție de script, bifați și caseta de selectare Has Action. Regula de script este ultima regulă din lista de condiții a regulilor și prevalează asupra tuturor celorlalte reguli. Apăsați butonul pentru a deschide fereastra Script Editor (Editor de scripturi), unde puteți crea un script personalizat pentru a-l aplica ca regulă sau acțiuni predefinite din listă (LinuxActions, Notifications.Teams,Jira etc.)

Pentru mai multe informații despre parametrii de acțiune, vă rugăm să urmați linkul: Cum se activează acțiunile automate în alertele în timp real

În secțiunea Rules (Reguli), puteți defini în mod granular regulile care controlează comportamentul alertei. Puteți defini de la reguli pentru un singur eveniment până la orice corelație între evenimente, ordinea în care apar evenimentele, corelația cu un eveniment care lipsește dintr-o succesiune logică de evenimente și așa mai departe.

În panoul din stânga se află listele cu regulile definite. Sunt disponibile următoarele acțiuni:

• Adăugați o nouă regulă prin apăsarea butonului . Noua regulă este definită în Rule Settings (Setări reguli) din dreapta.

• Navigați printre regulile definite cu ajutorul butoanelor Previous și Next. Regula selectată este marcată cu galben, iar setările acesteia sunt afișate în panoul Rule Settings (Setări reguli).

• Puteți șterge o regulă prin apăsarea butonului .

Panoul Rule Settings (Setări regulă) vă ajută să definiți logica regulii. Logica regulilor constă în câmpuri, rapoarte și condiții de corelație separate de operatorii logici AND, OR și NOT.

Fiecare regulă are:

• O descriere în care introduceți un text care descrie regula.

• Tipul de declanșare al unei reguli este prezentat ca o listă derulantă în care puteți alege dintre:

• Un declanșator de eveniment unic
• Numărați până la MaxThreshold (numărul maxim de evenimente numărate) înainte ca valoarea TTL să expire sau până când TTL expiră și se atinge valoarea MinThreshhold (numărul minim de evenimente numărate) - câte (de exemplu, 3 clienți cu 25% reducere dacă grupați după reducere)
• Sum PivotField (suma aritmetică pentru un anumit câmp) până la MaxThreshold (suma maximă) înainte ca valoarea TTL să expire sau TTL expiră și se atinge valoarea Sum PivotField MinThreshold (suma minimă) - cât de mult (de exemplu, pentru aplicațiile de afaceri: dacă valoarea totală a reducerii pentru o regiune este mai mare de 1000 de euro).
• Media pe PivotField până când TTL are valoarea MinThreshold (valori distincte pe PivotField până la MaxTreshold înainte de expirarea TTL) SAU (TTL expiră și se atinge numărul de valori distincte pe PivotField MinTreshold) - numărul de valori distincte (de exemplu, câte adrese IP distincte trimit evenimente, atac pentru un anumit câmp)
• Valorile MaxTreshold, MinTreshold și TTL (sec.) pentru tipul de declanșare a regulii

MaxTreshold - numărul maxim de evenimente care trebuie să apară pentru a genera alerta MinTreshold - numărul minim de evenimente care trebuie să apară pentru a genera alerta

PivotField - suma unui anumit câmp (de exemplu, pentru aplicații de afaceri: suma banilor, suma tranzacțiilor).

Puteți adăuga, edita sau șterge condiții de reguli:

• Pentru a adăuga o condiție de câmp, apăsați butonul . În meniul derulant Select Field (Selectați câmpul), selectați un domeniu reprezentativ al evenimentului. Din următoarea listă derulantă, selectați operatorul de valori corespunzător. În al treilea câmp introduceți valoarea dorită.

• Pentru a adăuga o condiție de raportare, apăsați butonul . Condiția de regulă vă prezintă cu o listă derulantă din care puteți selecta un raport din toate rapoartele existente.

• Pentru a adăuga o condiție de corelație, apăsați butonul . Apare condiția de corelare care vă prezintă două meniuri derulante Select Filed din care puteți alege câmpurile de evenimente care urmează să fie corelate, o meniură derulantă de operatori de comparație (egal, neegal, mai mic, mai mic sau egal, mai mare, mai mare sau egal) și opțiunea de a alege condiția de regulă la care se aplică corelația.

Nu uitați că, prin adăugarea unei reguli de script, regula de script acționează ca ultima condiție de regulă în lanț, iar efectul său înlocuiește toate celelalte condiții de regulă definite mai sus.

Puteți șterge o condiție de regulă prin apăsarea butonului din extrema dreaptă a condiției de regulă.

Atunci când se adaugă o condiție de regulă, se adaugă automat un operator logic pentru corelarea cu condiția anterioară. Operatorul implicit este AND (ȘI). Faceți clic pe comutatorul pentru a schimba valoarea logică în OR. Faceți clic din nou pentru a schimba din nou la AND.

În cazul în care lanțul logic o cere, se adaugă și un operator NOT sub forma unei casete de selectare. În mod implicit, operatorul nu este selectat. Faceți clic pe pentru a selecta operatorul. În acest caz, expresia logică interpretată în cadrul regulii dvs. va fi AND NOT, respectiv OR NOT.

Rețineți că toate condițiile regulii sunt adăugate în ordine, una după alta.După ce ați terminat, apăsați butonul din partea de sus pentru a salva regula și a reveni la lista de definiții de alerte sau apăsați butonul pentru a anula toate modificările.

Exemplu de script a unei reguli:

var obj = {
    Exec:function(Alert) {

    var currentAlertState =  JSON.parse(Alert);

    // in order to filter the current alert just based on custom scenarios
    // return null;

   }
};

Creați un exemplu de scenariu de alertă la conectare

Acest scenariu presupune configurarea unei alerte pentru un anumit utilizator care are două conectări eșuate într-un interval de timp de 60 de secunde.

Pasul 1:

Accesați Setări > Alerte > Timp real

Pentru a adăuga o nouă alertă, apăsați butonul Create new alert definition (Creați o nouă definiție de alertă) din pagina Alerts (Alerte).

Pasul 2:

Creați definiția alertei "Default - Audit policy change" cu următoarele setări:

• Nume: Default - Audit policy change": "Default - Audit policy change

• Alerta este activă

• Punctaj de securitate de 40
• Nivel de securitate de 5

Pasul 3:

Definiți o nouă regulă cu următoarele setări:

• Descriere: Audit evenimente de modificare a politicii de audit
• EventID: 4719

EventID poate fi căutat în Dicționarul de evenimente: Dicționar de evenimente

Pasul 4:

Salvați definiția alertei

Noua definiție se afișează în pagina Alerte

Pasul 5:

Toate alertele sunt generate în timp real atunci când sunt îndeplinite condițiile definite și sunt afișate ca evenimente în interfața modului Alerte. În acest exemplu, alerta a fost generată pe baza colectării unui eveniment cu ID 4719 (Audit policy change) din Windows Security Log.

Cum se activează acțiunile automate în alertele în timp real

Pentru a utiliza acțiunile automate predefinite, trebuie mai întâi să creați o nouă alertă sau să editați / deschideți scenarii/alerte predefinite.

Pentru a crea o nouă alertă, vă rugăm să urmați linkul:

Pentru a accesa parametrii de acțiune trebuie să deschideți meniul ALERT SETTINGS, pentru aceasta selectați Settings >

Alerte > Timp real. Pagina de personalizare a alertelor se deschide în interfața modulului Alerte. Atunci când creați o nouă alertă sau editați o alertă, veți găsi caseta de selectare Are acțiune:

Apăsați butonul pentru a deschide fereastra Script Editor, unde puteți crea un script personalizat pentru a-l aplica ca regulă sau acțiuni predefinite din listă:

Atunci când alegeți o acțiune specifică (de exemplu, LinuxActions Disable_User), puteți activa scenariul de răspuns automat. Acesta ar putea fi dezactivarea, activarea utilizatorilor Linux, notificări prin e-mail sau messenger etc.

O acțiune este generată, urmată de alerte, care sunt generate pe baza unor evenimente specifice. În acest moment, există următoarele acțiuni automate predefinite:

LinuxActions.DISABLE_USER

Această acțiune dezactivează sau elimină anumiți utilizatori Linux de la utilizarea gazdei țintă pe baza unor parametri:

• Utilizator țintă (ce utilizator trebuie dezactivat)

• Gazda (pe ce gazdă se dezactivează utilizatorul)

• CredentialsGUID (cu ajutorul căruia se utilizează acreditările pentru a dezactiva utilizatorul) Această acțiune a necesitat acces la parola root.

În cazul acestei acțiuni, utilizatorul va fi eliminat și nu se va mai putea autentifica pe calculatorul/ gazda sa.

Utilizator țintă:

• Static Value - poate fi statică, iar în Static Value se va scrie numele utilizatorului care urmează să fie dezactivat:

• Proprietăți - pot fi dinamice, unde puteți selecta regula și numărul evenimentului din listă folosind câmpul UserName (de exemplu), pentru a ști ce utilizator dezactivați:

Gazdă:

• Aceasta se poate face pe gazda care a apărut sau pe controlul domeniului dc01 (de exemplu):

CredentialsGUID:

Ce credențiale se utilizează de la serverul CYBERQUEST, iar noi selectăm din listă (AgentWindows):

LinuxActions.ENABLE_USER

Această acțiune activează sau restaurează anumiți utilizatori Linux (vor putea să se conecteze) pe baza unor parametri:

• Utilizator țintă (ce utilizator trebuie activat)

• Gazda (pe ce gazdă se activează utilizatorul)

• CredentialsGUID (cu ajutorul căruia se utilizează acreditările pentru a activa utilizatorul) Această acțiune a necesitat acces cu parola root.

Utilizator țintă:

• Static Value - poate fi static și în Static Value veți scrie numele utilizatorului care urmează să fie activat.

• Proprietăți - pot fi dinamice, unde puteți selecta regula și numărul de eveniment din listă folosind câmpul UserName (de exemplu), pentru a ști ce utilizator activați.

Gazdă:

• Aceasta se poate face pe gazda care a apărut sau pe controlul domeniului dc01 (de exemplu).

CredentialsGUID:

• Ce credențiale folosesc de pe serverul CYBERQUEST, iar noi selectăm ce avem în listă (AgentWindows).

LinuxActions.EXPIRE_USER_PASSWORD

Atunci când această acțiune este activată pentru utilizatorii cu parolă expirată, acești utilizatori țintă nu se vor putea autentifica cu parola lor pe baza parametrilor:

• Utilizator țintă (a cărui parolă de utilizator a expirat)

• Host (pe ce gazdă expiră parola)

• CredentialsGUID (folosind ce credențiale pentru a expira parola) Poate fi făcut de către administratorul grupului sau de către utilizator/nu este obligatoriu utilizatorul root.

Utilizator țintă:

• Static Value - poate fi statică, iar în Static Value se va scrie numele utilizatorului a cărui parolă trebuie schimbată.

• Proprietăți - pot fi dinamice, unde puteți selecta regula și numărul de eveniment din listă folosind câmpul UserName (de exemplu), pentru a ști cărui utilizator îi expiră parola.

Gazdă:

• Se poate face pe gazda care a apărut, sau pe controlul domeniului dc01(de exemplu).

CredentialsGUID:

• Ce credențiale folosesc de pe serverul CYBERQUEST, iar noi selectăm ce avem în listă (AgentWindows).

LinuxActions.DISABLE_PASSWORD_EXPIRE

Atunci când această acțiune este activată, utilizatorii Linux vor fi restaurați și vor putea să se conecteze din nou la gazdă pe baza parametrilor:

• Utilizator țintă
• Credențiale
• gazdăGUID

Ar putea fi făcută de către administratorul grupului.

Utilizator țintă:

• Static Value - poate fi static și în Static Value veți scrie numele utilizatorului care trebuie activat.

• Proprietăți - pot fi dinamice, unde puteți selecta regula și numărul de eveniment din listă folosind câmpul UserName (de exemplu), pentru a ști la ce utilizator este dezactivată parola de expirare.

Gazdă:

Aceasta se poate face pe gazda care a apărut sau pe controlul domeniului dc01 (de exemplu).

CredentialsGUID:

Ce credențiale folosesc de pe serverul CYBERQUEST, iar noi selectăm ce avem în listă (AgentWindows).

Notificări Email/ Echipe/Slack/Jira

Notificări Email/ Teams/Slack/Jira - aceste acțiuni activează notificările pe email sau pe messenger Teams, Jira, Slack.

Conținutul notificărilor - mesaj specific, care este indicat de utilizator și care va fi primit în cazul unor evenimente riscante care au activat această alertă.

Alerte sumare

Personalizarea alertelor sumare

Alertele sumare grupează datele pe baza unor condiții specifice în rapoarte.

De exemplu, dacă folosim CYBERQUEST pentru aplicații de afaceri, putem grupa reducerile în funcție de valoare pentru o anumită țară.

Alertele sumare se referă la evenimente istorice (rezumat bazat pe statistici). Acestea sunt evenimentele care sunt generate la fiecare 10 minute, iar utilizatorul poate grupa aceste evenimente pe anumite chei.

Alertele în timp real sunt generate de serviciul de corelare a datelor, corelează evenimentele care vin în timp real, iar cele care sunt în rezumat au trecut deja prin această etapă.

Din meniul Setări, selectați Alerte > Rezumat. Se deschide pagina Registered Summary Alerts (Alerte sumare înregistrate), care vă permite să gestionați alertele sumare înregistrate.

Meniul Acțiuni include opțiuni pentru editarea și ștergerea unei alerte sumare și puteți marca alertele sumare ca fiind active sau inactive. Se deschide pagina Registered Summary Alerts (Alerte recapitulative înregistrate), care enumeră alertele recapitulative definite, iar aici aveți opțiunea de a adăuga o alertă recapitulativă înregistrată.

Apăsați pentru a edita alerta. Mai jos este prezentată o scurtă descriere a fiecărei setări din Edit Summary Alert (Editare alertă sumară)

• Câmpul Nume, conține numele alertei sumare înregistrate

• Raportul este raportul pentru care se generează alerta rezumativă curentă.

• Câmpurile Security Score (Scorul de securitate) și Security Level (Nivelul de securitate) afișează valoarea de bază pentru amenințarea de securitate a alertei sumare. Așa cum s-a explicat pentru definițiile alertelor, acest scor este utilizat pentru evaluarea internă a analizei anomaliilor.

• RezumatLa nivel n, Timp, Unitate interval de timp, Tip de rezumat, Împărțit în grupuri de și

• Pragul sunt valori utilizate pentru a defini rezumatele pentru această alertă sumară înregistrată.

• Câmpul Notifications (Notificări) conține adresele de e-mail la care va fi trimisă alerta sumară. Introduceți câte o adresă de e-mail pe rând, fără separatori

• Șablon utilizat pentru notificare deschide o listă derulantă cu toate șabloanele de alertă care pot fi utilizate pentru notificare

• Selectorul On/Off vă permite să specificați dacă alerta sumară este activă sau nu.

Apăsați clic pe butonul pentru a salva modificările și a reveni la pagina Registered Summary Alerts (Alerte sumare înregistrate).

Pentru a șterge alertele, apăsați butonul din dreptul acestora. Ca măsură de precauție, vi se va cere să confirmați ștergerea.

Add Registered Summary Alert (Adăugare alertă recapitulativă înregistrată)** opțiunea vă permite să creați o nouă alertă recapitulativă.

Crearea unei noi alerte sumare înregistrate

Pentru a crea o nouă alertă sumară, selectați opțiunea Add Registered Summary Alert (Adăugare alertă sumară înregistrată) în oricare dintre paginile detaliate mai sus. Se deschide pagina New Summary Alert (Alertă sumară nouă), setările posibile sunt similare cu opțiunile paginii Edit

Summary Alert (Editare alertă sumară) descrise mai sus:

• În câmpul Nume, introduceți un nume unic pentru noua alertă sumară.

• În lista derulantă Raport, selectați raportul pentru care se va genera alerta sumară

• În câmpurile Security Score (Scorul de securitate) și Security Level (Nivelul de securitate) introduceți valoarea de referință pentru amenințarea de securitate a alertei sumare. În cazul în care nu știți ce valoare să introduceți, în cele mai multe cazuri se recomandă introducerea valorii 50 (respectiv 5)

• În meniurile derulante SummaryOn Level *n*, selectați câmpurile de eveniment pe care trebuie să le rezumați. Trebuie să aveți o valoare cel puțin pentru Nivelul 1 pentru ca alerta de rezumat să funcționeze

• Introduceți o valoare de timp pentru unitatea TimeInterval (minute, ore, zile, săptămâni sau luni) de care aveți nevoie pentru a crea un rezumat - timp din momentul curent până la o anumită valoare și interval de timp înapoi (de exemplu, acum 3 zile din acest moment).

• Summary Type poate fi un număr, o sumă sau o medie; selectați în mod corespunzător Selectați o valoare pentru setarea Split Into Groups of. Valoarea implicită este împărțirea pe zile

• Introduceți un Prag - numărul maxim de evenimente din grup care au declanșat alerta (de exemplu, aplicăm 1000 ca maxim pentru regiune).

• În câmpul Notifications (Notificări), introduceți adresele de e-mail la care va fi trimisă alerta sumară, sub forma unei adrese pe rând, fără separatoare

• Puteți selecta un șablon utilizat pentru notificare, acest lucru este opțional.

• Selectorul On/Off vă permite să specificați dacă alerta sumară este activă sau nu.

Apăsați butonul SAVE pentru a salva modificările și a reveni la pagina Registered Summary Alerts (Alerte sumare înregistrate).

Configurarea unui exemplu de scenariu de alertă sumară la conectare

Scenariul de alertă va fi de a notifica ofițerul de securitate dacă un utilizator nu s-a autentificat de mai mult de 50 de ori pe zi.

Pasul 1:

Creați un raport care conține definiția alertei (un raport care afișează toate evenimentele filtrate, în acest caz: "Un cont nu a reușit să se conecteze"). Odată executat, raportul va găsi toate evenimentele care corespund definiției raportului. De asemenea, va trimite o notificare cu informații relevante, cum ar fi adresa rețelei, numele de utilizator, data, ora etc.). Pentru a obține acest rezultat:

• Deschideți modulul Browser

• Căutați "EventID:4625", care este ID-ul de eveniment Windows pentru eveniment: "Un cont nu a reușit să se conecteze". Apăsați Filter data pentru a afișa evenimente corespunzătoare

• Faceți clic pe Save (Salvare) și selectați opțiunea Save as New Report (Salvare ca raport nou) Introduceți "An account failed to log on" (Un cont nu a reușit să se conecteze) pentru câmpurile Name (Nume) și Description (Descriere).

• În mod implicit, noul raport creat va fi salvat în folderul Rapoarte personalizate din modulul Rapoarte.

Pasul 2:

Creați o nouă alertă sumară folosind noul raport creat. Deschideți: Setări > Alerte > Sinteză și faceți clic pe opțiunea New Registered Summary Alert (Alertă nouă înregistrată și rezumativă). Utilizați următoarele setări:

• Numele raportului personalizat

• Un scor de securitate de 50 și un nivel de securitate de 5 RezumatLa nivelul 1: UserName

• RezumatLa nivelul 2: Calculator

Pasul 3:

Verificați rezultatele.

Alerte DTS

Obiecte DTS

Serviciul de transformare a datelor permite apariția alertelor prin verificarea listelor interne de obiecte. Obiectele sunt utilizate pentru îmbunătățirea jurnalelor, îmbogățirea, luarea deciziilor, alertarea și alte funcționalități.

Un eveniment CYBERQUEST are următorul format:

{
  "EventID": "1-2000000000",
  "LocalTime": "yyyy-mm-dd hh:mm:ss.fff",
  "GMT": "yyyy-mm-dd hh:mm:ss.fff",
  "UserName": "blacklisted.user1",
  "UserDomain": "Demo",
  "SrcIP": "xxx.xxx.xxx.xxx",
  "DestIP": "xxx.xxx.xxx.xxx",
  "VersionMajor": "6",
  "VersionMinor": "2",
  "Computer": "A-PC.Demo.local",
  "Source": "Microsoft-Windows-Security-Auditing",
  "EventLog": "Security",
  "Category": "Logon",
  "EventType": "8",
  "Description": "An account was successfully logged on.\r\n\r\nSubject:\r\n\tSecurity ID:\t\tS-1-0-0\r\n\tAccount Name:\t\t-\r\n\tAccount Domain:\t\t-\r\n\tLogon ID:\t\t0x0\r\n\r\nLogon Type:\t\t\t3\r\n\r\nImpersonation Level:\t\tImpersonation\r\n\r\nNew Logon:\r\n\tSecurity ID:\t\tS-1-5-21-1009658894-4016096118-1013530418-1275\r\n\tAccount Name:\t\tblacklisted.user1\r\n\tAccount Domain:\t\tDemo\r\n\tLogon ID:\t\t0xC2C9FA762\r\n\tLogon GUID:\t\t{00000000-0000-0000-0000-000000000000}\r\n\r\nProcess Information:\r\n\tProcess ID:\t\t0x0\r\n\tProcess Name:\t\t-\r\n\r\nNetwork Information:\r\n\tWorkstation Name:\tRemoteWorkstation\r\n\tSource Network Address:\t10.10.10.10\r\n\tSource Port:\t\t44214\r\n\r\nDetailed Authentication Information:\r\n\tLogon Process:\t\tNtLmSsp \r\n\tAuthentication Package:\tNTLM\r\n\tTransited Services:\t-\r\n\tPackage Name (NTLM only):\tNTLM V1\r\n\tKey Length:\t\t128\r\n\r\nThis event is generated when a logon session is created. It is generated on the computer that was accessed.\r\n\r\nThe subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.\r\n\r\nThe logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network).\r\n\r\nThe New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on.\r\n\r\nThe network fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.\r\n\r\nThe impersonation level field indicates the extent to which a process in the logon session can impersonate.\r\n\r\nThe authentication information fields provide detailed information about this specific logon request.\r\n\t- Logon GUID is a unique identifier that can be used to correlate this event with a KDC event.\r\n\t- Transited services indicate which intermediate services have participated in this logon request.\r\n\t- Package name indicates which sub-protocol was used among the NTLM protocols.\r\n\t- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.",
  "S1": "S-1-0-0",
  "S2": "-",
  "S3": "-",
  "S4": "0x0",
  "S5": "S-1-5-21-1009658894-4016096118-1013530418-1275",
  "S6": "blacklisted.user1",
  "S7": "Demo",
  "S8": "0xc2c9fa762",
  "S9": "3",
  "S10": "NtLmSsp ",
  "S11": "NTLM",
  "S12": "RemoteWorkstation",
  "S13": "{00000000-0000-0000-0000-000000000000}",
  "S14": "-",
  "S15": "NTLM V1",
  "S16": "128",
  "S17": "0x0",
  "S18": "-",
  "S19": "10.10.10.10",
  "S20": "44214",
  "S21": "%%1833",
  "S150": ""
}

S1 - S150 sunt câmpuri suplimentare de tip șir de caractere și sunt utilizate în general pentru a stoca informații utile extrase din eveniment. Scopul acestora este de a corela aceste informații utile în tablourile de bord și de a seta declanșatori de alerte.

Exemplu: Putem utiliza un obiect DTS pentru a verifica o listă dinamică sau statică pentru utilizatorii de pe lista neagră sau necunoscuți. Utilizăm funcția getter pentru a verifica dacă utilizatorul curent face parte dintr-o listă neagră sau albă.

Cazul 1: Utilizatorul face parte dintr-o listă neagră: putem lansa o alertă că un utilizator de pe lista neagră s-a conectat la un computer cu ajutorul funcției RaiseAsAlert.

Cazul 2: Utilizatorul face parte dintr-o listă albă: nu facem nimic (din punctul de vedere al alertelor), doar analizăm datele utile, dacă este necesar.

Cazul 3: Utilizatorul nu se află în niciuna dintre liste și dorim să adăugăm în mod implicit utilizatorii necunoscuți pe o listă neagră. Acest lucru poate fi realizat prin utilizarea funcției setter.

Pentru ca un obiect DTS să primească un eveniment ca parametru (pentru ca un eveniment să fie analizat), trebuie să fie respectate următoarele 3 condiții prealabile:

1. Crearea unui obiect DTS

Un nou obiect DTS poate fi creat din meniul de setări prin navigarea la pagina Settings > Rules > DTS Objects (Setări > Reguli > Obiecte DTS). Apăsați următorul buton și creați un nou obiect DTS.

2. Creați o regulă de filtrare

Regula de filtrare este un set de condiții pe care trebuie să le îndeplinească evenimentele primite pentru a fi trecute prin unul sau mai multe obiecte DTS (analizate).

O nouă regulă de filtrare poate fi creată din meniul de setare, navigând la: Setări > Reguli > Reguli de filtrare. Apăsați următorul buton și creați o regulă de filtrare.

3. Creați o regulă DA (regulă de achiziție a datelor)

Regula DA este un mecanism de luare a deciziilor care trimite evenimente (date) care îndeplinesc criteriile stabilite de regulile de filtrare prin intermediul obiectelor DTS și către serviciul de stocare a datelor și/sau serviciul de corelare a datelor.

O nouă regulă DA poate fi creată din meniul de setări, navigând la: Setări > Reguli > Reguli DA. Apăsați următorul buton și creați o regulă DA.

Pentru informații suplimentare despre obiectele DTS, vă rugăm să urmați linkul: DTS.

Obiecte DTS Metode încorporate

Obiectele DTS au funcții încorporate personalizate create cu scopul de a interacționa cu listele Redis sau cu modulul de alertă. Funcțiile sunt:

1. funcția "setter"

Cu această funcție putem introduce valori în listele Redis.

Parametrii: [list_name],[list_key],[list_value][TTL]

Exemplu:

setter(‘UserLists’,this.inputEvent.UserName,this.inputEvent.SrcIP,360);

În acest exemplu, obiectul DTS caută în "UserLists" câmpul "UserName" al evenimentului.

Cazul1:

În cazul în care există deja, se modifică valoarea acesteia (câmpul SrcIP) și se resetează durata intrării în listă la 360 de secunde.

Cazul2:

În cazul în care nu există, se creează o nouă intrare cu cheia "UserName" și valoarea "SrcIP", care are un timp de expirare de 360 de secunde.

1. funcția "getter"

Cu această funcție putem obține valori din listele Redis. Parametrii: [nume_lista],[cheie_lista]

Exemplu:

getter('IPLists', this.inputEvent.SrcIP);

În acest exemplu, obiectul DTS caută în lista "IPLists" câmpul "SrcIP" al evenimentului curent și obține valoarea asociată.

1. Funcția "RaiseAsAlert"

Cu această funcție putem genera un eveniment de alertă cu setările dorite.

Parametrii: [event_list],[alert_name],[email_address(es)],[security_score], [security_level], [alert template].

Exemplu:

RaiseAsAlert(JSON.stringify(EventList),"MultipleLogins(10)","someone@company.com","7","7","Multiple Logins(10)");

În acest exemplu, obiectul DTS alertează "someone@company.com" atunci când este declanșată alerta "Accesări multiple (10)" și îi atribuie un scor de securitate de 7 și un nivel de securitate de 7.

1. Funcția "backEvents"

Exemplu:

backEvents(‘SearchString’), NumberOfDays);

Valoarea implicită "NumberOfDays" (dacă nu este specificată) este 100.

Caută "SearchString" și returnează toate evenimentele care corespund căutării în format JSON (matrice).

1. Funcția "backCount"

Exemplu:

backCount(‘SearchString’), NumberOfDays);

Caută "SearchString" și returnează numărul tuturor evenimentelor care corespund căutării.

1. Funcția "ConsoleLog"

Exemplu:

ConsoleLog(String);

Conectează șirul dorit: /var/log/data-acquisition.log

Scenarii de alertă

Exemple de alerte

Exemplul 1. Creați un exemplu de scenariu de alertă la conectare

Acest scenariu presupune configurarea unei alerte pentru un anumit utilizator care are două conectări eșuate într-un interval de timp de 60 de secunde.

Pasul 1:

Accesați Setări > Alerte > Timp real

Pentru a adăuga o nouă alertă, apăsați butonul Create new alert definition (Creați o nouă definiție de alertă) din pagina Alerts (Alerte).

Pasul 2:

Creați definiția alertei "Default - Audit policy change" cu următoarele setări:

• Nume: Default - Audit policy change": "Default - Audit policy change

• Alerta este activă

• Punctaj de securitate de 40
• Nivel de securitate de 5

Pasul 3:

Definiți o nouă regulă cu următoarele setări: Descriere:

• Auditarea evenimentelor de modificare a politicii EventID: 4719

• EventID poate fi căutat în Dicționarul de evenimente: Dicționar de evenimente

Pasul 4:

Salvați definiția alertei

Noua definiție se afișează în pagina Alerte

Pasul 5:

Toate alertele sunt generate în timp real atunci când sunt îndeplinite condițiile definite și sunt afișate ca evenimente în interfața modului Alerte. În acest exemplu, alerta a fost generată pe baza colectării unui eveniment cu ID 4719 (Audit policy change) din Windows Security Log.

Exemplul 2. Configurarea unui exemplu de scenariu de alertă sumară la conectare

Scenariul de alertă va fi de a notifica ofițerul de securitate dacă un utilizator nu s-a autentificat de mai mult de 50 de ori pe zi.

Pasul 1:

Creați un raport care conține definiția alertei (un raport care afișează toate evenimentele filtrate, în acest caz: "Un cont nu a reușit să se conecteze"). Odată executat, raportul va găsi toate evenimentele care corespund definiției raportului. De asemenea, va trimite o notificare cu informații relevante, cum ar fi adresa rețelei, numele de utilizator, data, ora etc.). Pentru a obține acest rezultat:

• Deschideți modulul Browser

• Căutați "EventID:4625", care este ID-ul de eveniment Windows pentru eveniment: "Un cont nu a reușit să se conecteze". Apăsați Filter data pentru a afișa evenimente corespunzătoare

• Faceți clic pe Salvare și selectați opțiunea Salvare ca raport nou

• Introduceți "An account failed to log on" pentru câmpurile Name și Description (Nume și Descriere)

• În mod implicit, noul raport creat va fi salvat în folderul Rapoarte personalizate din Modulul de Rapoarte

Pasul 2:

Creați o nouă alertă sumară folosind noul raport creat. Deschideți: Setări > Alerte > Sinteză și faceți clic pe opțiunea New Registered Summary Alert (Alertă nouă înregistrată și rezumativă).

• Utilizați următoarele setări:

• Numele raportului personalizat

• Un scor de securitate de 50 și un nivel de securitate de 5 RezumatLa nivelul 1: UserName

• RezumatLa nivelul 2: Calculator

Pasul 3:

Verificați rezultatele.

Exemplul 3. Descrierea alertei DDoS (Distributed Denial of Service)

100 de evenimente către același IP sau port în 1 minut de la diferite surse. Această alertă trebuie declanșată la apariția a 100 de evenimente de comunicare către o adresă IP și același port de la adrese IP diferite.

Surse de date necesare

• Pentru ca alerta să fie setată, evenimentele de flux de rețea ale Firewall-ului trebuie colectate în CYBERQUEST.

Configurarea alertei

Din meniul Setări, selectați Alerte > Timp real.

1. În câmpurile de setări ale Regulii 1 vor fi identificate evenimentele de flux net. Vă rugăm să completați câmpurile cu informațiile prezentate mai jos: EventID, isinList, 63805 63809

2.În câmpurile de setări ale Regulii 2, setați:

• Min Threshold la 100

• Max Threshold la 150 TTL la 60

• SrcIP ≠ Regula nr. 1 SrcIP ȘI

• DestIP = Regula nr. 1 DestIP

Pentru a exporta setările de alertă în format CQO, vă rugăm să urmați linkul: Alert Object.

Exemplul 4. Partajarea acreditărilor aplicației

Descrierea alertei

Logon pe Windows cu un utilizator urmat de un Logon pe o aplicație cu un alt utilizator (pe același IP). Această alertă ar trebui să se declanșeze la apariția unui eveniment de conectare la Windows urmat de un eveniment de conectare la o aplicație, dar cu un nume de utilizator diferit de cel al evenimentului de conectare la Windows.

Surse de date necesare

Pentru ca alerta să fie activată, trebuie să fie colectate următoarele surse în CYBERQUEST:

• Jurnalul de securitate Windows cu auditurile de conectare activate în GPO;

• Ar trebui să fie activate auditurile de conectare a aplicațiilor și să conțină informații despre utilizator și IP.

Configurarea alertei

Din meniul Setări, selectați Alerte > Timp real.

1. În câmpurile de setări ale Regulii 1, vor fi identificate evenimentele Windows Success Logon 4624. Vă rugăm să completați câmpurile cu informațiile prezentate mai jos: EventID = 4624

2.În câmpurile de setări ale Regulii 2, vor fi identificate evenimentele de conectare cu succes ale aplicației. Pentru a face acest lucru:

• setați EventID la "ApplicationLoginEventID"

• AND

• SrcIP = la regula nr. 1 SrcIP

• AND

• UserName ≠ la Regula nr. 1 UserName

Pentru a exporta setările de alertă în format CQO, vă rugăm să urmați linkul: Alert Object.

Exemplul 5. IP sau domeniu rău intenționat

Descrierea alertei

Această alertă este declanșată atunci când se detectează comunicații între adresele IP interne și cele din lista neagră. Lista neagră conține IP-uri și domenii rău intenționate.

Surse de date necesare

Pentru ca alerta să fie activată, trebuie să fie colectate următoarele surse în CYBERQUEST:

• Evenimente de comunicare în rețea;

• Lista neagră și/sau fluxuri de securitate.

Configurarea alertei

Din meniul Setări, selectați Alerte > Timp real.

În câmpurile de setări ale Regulii 1, completați câmpurile cu informațiile prezentate mai jos: SrcIP isinList @BlackListDomains AND DestIP isinList @BlackListDomains

Pentru a exporta setările de alertă în format CQO, vă rugăm să urmați linkul: Alert Object.

Exemplul 6. Autentificare reușită după mai multe încercări

Descrierea alertei

Autentificare reușită după minimum 5 încercări eșuate pentru același utilizator în mai puțin de 10 minute.

Surse de date necesare

Pentru ca alerta să fie activată, trebuie să se colecteze următoarea sursă în CYBERQUEST:

• Jurnal de securitate Windows cu audituri de conectare activate în GPO

Configurarea alertei

1. Deschideți interfața web CYBERUEST.

2. Accesați Setări > Alerte > Timp real.

3. Creați o nouă alertă, apăsând butonul .

4. Creați prima regulă pentru identificarea Logonului eșuat Windows 4625, apăsând butonul și selectând EventID = 4625.

1. Adăugați o a doua regulă prin apăsarea butonului și selectați "UserName = Rule No. 1 UserName".

1. Adăugați regula 3 și selectați "Add correlated condition" (UserName = Regula nr. 1 Username) și "Add field condition" (EventID = 4624).

1. După aceea, pentru a salva alerta, trebuie să apăsați butonul , din colțul din stânga sus.

Pentru a exporta setările de alertă în format CQO, vă rugăm să urmați linkul: Alert Object.

Exemplul 7. Trafic către domenii infectate

Alertă Scop

Această alertă ar trebui declanșată la detectarea domeniilor malițioase (BlackListDomains).

Surse de date

• Evenimente de acces web necesare

Descriere

1. Deschideți interfața web CYBERUEST.

2. Accesați Setări > Alerte > Timp real.

3. Creați o nouă alertă, apăsând butonul .

4. Regula1 - EventID = "event id for web access events" AND "Accessed domain field" isinList @BlackListDomains

Pentru a exporta setările de alertă în format CQO, vă rugăm să urmați linkul:Alert Object.

Exemplul 8. Autentificare VPN și RDP cu utilizatori diferiți

Alertă Scop

Această alertă ar trebui să fie declanșată la detectarea unei autentificări VPN și a unei conexiuni RDP cu un utilizator diferit de utilizatorul VPN.

Surse de date necesare

Evenimente de conectare VPN Jurnal de securitate Windows

Descriere

1. Deschideți interfața web CYBERUEST.

2. Accesați Setări > Alerte > Timp real.

3. Creați o nouă alertă, apăsând butonul .

4. Regula 1 - EventID isinList 1660049 / 1660009

5. Regula 2 - EventID = 4624 AND S9 = 10 AND UserName NOT = Regula nr. 1 UserName AND S15 = Regula nr. 1 S19

Pentru a exporta setările de alertă în format CQO, vă rugăm să urmați linkul: Alert Object.

Personalizarea șabloanelor de notificare

Din meniul Setări, selectați Alerte > Șabloane de notificare. Se deschide pagina de personalizare a alertelor în Interfața modulului Alert Templates.

Meniul Acțiuni include opțiuni pentru editarea și ștergerea șabloanelor de alertă. Se deschide pagina Alert Templates (Șabloane de alertă), care enumeră șabloanele de alertă definite, iar aici aveți opțiunea de a crea un nou șablon de alertă.

Pentru a crea un nou șablon de alertă, selectați opțiunea New Alert Template (Șablon nou de alertă) în oricare dintre paginile detaliate mai sus. Se deschide pagina New Alert Template (Șablon nou de alertă), setările posibile sunt similare cu pagina Edit Alert Template (Editare șablon de alertă) pe care o puteți deschide din lista Alert Templates (Șabloane de alertă):

• În câmpul Name (Nume), introduceți un nume unic pentru noul șablon de alertă
• În câmpul Text, introduceți un text descriptiv sau inserați un obiect

Apăsați butonul "Save" pentru a salva modificările și a reveni la pagina Șabloane de alertă.

Vizualizarea alertelor

Lucrul cu modulul Alerte

Accesați modul Alerte prin apăsarea butonului pe care îl găsiți în secțiunea din stânga sus a interfeței web.

Zona de operare a modulului este împărțită în două secțiuni:

• Secțiunea Căutare și filtrare vă permite să controlați în mod granular informațiile afișate în lista de alerte.

• Secțiunea Rezultate conține datele care pot fi utilizate în funcție de căutări și filtre.

Secțiunea de căutare și filtrare a alertelor

Această secțiune vă permite să controlați ce informații sunt afișate în lista de alerte.

Câmpul de căutare oferă posibilitatea de a filtra informațiile afișate prin utilizarea capacităților de text liber. Dacă nu se introduce nimic în caseta de câmp, toate sunt afișate evenimentele.

În acest manual este inclus un ghid complet de utilizare a capacităților de text liber.

Prin apăsarea butonului veți putea instrui interfața cu privire la modul în care numărul de elemente este afișat pe pagină. Opțiunea implicită este de 10 elemente, dar puteți crește la 50 sau 100 de elemente.

Când ați terminat, apăsați butonul pentru a aplica selecțiile. Alte opțiuni disponibile în secțiunea Căutare și filtrare:

• Opțiunea Trimite la investigații va direcționa selecția către modulul Investigații. Opțiunea deschide o nouă filă a browserului web la interfața Investigations. Vi se prezintă fereastra Filter data (Filtrare date), care este acum populată cu informațiile de filtrare pe care le-ați introdus deja.

Apăsați butonul pentru a comanda extragerea datelor pe baza filtrelor și afișarea în Interfața de investigații.

• Opțiunea Trimite la tablouri de bord va direcționa selecția către modulul Tablouri de bord. Opțiunea deschide o nouă filă a browserului web la interfața Tablouri de bord care listează rezultatele filtrate.

• Opțiunea Send to browser va direcționa selecția către modulul Browser. Opțiunea deschide o nouă filă a browserului web la Browser în interfața care enumeră rezultatele filtrate.

Secțiunea Search and Filter (Căutare și filtrare) include opțiuni pentru setarea datei și a intervalului de timp pentru care aveți nevoie de informații. Această funcție este foarte utilă atunci când trebuie să aruncați o privire rapidă asupra conformității pe o anumită perioadă de timp.

Interfața vă permite să setați o dată de început și o dată de sfârșit specifice și vă oferă, de asemenea, opțiuni rapide pentru dată (ultima oră, ultima zi, ultimele trei zile, ultimele zece zile, ultimele 30 de zile, ultimele 90 de zile). În mod implicit, interfața Alerts (Alerte) listează toate alertele. Butoanele de sub câmpurile Start Date (Data de început) și End Date (Data de sfârșit) vă permit să măriți sau să micșorați rapid intervalul de timp și să specificați referința de timp care trebuie luată în considerare (GMT, LocalTime, ReceivedTime, Now, AutoRefresh).

GMT - este ora de referință care convertește ora de căutare în GMT (Greenwich Mean Time Zone).

LocalTime - este referința de timp în care s-a produs un eveniment.

ReceivedTime - este referința de timp în care evenimentele au sosit în aparatul CYBERQUEST.

Acum - autoactualizarea datelor finale cu ora actuală. AutoRefresh - reîmprospătează pagina la fiecare 10 secunde.

Secțiunea Alerte rezultate

Aceasta este zona principală de afișare a alertelor declanșate. Toate alertele sunt listate în ordine cronologică, iar numărul de elemente de pe o pagină fiind cel stabilit în opțiunile de căutare și filtrare.

Funcționalitățile paginii de alerte sunt descrise în detaliu în titlul Personalizarea alertelor în timp real.

Dacă faceți clic pe numele alertei din coloana Alert Name (Numele alertei) din listă, se deschide fereastra pop-up Alert Viewer (Vizualizator de alerte), în care puteți investiga în detaliu alerta declanșată. Următoarele elemente sunt de interes pentru o investigație:

• AlertSecurityLevel este nivelul actual de securitate calculat pentru o alertă declanșată, pornind de la un nivel de referință definit în alertă.

• AlertSecurityScore este scorul de securitate curent calculat pentru o alertă declanșată, pornind de la o bază de referință definită în alertă.

• În fila Computere sunt listate toate computerele afectate în prezent de această alertă.

• În fila SrcIPs sunt listate toate adresele de rețea afectate în prezent de această alertă În fila Users sunt listați toți utilizatorii afectați în prezent de această alertă.

• Când apăsați Alert Extra Info, vi se prezintă ID-ul unic al alertei și indicele de corelație responsabil pentru declanșarea alertei și pentru calcularea nivelului de securitate și a scorului.

• Când apăsați Triggered Rules, vi se prezintă un scurt raport care enumeră regulile declanșate din definiția alertei.

Apăsând butonul pentru o intrare din listă, veți obține un raport complet care detaliază evenimentele asociate pentru acea regulă declanșată.

Vizualizați alertele declanșate

Aceasta este zona principală de afișare a alertelor declanșate. Toate alertele sunt listate în ordine cronologică, numărul de elemente de pe o pagină fiind cel stabilit în opțiunile de căutare și filtrare.

Dacă faceți clic pe în coloana Alert Name (Numele alertei) din listă, se deschide fereastra pop-up Alert Viewer (Vizualizator de alerte) în care puteți investiga alerta declanșată în detaliu. Următoarele elemente sunt de interes pentru o investigație:

• Dacă apăsați butonul , vi se prezintă ID-ul unic al alertei și indicele de corelație responsabil pentru declanșarea alertei și calcularea nivelului de securitate și a scorului.

• La apăsarea butonului , vi se prezintă un scurt raport care enumeră regulile declanșate din definiția alertei.

• Dacă apăsați acest buton , vi se prezintă starea alertei.

• Puteți alege să trimiteți alerta la opțiunea Creare caz de investigație sau la opțiunea Adăugare la investigația existentă.

Gestionați alertele

Pentru a șterge o alertă declanșată, trebuie să accesați modulul Alerte prin apăsarea butonului , pe care îl găsiți în secțiunea din stânga sus a interfeței web, iar fereastra se va deschide:

Dacă faceți clic pe în coloana Alert Name (Numele alertei) din listă, se deschide fereastra pop-up Alert Viewer (Vizualizator de alerte) în care puteți investiga alerta declanșată în detaliu.

Pentru a șterge o alertă declanșată, trebuie să apăsați butonul de ștergere "Delete" și alerta va fi ștearsă.

• Pentru a șterge o definiție de alertă, trebuie să accesați meniul Setări, selectați Alerte > Timp real. Pagina de personalizare a alertelor se deschide în interfața modulului Alerts (Alerte):

Pentru a șterge alertele, apăsați butonul "Delete" din meniul Acțiune. Ca măsură de precauție, vi se va cere să confirmați ștergerea.

Crearea cazului de investigație

Pentru a vedea cum se creează un caz de investigație, vă rugăm să urmați acest link: Managementul cazurilor.