Eventi legittimi
Come qualsiasi sistema di rilevamento di attacchi, Seer Box non è infallibile.
Per evitare falsi positivi, puoi contrassegnare come legittimi gli elementi associati alle tue applicazioni. In questo modo, il sistema eviterà di rilevare ulteriori eventi dannosi su tali elementi.
A differenza delle Regole Applicative e Regole di Rete, gli eventi Legittimi non vengono tradotti o sincronizzati con firewall esterni. Vengono invece utilizzati internamente da Seer Box per confrontarli con le specifiche degli alert.
Un evento Legittimo è composto da più campi generici e definisce un insieme di condizioni.
L'elenco degli eventi Legittimi è disponibile alla pagina Detection - Legitimate.
| Campo | Descrizione |
|---|---|
| Status | Indica se un evento è abilitato o meno, l'utente relativo all'ultimo aggiornamento e relativo timestamp. |
| ID | L'UID dell'evento (i primi 8 caratteri per una migliore leggibilità) e, opzionalmente, la descrizione. |
| Context | Rappresenta il contesto applicativo dell'evento, che può essere un Host specifico, un Domain Group oppure applicarsi a entrambi. |
| Attack type | Limita le corrispondenze agli alert dello stesso tipo di attacco. |
Condizioni
Gli elementi delle condizioni sono già stati descritti nella sezione Application Rule.
Oltre agli operatori definiti nelle Regole applicative, gli eventi Legittimi definiscono anche:
| Operatore | Tipo di confronto | Descrizione |
|---|---|---|
All expressions | - | Corrisponde a ogni valore dei target specificati |
None expression | - | Non corrisponde mai |
Gestione degli eventi Legittimi
La gestione degli eventi Legittimi è consentita agli utenti nel gruppo admin o agli utenti appartenenti a un gruppo che ha il permesso Handle rules associato al gruppo di domini a cui appartiene l'evento.
Creare un evento Legittimo
Oltre a creare uno o più eventi dalla pagina dei dettagli dell'alert con la funzione Advanced Protection, è possibile creare eventi personalizzati.
Dall'interfaccia web di Seer Box
-
Accedi alla pagina
Detection - Legitimate: in questa sezione puoi visualizzare l'elenco di tutti gli eventi legittimi creati. -
Per creare un evento personalizzato, clicca sul pulsante
Add rulenell'angolo in alto a destra della pagina. -
Verrà visualizzato un wizard che ti permetterà di creare un evento Legittimo. Per maggiori dettagli sul wizard, consulta la sezione Wizard di creazione più in basso.
-
Dopo aver inserito i dati, è possibile cliccare sul pulsante
Save ruleper confermare la creazione.
Il nuovo evento Legittimo apparirà nella pagina di riepilogo.
Wizard di creazione
Il wizard di creazione è strutturato in più fasi.
1. Impostare il Context della regola
Puoi scegliere il contesto applicativo in cui si desidera limitare l'evento.
Le opzioni sono:
| Opzioni | Descrizione |
|---|---|
| Host | L'evento verrà applicato solo a host specifici. Selezionando più host, verranno create più eventi. |
| Domain Groups (o Services) | L'evento verrà applicato dinamicamente agli host appartenenti ai domain group specifici. Selezionando più gruppi di dominio, verranno creati più eventi. |
| All hosts and domain groups | L'evento verrà applicato per ogni host. |
2. Definire le Condizioni
Puoi creare più condizioni selezionando un operatore, i target e le espressioni.
In questo caso, le condizioni verranno confrontate con le Alert specifications, permettendoti di prevenire che un determinato alert con uno specifico pattern venga sollevato nuovamente.
Un evento necessita di almeno una condizione per essere creato.
Se un evento Legittimo non specifica una condizione per un determinato campo di specifica, esso corrisponderà sempre. Vedi Eventi legittimi n.2 negli esempi qui sotto.
L'unica eccezione riguarda il campo Target: un evento Legittimo dovrà sempre impostare una condizione su di essa per corrispondere all'Alert specifico. Vedi Evento legittimo n.4 negli esempi qui sotto.
3. Impostare il tipo di Attacco
Puoi scegliere di limitare l'evento Legittimo solo agli Alert con un tipo di attacco specifico.
In questo caso, anche se il contesto e tutte le condizioni corrispondono, se l'Alert dovesse appartenere ad una differente tipologia di attacco, l'evento non corrisponderà.
4. Impostare la descrizione
Puoi aggiungere una breve descrizione alla regola per identificare rapidamente il motivo per cui è stata creata.
Modificare un evento Legittimo
Quando si aggiorna un evento, tutti i campi possono essere modificati. Nello specifico:
- Campi generici
- Condizioni
Quando si modificano i campi generici di un evento legittimo, i nuovi valori sovrascriveranno sempre quelli esistenti.
Quando si modificano le condizioni di un evento legittimo, gli utenti possono scegliere tra tre opzioni di aggiornamento:
- Aggiungere condizioni alla definizione dell'evento: aggiungi una o più nuove condizioni alla definizione dell'evento.
- Se una condizione non esiste già, verrà aggiunta.
- Se una condizione esiste già, rimarrà invariata.
- Sostituire condizioni alla definizione dell'evento: aggiorna una o più condizioni alla definizione dell'evento.
- Se una condizione esiste già, verrà sovrascritta con la nuova condizione.
- Se una condizione non esiste, verrà aggiunta.
- Eliminare condizioni dalla definizione dell'evento: rimuovi una o più condizioni alla definizione dell'evento.
- Se una condizione esiste, verrà rimossa.
- Se una condizione non esiste, non verranno apportate modifiche.
Dall'interfaccia web di Seer Box
-
Accedi alla pagina
Detection - Legitimate: in questa sezione puoi visualizzare l'elenco di tutti gli eventi legittimi creati. -
Cliccare sul bottone
Editcon l'icona di una matita posizionato sull'estremità destra dell'evento legittimo che si vuole modificare. -
Modificare i campi scelti.
-
Cliccare sul bottone
Savenell'angolo in alto a destra della pagina.
Eliminare un evento Legittimo
Dall'interfaccia web di Seer Box
-
Accedi alla pagina
Detection - Legitimate: in questa sezione puoi visualizzare l'elenco di tutti gli eventi legittimi creati. -
Seleziona una o più eventi da eliminare cliccando sulla casella di controllo situata all'estremità sinistra di ciascun elemento.
-
Non appena almeno un record è selezionato, il pulsante con l'icona del cestino verrà abilitato nell'angolo in alto a destra dell'elenco degli eventi.
-
Facendo click sull'icona verrà visualizzata una modale che conferma l'opzione. Clicca sul pulsante
Confirmper procedere.
Esempi
Questa sezione mostra come puoi creare diversi eventi Legittimi per corrispondere a specifiche di alert particolari.
Specifiche degli Alert
| Request Host | Path | Parameter key | Target | Payload |
|---|---|---|---|---|
| www.example.it | /legitimate/path | test | Parameter value | legit |
Evento legittimo n.1
MatchQuesto evento corrisponderà esattamente a ciascun campo di specifica.
Contesto ~ Host: www.example.it
| Targets | Operatore | Espressioni |
|---|---|---|
| path | Is equal | /legitimate/path |
| parameter_key | Is equal | test |
| parameter_value | Is equal | legit |
Evento legittimo n.2
MatchQuesto evento non specifica un contesto ed è generalizzata rispetto alla chiave specifica del parametro (non fornisce una condizione per essa, quindi corrisponde a ogni chiave di parametro).
Contesto ~ Tutti gli host e i gruppi di domini
| Targets | Operatore | Espressioni |
|---|---|---|
| path | Contains | legitimate |
| parameter_value | Starts with | legit |
Evento legittimo n.3
Not matchQuesto evento non specifica un contesto ed è generalizzata rispetto al percorso specifico, ma specifica una chiave di parametro che non corrisponde alle specifiche dell'alert.
Contesto ~ Tutti gli host e i gruppi di domini
| Targets | Operatore | Espressioni |
|---|---|---|
| parameter_key | Match charset | Digits |
| parameter_value | Is equal | legit |
Evento legittimo n.4
Not matchQuesto evento non specifica una condizione sul campo Target delle specifiche dell'Alert, quindi, anche se il contesto e le altre condizioni corrispondono, l'evento non corrisponderà.
Contesto ~ Tutti gli host e i gruppi di domini
| Targets | Operatore | Espressioni |
|---|---|---|
| parameter_key | Is equal | test |