Filtri degli Eventi di sicurezza

Disponibile in:ENIT

I Filtri sono regole applicate automaticamente agli Alert di sicurezza (eventi).

Gli eventi vengono inviati dal Detection Engine alla Dashboard. Al loro arrivo, tutti i filtri vengono valutati e, se almeno uno corrisponde, l’evento viene contrassegnato come Filtered.

Gli eventi filtrati hanno un badge distintivo nella pagina Eventi e non generano notifiche push.
Rimangono comunque visibili nella Dashboard; non scompaiono mai!

Perché usare i Filtri

L’uso previsto è sopprimere alert in particolari circostanze, ad esempio:

  • Uno scanner di sicurezza come NESSUS che effettua scansioni di porte programmate attiverà gli honeypot. Invece di creare eccezioni sullo scanner, puoi semplicemente sopprimere l’evento.
  • Il Detection Engine invia riepiloghi degli attacchi. Ad esempio, un evento Bruteforce Critical viene generato dopo N tentativi falliti e inviato immediatamente. Al termine dell’attacco, l’Engine invia un riepilogo, ad esempio: “Sequenza di attacco SSH da 10.0.0.100 completata con 200 tentativi totali”. L’alert iniziale è sufficiente per rilevare la minaccia, mentre il riepilogo fornisce informazioni aggiuntive.
  • Soppressione temporanea di tutti gli alert durante l’ispezione degli honeypot. Puoi esplorare gli honeypot, ma molti eventi verranno generati. Questo va contro i nostri TOS con il piano gestito, poiché comporta uno spreco inutile del tempo degli analisti.

Creare un Filtro

I filtri possono essere creati tramite il pulsante “Create Filter” e hanno i seguenti campi:

  • Name, un nome leggibile.
  • Description, che spiega cosa fa il filtro - opzionale.
  • Active/Inactive, spunta per abilitare o disabilitare il filtro.
  • Filter Conditions, la regola vera e propria.

È possibile aggiungere più condizioni al filtro, che seguono la logica standard di comparazione logica.

  • Il “Field” definisce quale parte dell’evento utilizzare: Title, Description o Metadata.
  • L’“Operator” è l’operazione logica usata per confrontare un valore. Può essere: Contains, Equals, Starts with, Ends with o Regex.
  • Il “Value” è ciò contro cui viene valutato l’operatore. Può essere un testo o un regex.

Il primo filtro aggiunto utilizza l’operatore logico IF. Se viene trovata una corrispondenza, l’evento viene sopresso.
I filtri aggiuntivi richiedono un “Logic Operator” esplicito: AND, OR, NOT.

L’evento viene sopresso solo se l’intera espressione logica risulta TRUE.

esempio operatori logici

Gestire i Filtri

Nella sezione principale hai una panoramica rapida dei filtri definiti: il loro nome e descrizione, se sono attivi e quante condizioni contengono.

Oltre alle azioni standard View, Edit e Delete, puoi anche “testare il filtro” cliccando sull’icona accanto alle condizioni o dal Edit modal.
Durante il test, puoi scegliere tra esempi preimpostati o inserire dati personalizzati. Dopo aver eseguito il test, vedrai quali condizioni vengono applicate e il risultato dell’espressione logica.

Ti è stato utile?

Entra nell'Alveare per intelligence sugli attaccanti e webinar sulla cybersecurity - spiegati facilmente da un vero Hacker

Entra nell'Alveare - GratisPrenota una Demo