Seqrite XDR 3.0

Generatore di regole

Stampa Friendly, PDF e Email

Panoramica

Migliori Generatore di regole in Seqrite XDR consente di definire una logica di rilevamento personalizzata che valuta
tutti gli eventi generati sulla piattaformaOgni evento in arrivo, comprese le attività di processo, gli eventi dei file,
comunicazioni di rete, operazioni di registro ed eventi di sistema, vengono analizzati in base alle regole create.

Se un evento corrisponde alle condizioni della regola definita, un l'avviso viene generato automaticamente e visualizzato sul
Avvisi pagina. Nei dettagli dell'avviso, puoi visualizzare Nome regola che lo ha innescato.

Le regole ti aiutano a:

  • Genera avvisi attuabili per comportamenti specifici
  • Aumenta la visibilità della tua infrastruttura
  • Prevedere e mitigare gli attacchi
  • Mantenere una traccia forense per le indagini
  • Distinguere gli eventi normali dalle attività dannose

Una volta create, le regole vengono applicate immediatamente in tempo reale e influenzano la generazione di avvisi nell'intero ambiente.

Come funzionano le regole

  • Le regole valutano tutti i tipi di eventi.
  • È possibile creare regole utilizzando indicatori di processo, file, rete, registro e sistema.
  • Le regole possono essere semplici (condizione singola) o complesse (condizione multipla con logica AND/OR).

Flusso di avviso

  1. Viene generato un evento.
  2. L'evento viene valutato in base a tutte le regole attive.
  3. Se abbinato → avviso generato.
  4. L'avviso viene visualizzato nella pagina Avvisi con il nome della regola di attivazione.
  5. Admins/IR può assegnare avvisi e indagare ulteriormente.

Tipi di regole

Regole del sistema

  • Predefinito da Seqrite Labs.
  • Caricato automaticamente per ogni nuovo inquilino.
  • Genera avvisi come regole personalizzate.

restrizioni:

  • Non può essere modificato
  • Non può essere copiato
  • Non può essere eliminato

Permesso: Solo attivazione/disattivazione.

Regole personalizzate

Creati dagli utenti in base ai requisiti specifici del loro ambiente.

È possibile

  • Crea
  • Modifica
  • Copia
  • Elimina
  • Attiva / Disattiva

La disattivazione è utile per le regole che generano falsi positivi o rumore.

Autorizzazioni di accesso

Ruolo È possibile creare/modificare le regole?
Super Admin Si
Responsabile SOC Si
Security Analyst Non
Admin Non
Utente di sola lettura Non

<h2 Whitelisted Rules

L'inserimento nella whitelist consente di sopprimere gli avvisi relativi a comportamenti sicuri noti, mantenendo attiva la regola di rilevamento originale.

Quando inserire nella whitelist?

  • Avvisi ripetuti per processi interni convalidati
  • Marchi IPs o domini utilizzati internamente
  • Modelli legittimi della riga di comando

Puoi inserire nella whitelist i seguenti dati:

  • Nome processo
  • Percorso del processo
  • Riga di comando del processo
  • Protocollo di rete, porta, IP
  • Altri indicatori

Crea una regola di whitelist

Metodo 1 — Da Rule Builder

  1. Seleziona Regole della Whitelist dal menu Generatore di regole.
  2. Clicchi Crea regola.
  3. Specificare gli indicatori e le condizioni desiderati.
  4. Salva la regola della whitelist.

Metodo 2 — Dalla pagina Avvisi

  1. Apri l'avviso.
  2. Clicchi Aggiungi alla lista bianca nel riquadro di destra.
  3. Configurare i campi della whitelist.
  4. Salva.

Interfaccia e filtri del generatore di regole

Filtri disponibili

  • Tutti
  • Nome regola
  • Timestamp
  • Creato da

Selezione della piattaforma

È possibile specificare il sistema operativo di destinazione:

  • Windows
  • macOS
  • Linux

Mappatura MITRE

Ogni regola può essere mappata a elementi correlati Tattiche MITRE and tecnicheQuesti dettagli appaiono in
avvisi generati.

Indicatori supportati

Indicatori di processo

Nome del processo, percorso del processo, riga di comando, nome padre, lunghezza della riga di comando, è un processo del browser?
Il processo è firmato, nome utente, SHA2, MD5, hash e percorsi padre/nonno, autorizzazioni di accesso, cp_event_type, ecc.

Indicatori di file

Nome file, percorso file, SHA2, MD5, tipo file, attributi file, nuovo percorso, hash modificati, ecc.

Indicatori di rete

Protocollo, Porta, IP, URL, Nome di dominio, DNS IPs, Metodo, Tipo di connessione.

Indicatori del registro

Chiave di registro, Valore di registro, Dati del valore di registro.

Campi di sistema

ID evento Windows, campo di interesse.

Operatori supportati

Operatori logici

  • and
  • OR

Operatori di confronto

  • =
  • contiene

Best Practices

  • Utilizzare sempre i suggerimenti a discesa per indicatori e operatori.
  • Aggiungere uno spazio dopo ogni indicatore, operatore, valore e parentesi.
  • Utilizzare le parentesi per strutture di regole complesse.
  • Evitare di digitare manualmente intere espressioni per evitare errori di formattazione.

Creazione di una regola di rilevamento

  1. Clicchi Crea regola.
  2. Invio:
    • Nome regola
    • Gravità
    • Description
    • Tattica e tecnica MITRE
    • Piattaforma (Windows/macOS/Linux)
  3. Selezionare indicatori, operatori e valori dai menu a discesa.
  4. Aggiungere la logica AND/OR secondo necessità.
  5. Visualizza l'anteprima della regola.
  6. Salva la regola.

Regole di esempio

Esempio 1: Comunicazione esterna sospetta

IP = 4.4.4.4 E Porta = 80

Esempio 2: Processo che utilizza la porta di rete

Nome processo = teams.exe E porta = 80

Esempio 3: Attività sospetta di PowerShell

(Nome padre = svchost.exe E Nome processo = powershell.exe) E (La riga di comando del processo contiene start OPPURE La riga di comando del processo contiene add)

Esempio 4: MSI → CMD → Processo figlio sospetto + Persistenza

(Nome del padre principale = msiexec.exe E Nome del padre = cmd.exe) E (Nome del processo = iexplorer.exe OPPURE Nome del processo = reg.exe) E (Il valore del Registro di sistema contiene REGISTRYSOFTWAREMicrosoftWindowsCurrentVersionRun OPPURE Il valore del Registro di sistema contiene REGISTRYSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun)
questa pagina è stata utile?
Si Non