JSA のカスタム ルール
相関ルールと呼ばれるルールは、イベント、フロー、攻撃に適用され、異常を検索または検出します。テストのすべての条件が満たされた場合、ルールは応答を生成します。
ルールとは
カスタムルールは、イベント、フロー、攻撃をテストし、ネットワーク内の異常なアクティビティを検出します。既存のルール テストの AND と OR の組み合わせを使用して、新しいルールを作成します。
JSA イベント コレクターは、 ローカルおよびリモートのソースからイベントを収集し、これらのイベントを正規化して、低レベルおよび高レベルのカテゴリーに分類します。フローの場合、 JSA Flow Processor は ワイヤからパケットを読み取るか、他のデバイスからフローを受信し、ネットワーク データをフロー レコードに変換します。各 イベント プロセッサーは 、 JSA イベント コレクターのイベントまたはフロー データを処理します。 イベント プロセッサーは情報を 調べて相互に関連付けて、動作の変更やポリシー違反を示します。カスタムルールエンジン(CRE)は、イベントを処理し、それらを定義されたルールと比較して異常を検索します。ルール条件が満たされると、 イベント プロセッサー はルール応答で定義されたアクションを生成します。CREは、インシデントに関与するシステムを追跡し、イベントを攻撃に貢献し、通知を生成します。
構成要素とは
構成要素とは、応答やアクションが発生しないテストの集まりです。
構成要素グループは、一般的にテストを使用して複雑なロジックを構築し、ルールで再利用できるようにします。ビルディングブロックは、多くの場合、IPアドレス、特権ユーザー名、またはイベント名のコレクションをテストします。たとえば、構成要素には、すべての DNS サーバーの IP アドレスを含めることができます。ルールはこのビルディングブロックを使用できます。
ルールの仕組み
JSA イベント コレクターは、 ローカルおよびリモートのソースからイベントを収集し、これらのイベントを正規化して、低レベルおよび高レベルのカテゴリーに分類します。フローの場合、 JSA Flow Processor は ワイヤからパケットを読み取るか、他のデバイスからフローを受信し、ネットワーク データをフロー レコードに変換します。各 イベント プロセッサーは 、 JSA イベント コレクターのイベントまたはフロー データを処理します。 フロー プロセッサは情報を 調べて相互に関連付けて、動作の変更やポリシー違反を示します。カスタムルールエンジン(CRE)は、イベントを処理し、それらを定義されたルールと比較して異常を検索します。ルール条件が満たされると、 イベント プロセッサー はルール応答で定義されたアクションを生成します。CREは、インシデントに関与するシステムを追跡し、イベントを攻撃に貢献し、通知を生成します。
ルールから攻撃はどのように作成されるのですか?
JSA は 、イベント、フロー、またはその両方がルールで指定されたテスト基準を満たすと、攻撃を作成します。
JSA は 、以下の情報を分析します。
受信イベントとフロー
アセット情報
既知の脆弱性
攻撃を作成したルールが、攻撃タイプを決定します。
判事は攻撃に優先順位を付け、イベントの数、重大度、関連性、信頼性など、複数の要因に基づいて規模の値を割り当てます。
構成要素は、ルールがテストされる前にテストされます。
たとえば、規模の大きいイベントに対する攻撃をトリガーするために定義されたビルディングブロックがあります。ログ アクティビティは、規模の大きいイベントがあったことを示すことができますが、攻撃はトリガーされませんでした。これは、構成要素のテスト時にイベントの規模が大きくないために発生する可能性があります。ルールがテストされるまで、イベントの規模は増えませんでした。
解決策の1つは、ビルディングブロックを使用するのではなく、重大度、信頼性、関連性の違いをチェックするルールを設定することです。