Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

创建自定义规则

JSA 包括检测各种活动的规则,包括拒绝防火墙过多、多次登录失败和潜在僵尸网络活动。您还可以创建自己的规则来检测异常活动。

开始创建新规则之前,必须具有 攻击>Maintain 自定义规则 权限。

定义规则测试时,测试最小数据。这种方式的测试有助于规则测试性能,并确保您不会创建昂贵的规则。要优化性能,请从通过规则测试缩小评估数据范围的广泛类别开始。例如,从特定日志源类型、网络位置、流源或上下文(R2L、L2R、L2L)的规则测试开始。任何中级测试可能包括 IP 地址、端口流量或任何其他相关测试。该规则必须最后测试有效负载和 regex 表达式。

类似规则按类别分组。例如,审计、漏洞利用、DDoS、Recon 等。从组中删除项目时,规则或构建块只会从组中删除;它仍可在 “规则” 页面上找到。删除某个组时,该组的规则或构建块仍然可在 “规则” 页面上可用。

  1. 攻击日志活动网络活动选项卡中,单击规则
  2. 显示列表中选择规则来创建新规则。
  3. 显示列表中选择构建块以使用构建块创建新规则。
  4. Actions 列表中选择规则类型。

    每个规则类型都实时测试来自不同来源的传入数据。例如,事件规则测试传入日志源数据和攻击规则测试攻击的参数以触发更多响应。

  5. 规则测试堆栈编辑器页面上,在规则窗格中,键入要在“应用”文本框中分配给此规则的独特名称。
  6. 从列表框中选择本地全局
    • 如果选择 本地,则所有规则均在收到 的事件处理器 上处理,并且仅针对本地处理的事件创建攻击。

    • 如果选择 Global,所有匹配事件都会发送到 JSA 控制台 进行处理,因此 JSA 控制台 将使用更多的带宽和处理资源。

    详细了解本地和全局规则:

    全局规则测试

    使用全局规则检测 多个用户登录故障 ,其中该用户的事件可能会出现在多个事件处理器上。例如,如果在同一用户名的 10 分钟内配置了 5 次登录故障的 本地 规则,则所有 5 个登录故障都必须显示在同一事件处理器上。因此,如果一个事件处理器上有三个登录故障,另一个处理器上有 2 个故障,则不会生成任何攻击。但是,如果将此规则设置为 Global,则会产生攻击。

  7. Test Group 列表中,选择要添加到此规则的一个或多个测试。CRE 评估规则按顺序逐行测试。评估了第一个测试,如果是这样,将评估下一行,直至达到最终测试。

    了解有关为未检测到的事件使用规则的更多信息:

    可以单独触发以下规则测试,但是不会对同一规则测试堆栈中的后续规则测试采取行动。

    • 当这些日志源类型中没有检测到事件时,时间会超过 9 秒

    • 当这些日志源中一个或多个未检测到事件时,时间会超过 9 秒

    • 当这些日志源组中一个或多个日志源组没有检测到事件时,时间会超过 9 秒

    这些规则测试不会由传入事件激活,而是在您配置的特定时间间隔未看到特定事件时激活。JSA 使用观察者任务,定期查询最后一次发现事件(最后一次看到时间),并在此时间存储事件,以供每个日志来源使用。当上次看到的时间与当前时间之间的差异超过规则中配置的秒数时,将触发规则。

  8. 要导出配置为构建块的规则以与其他规则配合使用,请单击“导出为构建块”。
  9. 规则响应 页面上,配置希望此规则生成的响应。

    详细了解规则响应页面参数:

    表 1:事件、流和通用规则以及攻击规则响应页面参数

    参数

    描述

    严重性

    选择此复选框可为事件分配严重性级别,其中最低为 0,最高 10。事件详细信息的 注释 窗格中显示严重性。

    信誉

    选择此复选框以为日志源分配可信度。例如,日志源是否嘈杂或昂贵?范围为 0(最低)至 10(最高),默认为 10。活动详细信息的 注释 窗格中显示可信度。

    关联

    选择此复选框以分配与资产重量相关性。例如,您对资产的关心程度如何?范围为 0(最低)至 10(最高),默认为 10。相关性显示在事件详细信息的 注释 窗格中。

    绕过进一步规则关联事件

    选择此复选框以匹配事件或流,以绕过规则引擎中的所有其他规则并防止其产生攻击。此事件写入存储以进行搜索和报告。

    调度新活动

    选择此复选框,除了原始事件或流之外,还调度新事件,如系统中所有其他事件一样进行处理。

    使用原始事件调度新事件,并像系统中的所有其他事件一样进行处理。

    选择此复选框时,将显示 调度新事件 参数。默认情况下,复选框已清除。

    电子邮件

    选择此复选框以从管理员选项卡上的系统设置更改电子邮件本地设置。

    发送至本地 Syslog 选择此复选框以在本地记录事件或流量。默认情况下,此复选框已清除。
    注意:

    只有标准化事件才能在设备上本地记录。如果您想发送原始事件数据,则必须使用“发送至转发目标”选项将数据发送至远程系统日志主机。

    发送至转发目标

    选择此复选框以记录转发目标上的事件或信息流。

    转发目标为供应商系统,例如 SIEM、工单或警报系统。选择此复选框时,将显示转发目标列表。

    要添加、编辑或删除转发目标,请单击 Manage Destination 链接。

    通知

    选择此复选框以显示在 Dashboard 选项卡上的系统通知项目中因此规则而生成的事件。

    如果启用通知,请配置 响应限制器 参数。

    添加到参考集

    选择此复选框,将因此规则而生成的事件添加至参考集。您必须是管理员才能将数据添加至参考集。

    要将数据添加至参考集,请遵循以下步骤:

    1. 从第一个列表中选择您要添加的事件或流的属性。

    2. 从第二个列表中选择要添加指定数据的参考集。

    添加到参考数据

    要使用此规则响应,必须创建参考数据收集。

    从参考集中移除

    选择此复选框以从参考集中移除数据。

    要从参考集中移除数据:

    1. 从第一个列表框中选择要删除的事件或流的属性。选项包括所有标准化或自定义数据。

    2. 从第二个列表框中选择要从中移除指定数据的参考集。

    从 Reference Set 规则响应中移除提供以下功能:

    刷新:单击 刷新 以刷新第一个列表框,确保列表为当前。

    从参考数据中删除

    要使用此规则响应,必须有参考数据收集。

    执行自定义操作

    选择此复选框以编写脚本,执行针对网络事件的特定操作。例如,您可以编写脚本来创建防火墙规则,该规则可以阻止网络中的特定源 IP 地址,以响应重复的登录故障。

    您可使用 Admin 选项卡上的“定义操作”图标来添加和配置自定义操作。

    响应限制器

    选择此复选框以配置希望此规则响应的频率。

    SNMP 通知可能类似于以下示例:

    "Wed Sep 28 12:20:57 GMT 2005, Custom Rule Engine Notification - Rule ’SNMPTRAPTst’ Fired. 172.16.20.98:0 -> 172.16.60.75:0 1, Event Name: ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited, QID: 1000156, Category: 1014, Notes: Offense description"

    syslog 输出可能类似于以下示例:

    Sep 28 12:39:01 localhost.localdomain ECS: Rule ’Name of Rule’ Fired: 172.16.60.219:12642 -> 172.16.210.126:6666 6, Event Name: SCAN SYN FIN, QID: 1000398, Category: 1011, Notes: Event description

要验证事件是否基于构建块触发规则测试,您可以创建电子邮件响应。