Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

JSA 构建块

构建块组常用的测试,用于构建复杂的逻辑,以便用于规则。

构建块使用规则使用的相同测试,但没有与之关联的操作。它们通常配置为测试 IP 地址、特权用户名或事件名称集合组。例如,您可以创建一个包含网络中所有邮件服务器的 IP 地址的构建块,然后在其他规则中使用该构建块来排除这些主机。作为准则提供构建块默认值,可以根据网络需求对构建块进行审核和编辑。

您可以配置主机定义构建块 (BB:HostDefinition),使 JSA 能够发现网络上的更多服务器并对其进行分类。如果未自动检测到特定服务器,则可以手动将服务器添加到其相应的主机定义构建块中。此操作可确保将适当的规则应用于特定服务器类型。您还可以手动添加 IP 地址范围,而不是单个设备。

编辑以下构建块,以减少大容量流量服务器生成的攻击数量:

  • BB:主机定义 --VA 扫描仪源 IP

  • BB:HostDefinition --网络管理服务器

  • BB:主机定义 - 病毒定义和其他更新服务器

  • BB:HostDefinition --Proxy Servers

  • BB:网络定义 --NAT 地址范围

  • BB:网络定义 --可信网络

调整构建块

您可以编辑构建块来减少 JSA 产生的误报。

要编辑构建块,必须将服务器或服务器的 IP 地址或 IP 地址添加到相应的构建块中。

  1. 单击 “攻击 ”选项卡。

  2. 在导航菜单上,单击 规则

  3. 显示 列表中,选择 构建块

  4. 双击要编辑的构建块。

  5. 更新构建块。

  6. 单击 完成

    下表介绍了可编辑的构建块。

    表 1:要编辑的构建块列表

    构建块

    描述

    BB:网络定义:NAT 地址范围

    编辑 源 IP 或目标 IP 是以下测试之一 ,以包括网络地址转换 (NAT) 服务器的 IP 地址。

    仅编辑 非 NATd 地址空间中的检测项时,编辑此构建块。编辑此构建块意味着不会针对或源自此 IP 地址范围的攻击创建攻击。

    BB:主机定义:网络管理服务器

    网络管理系统创建流量,例如 ICMP(Internet 控制消息协议)扫描,以发现主机。 JSA 可能会考虑这种威胁流量。要忽略此行为并定义网络管理系统,请编辑 源或目标 IP 是否为以下测试之一 ,以包括网络管理服务器 (NMS) 的 IP 地址以及通常执行网络发现或监控的其他主机的 IP 地址。

    BB:主机定义:代理服务器

    编辑 和当源 IP 或目标 IP 是以下测试之一 时,以包括代理的 IP 地址。

    如果对代理服务器上有足够的检测功能,请编辑此构建块。编辑此构建块可防止针对或源自虚拟服务器的攻击创建攻击。当数百台主机使用同一个虚拟服务器,而该代理的单个 IP 地址可能感染间谍软件时,这种调整会很有用。

    BB:主机定义:VA 扫描仪源 IP

    漏洞评估产品发动攻击,可能导致攻击创建。要避免此行为并定义漏洞评估产品或任何要忽略的服务器作为源,请编辑 源 IP 是否为以下测试之一 ,以包括以下扫描仪的 IP 地址:

    • VA 扫描仪

    • 授权扫描仪

    BB:主机定义:病毒定义和其他更新服务器

    编辑 和当源 IP 或目标 IP 是以下测试之一 时,以包括病毒保护和更新功能服务器的 IP 地址。

    BB:类别定义:无远程访问的国家/地区

    编辑测试 中源的和时间 ,以包括要阻止访问网络的地理位置。通过此更改,当从远程位置检测到成功登录时,可以使用规则创建攻击。

    BB:合规性定义:GLBA 服务器

    编辑 源 IP 或目标 IP 是以下测试之一时 ,以包括符合 GLBA (Gramm-Leach-Bliley Act) 要求的服务器的 IP 地址。通过填充此构建块,您可以使用诸如 合规性:对合规性 IS 的过度失败登录,这会对合规性和基于法规的情况造成违规。

    BB:合规性定义:HIPAA 服务器

    编辑 以及当源 IP 或目标 IP 是以下测试之一时 ,以包括用于符合 HIPAA(健康保险可移植性和责任法案)的服务器的 IP 地址。通过填充此构建块,您可以使用规则,例如 合规性:对合规性 IS 的过度失败登录,这会对基于合规性和法规的情况造成违规。

    BB:合规性定义:SOX 服务器

    编辑 源 IP 或目标 IP 是否为以下测试之一 ,以包括符合 SOX(萨班斯-奥克斯利法案)规定的服务器的 IP 地址。通过填充此构建块,您可以使用规则,例如 合规性:对合规性 IS 的过度失败登录,这会对基于合规性和法规的情况造成违规。

    BB:合规性定义:PCI DSS 服务器

    编辑 和当源 IP 或目标 IP 是以下测试之一 时,以包括符合 PCI DSS(支付卡行业数据安全标准)标准的服务器的 IP 地址。通过填充此构建块,您可以使用诸如 合规性:对合规性 IS 的过度失败登录,这会对合规性和基于法规的情况造成违规。

    BB:网络定义:广播地址空间

    编辑 和当源 IP 或目标 IP 是以下测试之一 时,以包括网络的广播地址。此更改可消除可能由使用广播消息引起的误报事件。

    BB:网络定义:客户端网络

    编辑 本地网络 测试时间,以包括用户正在操作的工作站网络。

    BB:网络定义:服务器网络

    编辑 本地网络测试时间, 以包括任何服务器网络。

    BB:网络定义:暗网地址

    编辑 本地网络 测试及何时测试,以包括被视为 暗网的 IP 地址。定向到 暗网 的任何流量或事件都被视为可疑。

    BB:网络定义:DLP 地址

    编辑任意 IP 是否为以下任何测试的一部分 ,以包括可能用于从网络获取信息的远程服务。此更改可以包括 Web 邮件 主机或文件共享网站等服务。

    BB:网络定义:DMZ 地址

    编辑 本地网络测试的和时间 ,以包括被视为网络 DMZ 一部分的网络。

    BB:端口定义:授权 L2R 端口

    编辑 目标端口以及何时是以下测试之一 ,以包括网络上允许的公共出站端口。

    BB:网络定义:观察列表地址

    编辑 本地网络,以及何时 将远程网络包含在关注列表中。此更改有助于识别来自观察列表上的主机的事件。

    BB:误报:用户定义的服务器类型误报类别

    编辑此构建块,以包括要视为 BB:主机定义:用户定义服务器类型构建块中定义的主机的任何类别。

    BB:误报:用户定义的服务器类型误报事件

    编辑此构建块,以包括要视为对 BB:主机定义:用户定义服务器类型构建块中定义的主机的任何事件。

    BB:主机定义:用户定义的服务器类型

    编辑此构建块以包含自定义服务器类型的 IP 地址。添加服务器后,必须按照 BB:误报:用户定义的服务器类型误报类别或 BB:误报:用户定义服务器类型误报事件构建块中定义,向此服务器添加任何要视为误报的事件或类别。

    您可以在任何构建块中包含 CIDR 范围或子网,而不是列出 IP 地址。例如,192.168.1/24 包括地址 192.168.1.0 到 192.168.1.255。您还可以在任何 BB:主机定义构建 块中包含 CIDR 范围。

    有关更多信息,请参阅 《瞻博网络安全分析管理指南》。

    使用 QRadar 用例管理器查看您的构建块。从 IBM Security App Exchange 下载应用程序

相关文档