Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

JSA 中的自定义规则

规则(有时称为关联规则)应用于事件、流或攻击,以搜索或检测异常。如果满足测试的所有条件,规则将生成响应。

什么是规则?

自定义规则测试事件、流程和违规,以检测网络中的异常活动。通过使用现有规则测试的 AND 和 OR 组合来创建新规则。

JSA 事件收集器 从本地和远程源收集事件,规范化这些事件,并将它们分类为低级别和高级类别。对于流, JSA 流处理器 从线路读取数据包或从其他设备接收流,然后将网络数据转换为流记录。每个 事件处理器 处理来自 JSA 事件收集器的事件或流数据。 事件处理器 检查并关联信息,以指示行为更改或违反策略的行为。自定义规则引擎 (CRE) 处理事件并将其与定义的规则进行比较以搜索异常。满足规则条件时, 事件处理器 将生成在规则响应中定义的操作。CRE跟踪涉及事件的系统,为攻击提供事件并生成通知。

什么是构建基块?

构建基块是不产生响应或操作的测试集合。

构建基块将常用测试分组以构建复杂逻辑,以便可以在规则中重用。构建基块通常会测试 IP 地址、特权用户名或事件名称集合。例如,构建基块可以包含所有 DNS 服务器的 IP 地址。然后,规则可以使用此构建基块。

规则如何运作?

JSA 事件收集器 从本地和远程源收集事件,规范化这些事件,并将其分类为低级别和高级类别。对于流, JSA 流处理器 从线路读取数据包或从其他设备接收流,然后将网络数据转换为流记录。每个 事件处理器 处理来自 JSA 事件收集器的事件或流数据。 流处理器 检查并关联信息,以指示行为更改或策略违规。自定义规则引擎 (CRE) 处理事件并将其与定义的规则进行比较以搜索异常。满足规则条件时, 事件处理器 将生成在规则响应中定义的操作。CRE跟踪涉及事件的系统,为攻击提供事件并生成通知。

攻击是如何从规则创建的?

当事件和/或流满足规则中指定的测试标准时,JSA 将创建冒犯。

JSA 分析以下信息:

  • 传入事件和流

  • 资产信息

  • 已知漏洞

创建攻击的规则确定攻击类型。

治安法官确定罪行的优先级,并根据几个因素分配幅度值,包括事件数量、严重程度、相关性和可信度。

注意:

在测试规则之前测试构建基块。

例如,您有一个构建基块,该构建基块被定义为在高级别事件上触发攻击。日志活动可以显示存在高级别事件,但没有触发任何攻击。发生这种情况的原因是,在测试构建基块时,事件的规模并不高。在测试规则之前,事件的严重程度并没有增加。

一种解决方案是设置规则来检查严重性、可信度和相关性的不同,而不是使用构建基块。