Création de règles de détection personnalisées Passer la navigation

Création de règles de détection personnalisées

Pour répondre aux besoins et exigences de sécurité de votre organisation, vous pouvez utiliser l'éditeur de règles
CylanceOPTICS
pour cloner et modifier les règles de détection disponibles dans la console de gestion, ou vous pouvez créer vos propres règles de détection personnalisées. Vous pouvez utiliser la flexibilité et la logique du moteur d'analyse de contexte (CAE) pour détecter les activités suspectes ou malveillantes, y compris pour surveiller des caractéristiques de comportement générales (par exemple, des fichiers qui utilisent certains modèles de dénomination) ou une série d'événements ciblée (par exemple, un processus avec une empreinte de signature de fichier spécifique qui crée des fichiers et initie des connexions réseau). Les règles de détection personnalisées utilisent le même flux de travail que les règles de détection fournies par
BlackBerry
et vous pouvez configurer des actions de réponse automatisées, des notifications utilisateur et des Playbooks de package pour vos règles personnalisées.
L'éditeur de règles utilise JSON et fournit des outils de validation intégrés. Lorsque vous validez une règle, l'éditeur vérifie la syntaxe pour identifier les éventuels problèmes. Si la règle réussit la vérification de la syntaxe,
CylanceOPTICS
utilise un service CAE pour vérifier qu'elle pourra être compilée et s'exécuter sur un terminal. Si l'un des processus de validation détecte un problème, il fournit des informations sur les erreurs à corriger. Lorsqu'une règle réussit les deux vérifications de validation, vous pouvez la publier et l'ajouter aux jeux de règles de détection.
Cette section fournit des conseils et des informations de référence pour créer vos propres règles CAE. Les règles CAE prennent en charge les données et les filtres suivants :
Élément
Description
Les états définissent le flux d'une règle CAE, ce qui permet à
CylanceOPTICS
d'observer en termes d'état une série d'événements pouvant se produire sur un terminal. Ces états représentent un scénario de type « 1, puis 2, puis 3 » qui peut se produire.
Les fonctions définissent la logique requise pour remplir un état. Cette logique s'applique directement aux opérateurs de champ définis et représente les attributs d'un événement qui se produit sur un terminal (par exemple, « A, et B, et C » ou « A, et B, mais pas C »).
Les opérateurs de champ définissent la méthode d'évaluation des opérandes (extracteurs de valeur de facette). Les opérateurs de champ incluent des actions telles que Égal à, Contient et Est vrai.
Les opérandes sont les valeurs que
CylanceOPTICS
compare. Les opérandes permettent d'extraire des données spécifiques concernant un événement (par exemple, chemins d'accès aux fichiers, hachage des fichiers et noms de processus) et de les comparer à des valeurs littérales (par exemple, chaines, nombres décimaux, valeurs booléennes et nombres entiers).
Les artefacts d'intérêt définissent les artefacts que
CylanceOPTICS
peut cibler lorsqu'il exécute des actions de réponse automatisées (par exemple, l'arrêt de processus, la déconnexion d'utilisateurs ou la suppression de fichiers).
Les chemins d'accès définissent la façon dont le CAE interprète le flux de plusieurs objets d'état dans une règle.
Les filtres réduisent ou étendent la portée d'un état avec un nombre plus ou moins important d'événements à analyser.
Pour résoudre les problèmes de performances dans les environnements qui génèrent un nombre anormalement élevé d'événements (par exemple, des systèmes de serveurs ou des systèmes d'ingénierie logicielle), le CAE prend en charge des règles d'exclusion que vous pouvez utiliser pour exclure certains événements du pipeline de données
CylanceOPTICS
.
CylanceOPTICS
n'analyse pas les événements exclus et ne les enregistre pas. Vous pouvez utiliser les règles d'exclusion préconfigurées disponibles dans la console de gestion, ou utiliser l'éditeur de règles pour créer vos propres règles d'exclusion à l'aide de la même structure JSON que les règles de détection. L'objectif d'une règle d'exclusion est de la satisfaire en fonction des processus que vous souhaitez exclure.
Après avoir publié une règle d'exclusion, vous pouvez l'associer à l'action de réponse aux processus autorisés dans un jeu de règles de détection. Avec cette action de réponse, le CAE exclut automatiquement tous les événements et processus qui correspondent à la logique de la règle associée. Faites preuve de prudence lorsque vous utilisez des règles d'exclusion, car elles peuvent réduire la sécurité globale des terminaux
CylanceOPTICS
.