Haga clic aquí para expandir

Entendiendo la correlación

¿Qué es la correlación?

La correlación es el proceso de identificar una secuencia de múltiples eventos, en uno o más dispositivos, que están todos relacionados y forman un solo incidente grande. La razón principal por la que la correlación es tan útil es porque, en muchos casos, los eventos individuales pueden no parecer sospechosos por sí mismos, pero cuando se toman en relación con los otros eventos, surge una imagen más amplia que apunta a un posible incidente de seguridad.

Por ejemplo, los dos eventos "el empleado inicia sesión en el dispositivo A" y "el empleado inicia sesión en el dispositivo B" parecen perfectamente normales.

Sin embargo, "el mismo empleado inicia sesión en dos dispositivos diferentes (Dispositivo A y Dispositivo B) casi al mismo tiempo " puede indicar un posible incidente de uso compartido de la cuenta.

¿Qué es una regla de correlación?

Una regla de correlación es un patrón o una plantilla que se utiliza para relacionar varios registros e identificar un incidente de seguridad. La regla especifica una serie de eventos que conforman un incidente más grande, la ventana de tiempo entre eventos y condiciones específicas, si las hubiera. A continuación, se ilustran los diversos parámetros que se pueden especificar en una regla de correlación:

  • Regla de correlación: una regla de correlación es una secuencia ordenada de acciones de red.
  • Acciones: una acción corresponde a un registro de red. Contiene varios campos con valores únicos como nombre de usuario, nombre del dispositivo, etc.
  • Ventana de tiempo entre acciones: Cada acción debe seguir a la acción anterior dentro de una ventana de tiempo especificada.
  • Umbral para una acción (opcional): una sola acción puede tener que ocurrir varias veces de forma continua para que una regla específica se cumpla. Se puede especificar un umbral para el número mínimo de repeticiones que deben observarse dentro de la ventana de tiempo especificada.
  • Filtros para una acción (opcional): Se pueden imponer condiciones en los campos dentro de cada acción, con el uso de filtros.

Para obtener más información sobre cómo construir una regla de correlación con estos parámetros, consulte Construcción de reglas de correlación personalizadas .

Ejemplo:

Regla de correlación: fuerza bruta

Un ataque de fuerza bruta ocurre cuando un atacante intenta obtener acceso a un dispositivo en su red, probando varias credenciales de inicio de sesión hasta que una tenga éxito. Se caracteriza por varios inicios de sesión fallidos en un dispositivo, seguidos de un inicio de sesión exitoso:

Patrón general: Inicio de sesión fallido -> Inicio de sesión fallido -> Inicio de sesión fallido -> (...) -> Inicio de sesión exitoso (todo en unos pocos minutos, en el mismo dispositivo)

Patrón específico: al menos 10 inicios de sesión fallidos en un solo dispositivo en 2 minutos -> (en el próximo 1 minuto) -> Inicio de sesión exitoso en el mismo dispositivo

Por lo tanto, la regla se puede configurar de la siguiente manera:

Acción 1: Inicio de sesión fallido: un empleado no puede iniciar sesión en un dispositivo de red.

  • Umbral: esta acción debe ocurrir un mínimo de 10 veces en 2 minutos.
  • Filtros: el nombre del dispositivo debe ser el mismo para todas las apariciones de la Acción 1.

Ventana de tiempo entre Acción 1 y Acción 2: 1 minuto

Acción 2: Inicio de sesión exitoso: un empleado inicia sesión en un dispositivo de red.

  • Umbral: Ninguno.
  • Filtros: el nombre del dispositivo debe ser el mismo que el nombre del dispositivo de la Acción 1.

Comparación entre reglas de correlación y perfiles de alerta

  • Una regla de correlación especifica uno o más eventos que ocurren en uno o más dispositivos. Un perfil de alerta solo puede especificar un solo evento, de un solo tipo de dispositivo.
  • Una regla de correlación proporciona más poder que un perfil de alerta para definir un escenario. Como una regla de correlación puede incluir más de un evento, le permite especificar el orden de los eventos, las ventanas de tiempo entre eventos y hacer uso de varias condiciones.
  • Los límites de umbral se pueden especificar tanto en las reglas de correlación como en los perfiles de alerta. Sin embargo, mientras que una regla de correlación puede verificar que el valor de un campo específico es el mismo en todas las repeticiones de una acción, un perfil de alerta no puede.

Mejores prácticas para la correlación

  • La correlación es un proceso que requiere mucha memoria. Si habilita el motor de correlación, asegúrese de habilitar / crear reglas solo para los casos de uso comercial más importantes.
  • Antes de crear una nueva regla, asegúrese de que la misma regla no se pueda crear como un perfil de alerta. Configure su caso de uso como un perfil de alerta en lugar de una regla de correlación, si su respuesta es "sí" a todos los elementos de la siguiente lista de verificación:
    • Su caso de uso consta de una sola acción.
    • Solo necesita especificar los dispositivos a los que se aplica el caso de uso y no es necesario verificar un valor específico para otros campos (como el nombre de usuario).
    • En caso de que especifique un valor de umbral para la acción, no necesita verificar un valor de campo constante para ningún campo (nombre de usuario, nombre del dispositivo, etc.).
  • Revise periódicamente la lógica de sus reglas de correlación. Si alguna regla genera demasiados falsos positivos, puede ajustar los parámetros de la regla para reducirlos.

Para saber más sobre la correlación, consulte las siguientes páginas:

  1. Administrar reglas de correlación
  2. Actividad de la sesión
  3. Ver los últimos 10 incidentes
  4. Crear reglas de correlación personalizadas

Algunos ejemplos

Regla de correlación: bloqueos excesivos de aplicaciones (Windows)

Una serie de fallas de aplicaciones en un dispositivo durante un período de tiempo corto puede indicar un dispositivo defectuoso. Además, esta verificación no debe aplicarse a un dispositivo específico llamado "Dispositivo-1234", ya que se utiliza para realizar pruebas de bloqueo de aplicaciones y puede generar demasiados falsos positivos.

Flujo de acción general: bloqueo de la aplicación -> bloqueo de la aplicación -> (...) -> bloqueo de la aplicación (todo en unas pocas horas en un solo dispositivo, no aplicable a Device-1234)

Flujo de acción específico: al menos 5 aplicaciones se bloquean en un solo dispositivo en 180 minutos (excepto para Device-1234)

Por lo tanto, la regla se puede configurar de la siguiente manera:

Acción 1: bloqueo de la aplicación: una aplicación se bloquea en un dispositivo Windows.

  • Umbral: esta acción debe ocurrir un mínimo de 5 veces en 180 minutos.
  • Filtros:
    • El nombre del dispositivo debe ser el mismo para todas las apariciones de la Acción 1.
    • El nombre del dispositivo no debe ser igual a Device-1234.

Regla de correlación: posibles actividades de ransomware (Windows)

Un ataque de ransomware generalmente progresa con un proceso recién iniciado que modifica varios archivos en un dispositivo de red (para cifrarlos). Puede identificarse con un proceso que se está iniciando, seguido poco después de múltiples modificaciones de archivo.

Flujo de acción general: Proceso iniciado -> Archivo modificado -> Archivo modificado -> (...) -> Archivo modificado (todo en unos pocos minutos, en el mismo dispositivo)

Flujo de acción específico: Proceso iniciado -> (dentro de los próximos 5 minutos) -> Al menos 15 modificaciones de archivo en el mismo dispositivo, por el mismo proceso

Por lo tanto, la regla se puede configurar de la siguiente manera:

Acción 1: Proceso de Windows iniciado: se inicia un proceso en Windows.

  • Umbral: Ninguno.
  • Filtros: Ninguno

Ventana de tiempo entre Acción 1 y Acción 2: 5 minutos

Acción 2: Archivo modificado : se modifica un archivo en un dispositivo Windows.

  • Umbral: 15 veces en 30 minutos.
  • Filtros:
    • El nombre del dispositivo debe ser el mismo para todas las apariciones de la Acción 2.
    • El nombre del proceso debe ser el mismo para todas las apariciones de la Acción 2.
    • El nombre del dispositivo debe ser el mismo que el nombre del dispositivo de la Acción 1.
    • El nombre del proceso debe ser el mismo que el nombre del proceso de la Acción 1.
Obtener enlace de descarga