规则管理概述

最后更新于:

概述

本页面阐述规则管理在网络异常检测中发挥关键作用的原因与方式。通过管理规则,您可有效优化Log360的UEBA引擎,精准监控目标行为。这有助于缩小检测范围,聚焦相关事件从而节省时间与资源,并根据预设条件触发告警。当满足定义条件时,机器学习模型将检测并标记该行为为异常。

规则管理

  • 功能:规则管理功能是一个集中式平台,旨在简化所有规则类型的管理,包括高级威胁分析(ATA)、MITRE、关联分析和用户与实体行为分析(UEBA)。该统一界面消除了在不同工具间切换的需要,为管理安全规则的用户提供无缝高效的体验。
  • 规则管理允许您定义特定用户或实体被标记为异常的条件。机器学习模型首先在训练阶段建立网络中所有用户和实体的基础行为基线,从而能够识别偏离常规行为的异常情况。规则配置为机器学习模型识别这些偏差提供了基础,构成了异常检测逻辑的框架。

规则管理为何对威胁检测至关重要?

每日收集的数百条事件日志中逐条排查既繁琐又近乎不可能。 规则通过锁定环境中特定或广为人知的风险异常行为(如内部攻击、暴力破解、数据窃取等),有效缩小威胁检测范围。规则配置能实现多维度威胁扫描,例如监控常规登录时段、检测特定时间段内异常高频操作、追踪特定文件的修改或访问行为等。

简言之,规则可让安全管理员指定日志监控重点,当特定事件发生时自动触发告警。

预定义规则

本产品内置多组规则,助您快速启动企业网络的威胁检测与安全分析。这些预定义规则针对特权提升、恶意软件指标等常见威胁模式的全部特征量身定制。

从用户角度看,这些规则不仅节省时间,还可作为模板供您克隆并根据组织发展需求创建自定义规则。通过优化事件过滤条件、严重性级别、目标操作等参数,可精细调整异常检测范围。

预定义规则默认以启用状态安装。对于本地部署(OP),无任何限制。但对于按需部署(OD),若超过许可数量,规则将以禁用状态安装。安装时规则启用状态:

  • 安装后,高严重性规则在具备有效许可的情况下默认启用。
  • 需高计算资源的规则也将自动启用。
  • 标准规则默认启用。

规则类型

提供三类规则:

  • 标准规则

    标准规则是基于配置中选择的操作来过滤和识别特定事件的简单规则。

  • 异常规则

    此类规则基于单一事件/操作,采用异常模型进行判断。当指定事件或操作超出配置阈值或违反异常模型定义的条件时触发。

  • 高级规则

    此类规则通过配置一系列顺序事件/操作作为判定标准,实现更广泛的异常检测范围。其设计旨在识别复杂的多步骤攻击模式。

规则管理逻辑如何引导异常检测?

UEBA引擎通过规则管理逻辑以两种方式扫描异常:

  • 实时检测:事件日志收集后立即触发。需启用实时异常检测(RT)功能。
  • 计划日志默认以每小时为间隔进行收集。因此,过去一小时内的所有日志都将被转发进行异常检测。
  • 智能模式:当选择异常操作时,规则默认执行模式将设置为智能模式。

1. 事件采集: 日志收集器实时(或按计划批量)收集事件 日志。

2. 事件排队:对 接收到的事件进行解析后排队待分析。

3. 规则评估: 机器学习模型将对队列中的每个 事件进行分析,并与当前生效的规则集进行比对。异常规则通过规则中配置的异常模型对事件进行测试,而高级规则则包含多个操作或标准,或关联多个操作的序列。

4. 异常检测与风险评分:机器学习模型运用训练阶段建立的行为基准线检测异常事件。当事件与有效规则匹配时,将为相关用户及实体生成风险评分。

通过这种方式,规则管理确保相关异常事件在被记录且符合配置的行为模式与阈值时立即触发响应。

如何配置规则?

配置规则请遵循以下步骤:

  1. 在产品控制台中导航至安全选项卡,系统将跳转至安全分析概览子选项卡。
    Security tab in dashboard
    图1:仪表板中的安全选项卡
  2. 点击子选项卡功能区最右侧的"管理规则"按钮。
    Manage rules in security dashboard
    图2:安全仪表板中的规则管理界面
  3. 随后将进入规则管理模块。此处是集中管理规则创建、编辑等操作的核心枢纽。
    Manage rules module via the security dashboard
    图3:通过安全仪表板进入规则管理模块

使用案例

基于模板的新团队规则覆盖入职流程

使用场景

当具有相似业务流程的新业务单元接入组织云环境时。

通过高效规则管理

管理员可克隆预定义规则(如"异常登录位置"或"登录失败"),针对新用户及实体进行定制化调整后激活规则。规则生效后将依据配置逻辑实时监控活动,在加速部署的同时确保全组织监控标准的统一性。

检测账户接管企图 - 权限提升

使用场景

具有只读权限的用户突然参与管理员级操作,例如修改用户权限或安全设置。

通过高效规则管理

可激活预定义的权限提升关联规则,并根据设备类型或基于角色的用户组等过滤条件进行定制化调整,以此监控此类权限使用异常激增现象——这可能是潜在的内部威胁。机器学习模型通过对比用户常规行为基线来标记此类活动,实现快速修复。

针对关键角色或系统的精准异常检测

应用场景

财务部门作为组织的核心环节,需要高度关注和审查。

例如:非工作时间访问薪资文件

场景A- 异常规则:销售用户尝试访问薪资文件。

场景B- 高级规则:销售用户在非工作时间尝试访问薪资文件。

通过有效的规则管理

安全管理员可配置针对特定角色的规则,并重点监控财务部门的异常活动。

机器学习引擎根据角色制定基准行为模型,在异常检测中融入情境准确性。

另请参阅

本文阐述了规则管理如何优化异常检测:从使用预定义规则到针对复杂攻击模式配置高级规则。