Skip to content

Documentație

Modulul Alerte

Modulul Alerte din CYBERQUEST oferă un sistem flexibil și personalizabil pentru monitorizarea evenimentelor. Utilizatorii pot defini criterii specifice pentru a declanșa alerte…

Crearea alertelor

Introducere în modulul Alerte

Modulul Alerte din CYBERQUEST oferă un sistem flexibil și personalizabil pentru monitorizarea evenimentelor. Utilizatorii pot defini criterii specifice pentru a declanșa alerte adaptate nevoilor lor, sporind acuratețea și minimizând rezultatele fals-pozitive. Configurațiile alertelor sunt gestionate prin secțiunea Alerts din meniul Settings.

Setările de personalizare pentru fiecare opțiune sunt explicate în secțiunile următoare.

Cum se creează alerte noi

Această secțiune descrie procesul de configurare a unor alerte noi în CYBERQUEST. Definirea unor criterii de alertare personalizate permite monitorizarea proactivă a evenimentelor critice și reacția promptă la potențiale probleme de securitate. Pașii următori ghidează configurarea alertelor adaptate nevoilor organizaționale.

Pentru a crea o alertă nouă, urmați acești pași:

Pasul 1. Autentificare

Deschideți un browser web și introduceți adresa aplicației sau numele DNS. În mod implicit, Interfața Web este accesibilă la https://CyberquestIPAddress (exemplu).

Browserul vă va redirecționa apoi automat către pagina de autentificare a CYBERQUEST:

Pasul 2. Navigare la Alerts

Navigați la meniul Settings și selectați Alerts > Realtime. Pagina de personalizare Alerts se va deschide în cadrul interfeței modulului Alerts.

Pasul 3. Crearea unei noi definiții de alertă

Pe pagina “Alerts”, selectați butonul “Create new alert definition” pentru a crea o alertă nouă.

Pasul 4. Completarea formularului

Completați formularul cu informațiile corespunzătoare și apăsați butonul “Save Alert & Exit”:

Alert Name: Specifică numele noii alerte.

Alert Active: Activați caseta de selectare ALERT ACTIVE pentru a activa alerta sau dezactivați-o pentru a dezactiva alerta.

Default Deduplication: Acest comutator activează sau dezactivează deduplicarea automată pentru alertă. Atunci când este activat, sistemul va suprima declanșările duplicate ale alertei pe baza unor tipare de evenimente repetate sau similare în cadrul aceleiași logici a regulii. Acest lucru ajută la prevenirea generării mai multor alerte pentru aceeași cauză de bază. Atunci când este dezactivat, toate evenimentele care se potrivesc vor declanșa alerte individual, indiferent de duplicare.

Time Frame TTL(sec.) : Definește durata (în secunde) pentru care alerta rămâne activă după ce a fost declanșată.

Security Score: Setează scorul de securitate de bază pentru alertă atunci când este declanșată. Scorul real-time se ajustează dinamic pe baza regulilor definite și a numărului de evenimente asociate, dar nu poate scădea sub valoarea de bază și nici nu poate depăși 100.

Security Level: Funcționează similar cu scorul de securitate, cu o codificare cromatică corespunzătoare pentru a indica nivelurile de gravitate.

Sent as Alert: Atunci când este debifat, alerta rămâne activă, dar nu generează notificări vizibile. Această opțiune permite corelarea în backend a analizei anomaliilor pe parcursul mai multor evenimente, declanșatoare și alerte. Se comportă similar cu caseta de selectare ALERT ACTIVE.

Activați caseta de selectare Has Action pentru a asocia alerta fie cu un script, fie cu acțiuni automate predefinite. Poate fi creat și aplicat un singur script personalizat, iar acesta este întotdeauna evaluat ultimul, suprascriind celelalte reguli din logica alertei.

Permite configurarea deduplicării alertei atunci când Has Action este activă. Alertele sunt grupate pe baza câmpurilor selectate și a unui interval de timp definit.

Send via Email: Activați această casetă de selectare pentru a trimite notificarea de alertă prin e-mail destinatarilor definiți.

Notification Template: Selectați un șablon de notificare pentru alertă. Opțiunile includ șabloane integrate și personalizate. Selecția implicită este „Default notification.”

Secțiunea Rules

Regulile definesc comportamentul detaliat al alertei, de la condiții pentru un singur eveniment până la corelări complexe între mai multe evenimente, inclusiv ordinea evenimentelor și corelarea cu lipsa unui eveniment dintr-o succesiune logică de evenimente.

  • Previous: Navigați la condiția de alertă anterioară.

  • Next: Navigați la următoarea condiție de alertă.

  • Add Rule: Adaugă o regulă nouă. Regula este configurată în panoul Rule Settings din dreapta.

Panoul Rule Settings

Acest panou facilitează definirea logicii fiecărei reguli. Logica regulii constă din condiții de câmp, de raport și de corelare, combinate cu ajutorul operatorilor logici AND, OR și NOT.

Fiecare regulă include:

  • Description: Furnizați detalii despre comportamentul regulii sau despre condițiile pe care le monitorizează.

  • Add field condition: Selectați un câmp de eveniment din meniul derulant, alegeți operatorul corespunzător și introduceți valoarea de comparat.

  • Add report condition: Selectați un raport din lista derulantă cu rapoartele existente pentru a-l include drept condiție.

  • Delete: Eliminați o anumită condiție a regulii.

La adăugarea condițiilor unei reguli, un operator logic este inserat automat pentru a corela noua condiție cu cea anterioară. Operatorul implicit este AND. Faceți clic pe comutatorul AND pentru a comuta între AND și OR.

Dacă lanțul logic o impune, un operator NOT este disponibil sub formă de casetă de selectare. În mod implicit, acesta nu este selectat. Faceți clic pe NOT pentru a activa operatorul.

Alerte în timp real

Personalizarea alertelor în timp real

Pentru a accesa setările alertelor în timp real, mergeți la Settings > Alerts > Realtime. Aceasta deschide pagina de personalizare Alerts din cadrul modulului Alerts. Toate definițiile de alertă existente sunt afișate și pot fi editate, șterse, clonate sau exportate ca CQO.

Faceți clic pe butonul “Create Alert” pentru a crea o nouă definiție de alertă. Se va deschide fereastra Alert Settings, care permite crearea unei alerte personalizate adaptate cerințelor specifice. Această fereastră are aceleași funcționalități ca interfața de editare a alertelor, detaliată ulterior în acest capitol.

Faceți clic pe butonul “Import” pentru a importa o definiție de alertă dintr-un fișier CQO existent.

În partea de sus a paginii, o listă derulantă denumită Select Tags permite filtrarea definițiilor de alertă pe categorii.

Un filtru derulant din partea de sus a paginii afișează alertele atribuite unui anumit utilizator sau unei anumite echipe, ajutând la identificarea și gestionarea rapidă a alertelor în funcție de proprietar.

În partea de jos a paginii, un selector de navigare permite parcurgerea paginilor cu definiții de alertă.

Editarea unei definiții de alertă

Apăsați butonul pentru a edita o definiție existentă. Se deschide fereastra Alert Settings:

În secțiunea Alert Name, puteți seta următoarele opțiuni:

  • Introduceți un nume de alertă, modificați-l sau lăsați-l neschimbat.

  • Notification Template: Selectați un șablon de notificare pentru alertă. Opțiunile includ șabloane integrate și personalizate. Selecția implicită este „Default notification.”

  • Alert Active: Activați caseta de selectare ALERT ACTIVE pentru a activa alerta sau dezactivați-o pentru a dezactiva alerta.

  • Default Deduplication: Acest comutator activează sau dezactivează deduplicarea automată pentru alertă. Atunci când este activat, sistemul va suprima declanșările duplicate ale alertei pe baza unor tipare de evenimente repetate sau similare în cadrul aceleiași logici a regulii. Acest lucru ajută la prevenirea generării mai multor alerte pentru aceeași cauză de bază. Atunci când este dezactivat, toate evenimentele care se potrivesc vor declanșa alerte individual, indiferent de duplicare.

  • Time Frame TTL(sec.) : Definește durata (în secunde) pentru care alerta rămâne activă după ce a fost declanșată.

  • Alert Security Score: Setează scorul de securitate de bază pentru alertă atunci când este declanșată. Scorul real-time se ajustează dinamic pe baza regulilor definite și a numărului de evenimente asociate, dar nu poate scădea sub valoarea de bază și nici nu poate depăși 100. Codurile de culoare ale Security Score:

    • Verde - Reprezintă o alertă cu gravitate redusă, cu un scor de până la 30.
  • Galben - Indică o alertă cu gravitate medie, cu scoruri cuprinse între 31 și 60.

    • Roșu - Denotă o alertă cu gravitate ridicată, cu scoruri între 61 și 100.
  • Alert Security Level: Funcționează similar cu scorul de securitate, cu o codificare cromatică corespunzătoare pentru a indica nivelurile de gravitate.

  • Sent as Alert: Atunci când este debifat, alerta rămâne activă, dar nu generează notificări vizibile. Această opțiune permite corelarea în backend a analizei anomaliilor pe parcursul mai multor evenimente, declanșatoare și alerte. Se comportă similar cu caseta de selectare ALERT ACTIVE.

  • Activați caseta de selectare Has Action pentru a asocia alerta fie cu un script, fie cu acțiuni automate predefinite. Dacă în alertă sunt configurate acțiuni automate, acestea se vor executa doar după ce toate condițiile regulilor din definiția alertei au fost îndeplinite. Aceste acțiuni reprezintă etapa finală de răspuns declanșată de logica alertei.

  • Permite configurarea deduplicării alertei atunci când Has Action este activă. Alertele sunt grupate pe baza câmpurilor selectate și a unui interval de timp definit.

  • Send via Email: Activați această casetă de selectare pentru a trimite notificarea de alertă prin e-mail destinatarilor definiți.

    Pentru detalii suplimentare privind configurarea parametrilor de acțiune, consultați: How to activate automatic Actions in Realtime Alerts

În secțiunea Rules, comportamentul alertei poate fi definit cu precizie folosind configurări granulare ale regulilor. Acestea includ reguli pentru un singur eveniment, corelări între mai multe evenimente, logica secvențelor de evenimente și detecția evenimentelor lipsă dintr-un tipar așteptat.

Panoul din stânga afișează lista regulilor definite. Sunt disponibile următoarele acțiuni:

  • Pentru a adăuga o regulă nouă, faceți clic pe butonul . Regula va apărea în panoul Rule Settings din dreapta.

  • Folosiți butoanele pentru a naviga prin regulile existente. Regula selectată în prezent este evidențiată cu galben, iar configurația sa este afișată în panoul Rule Settings.

  • Pentru a elimina o regulă, faceți clic pe butonul .

Panoul Rule Settings este utilizat pentru a defini logica din spatele fiecărei reguli de alertă. Logica regulii constă din condiții de câmp, condiții de raport și parametri de corelare, combinați cu ajutorul operatorilor logici AND, OR și NOT.

Fiecare regulă include următoarele elemente:

  • Description: Un câmp de text pentru detalierea scopului sau comportamentului regulii.

  • Rule Trigger Type: Un meniu derulant care oferă mai multe tipuri de declanșatoare

    • Single Event Trigger - activează alerta atunci când un singur eveniment îndeplinește condițiile definite. Nu este necesar un prag sau o acumulare.

    • Count until MaxThreshold (numărul maxim de evenimente numărate) înainte ca valoarea TTL să expire, sau TTL expiră și se atinge valoarea MinThreshhold (numărul minim de evenimente numărate) - câte (de ex. 3 clienți cu reducere de 25% dacă grupați după reducere)

    • Sum PivotField (suma aritmetică pentru un anumit câmp) până la MaxThreshold (suma maximă) înainte ca valoarea TTL să expire, sau TTL expiră și se atinge valoarea Sum PivotField MinThreshold (suma minimă) - cât (de ex. pentru aplicații de business: dacă valoarea totală a reducerii pentru o regiune depășește 1000 euro)

    • Average on PivotField până când TTL atinge valoarea MinThreshold

    • (Distinct values on PivotField până la MaxTreshold înainte ca TTL să expire) OR (TTL expiră și se atinge numărul Distinct values count on PivotField MinTreshold) - numărul de valori distincte (de ex. câte adrese IP distincte trimit evenimente, au efectuat un atac pentru un anumit câmp)*

  • Valorile MaxThreshold, MinThreshold și TTL (sec.) pentru tipul de declanșator al regulii

    MaxThreshold - numărul maxim de evenimente necesare pentru a declanșa alerta.

    MinThreshold - numărul minim de evenimente necesare pentru a declanșa alerta.

    PivotField - suma unui anumit câmp (de ex. valoarea monetară totală sau numărul de tranzacții în aplicațiile de business)

Condițiile regulii pot fi adăugate, editate sau șterse după cum urmează:

  • Pentru a adăuga o condiție de câmp, apăsați butonul . În meniul derulant Select Field, alegeți un câmp de eveniment relevant. Apoi, selectați operatorul de valoare corespunzător din meniul derulant următor și introduceți valoarea corespunzătoare în al treilea câmp.
  • Pentru a adăuga o condiție de raport, apăsați butonul . Va apărea o listă derulantă, permițând selecția din toate rapoartele existente.
  • Pentru a adăuga o condiție de corelare, apăsați butonul . Aceasta deschide două meniuri derulante Select Field pentru selectarea câmpurilor de eveniment de corelat, un meniu derulant cu operatorul de comparare — care oferă opțiuni precum equal, not equal, less than, less than or equal, greater than, greater than or equal, alături de operatori suplimentari precum isInList, isNotInList, startsWith, endsWith, contains, range, containsAnyOf, containsAllOf și regexMatch. De asemenea, pentru aplicarea corelării poate fi selectată o condiție de regulă corespunzătoare.

Regula de tip script este evaluată ultima în secvența condițiilor regulilor și, împreună cu orice acțiuni automate configurate, este executată doar după ce toate celelalte condiții ale regulilor alertei au fost îndeplinite.

Pentru a șterge o condiție a regulii, apăsați butonul situat în extrema dreaptă a intrării condiției regulii.

La adăugarea unei noi condiții de regulă, un operator logic este inserat automat pentru a o corela cu condiția anterioară. Operatorul implicit este AND. Faceți clic pe comutatorul pentru a schimba operatorul în OR; faceți clic din nou pentru a reveni la AND.

Dacă structura logică o impune, un operator NOT este disponibil și sub formă de casetă de selectare. În mod implicit, acesta nu este selectat. Faceți clic pe pentru a-l activa. Expresia logică rezultată va fi interpretată ca AND NOT.

Toate condițiile regulii sunt adăugate secvențial, în ordinea în care sunt definite.

Odată ce configurarea este finalizată, faceți clic pe butonul din partea de sus pentru a salva regula și a reveni la lista definițiilor de alertă. Pentru a anula toate modificările, faceți clic pe butonul .

Exemplu de regulă de tip script:

   var currentAlertState =  JSON.parse(Alert);
   return false; // triggers current alert instance supression. If return is NOT used, the alert is not triggered as well.

Deduplicarea alertelor

Deduplicarea alertelor este un mecanism care consolidează mai multe instanțe de alertă declanșate de tipare de evenimente identice sau similare într-un interval de timp specificat. Ajută la optimizarea gestionării alertelor prin prevenirea generării redundante de alerte pentru condiții recurente care se potrivesc aceleiași logici a regulii.

Pentru a accesa setările de deduplicare, opțiunea Has Action trebuie să fie activată. Odată activată, butonul Duplicate devine disponibil și poate fi utilizat pentru a accesa configurarea deduplicării.

Opțiunile de configurare includ:

  • Interval: Definește fereastra de timp în care alertele similare sunt grupate și tratate ca o singură apariție. Opțiunile disponibile includ 1 minut, 10 minute, 1 oră și 1 zi.

  • Deduplication fields: Specifică câmpurile utilizate pentru a determina dacă alertele sunt considerate duplicate. Aceste câmpuri trebuie configurate astfel încât CYBERQUEST să poată grupa cu acuratețe alertele pe baza criteriilor de potrivire.

  • Atunci când sunt detectate alerte duplicate în intervalul și câmpurile specificate, numărătoarea alertelor este incrementată, iar marcajul temporal LastSeen este actualizat corespunzător.

Odată ce configurarea este finalizată, Set salvează și aplică setările de deduplicare, în timp ce Cancel anulează orice modificare și închide fereastra de configurare.

Deduplicarea manuală a alertelor este, de asemenea, disponibilă pentru marcarea duplicatelor: Alerts Manual Deduplication

Exemplu de scenariu pentru crearea unei alerte de Logon

Acest scenariu descrie cum se configurează o alertă care se declanșează atunci când un anumit utilizator are două încercări de autentificare eșuate într-un interval de 60 de secunde.

Pasul 1: Navigați la Settings > Alerts > Realtime.

Pentru a crea o alertă nouă, faceți clic pe butonul CREATE ALERT de pe pagina Alerts.

Pasul 2:

Configurați definiția alertei cu următoarele setări:

  • Name: Default - Audit policy change
  • Alert Active: Activat
  • Send as Alert: Activat
  • Security Score: 40
  • Security Level: 5

Pasul 3:

Adăugați o regulă nouă cu acești parametri:

  • Description: Audit policy change events
  • EventID: 4719 Notă: ID-urile de evenimente pot fi consultate în Event Dictionary

Pasul 4:

Salvați definiția alertei.

Noua alertă va apărea acum în lista de pe pagina Alerts.

Pasul 5:

Atunci când condițiile sunt îndeplinite - mai exact, când utilizatorul specificat are două încercări de autentificare eșuate în 60 de secunde - se generează o alertă în timp real. Această alertă corespunde Event ID 4719 (Audit policy change) preluat din Windows Security Log și este vizibilă în interfața modulului Alerts.

Cum se activează acțiunile automate în alertele Realtime

Pentru a utiliza acțiuni automate predefinite, explorați configurațiile disponibile și ghidurile de configurare din How to activate automatic Actions in Realtime Alerts.

Pentru instrucțiuni privind crearea unei alerte noi, consultați linkul furnizat: How to create new alerts

Proprietățile detaliate ale alertei

Făcând clic pe pictograma din coloana Alert Name, se deschide fereastra pop-up Alert Viewer, unde sunt disponibile pentru consultare și ajustare informații detaliate despre alertă și opțiuni de configurare.

Panoul Alert Summary

Acest panou oferă o privire de ansamblu rapidă asupra metadatelor cheie ale alertei, inclusiv numele alertei, marcajele temporale de creare și modificare, scorul și nivelul de securitate:

  • Alert Name - Afișează numele alertei. Exemplu: UBA - User Logon from Multiple IP Addresses.

  • Added - Arată data și ora la care alerta a fost creată sau adăugată în sistem.

  • Modified - Indică ultima dată și oră la care configurația alertei a fost actualizată.

  • Sec. Score - Afișează Security Score calculat, o valoare numerică ce reflectă nivelul de gravitate sau impact al alertei pe baza regulilor de scor predefinite.

  • Sec. Level - Reprezintă Security Level, o clasificare simplificată a gravității alertei (de ex. de la scăzut la critic), determinată de sistem pe baza pragurilor de scor.

Panoul Alert Configuration

Acest panou permite o clasificare și contextualizare suplimentară a alertei. Utilizatorii pot atribui tag-uri, pot asocia alerta cu tehnici MITRE ATT&CK, pot specifica foldere de alertă, pot atribui proprietatea și pot vizualiza setările de normalizare.

  • Tags - Permite atribuirea de tag-uri personalizate alertei, facilitând categorizarea, filtrarea și gestionarea eficientă pe baza contextului operațional sau a atributelor amenințării. Etichetarea poate susține cerințele de conformitate și raportare aliniate cu standarde precum ISO 27001, NIS2, NIST 800-53, GDPR și CIS Control V8, ajutând la clasificarea alertelor în funcție de controalele de securitate, tipurile de date sau impactul de reglementare.

  • MITRE ATT&CK - Permite maparea alertei la o tactică sau tehnică MITRE ATT&CK corespunzătoare. Acest lucru susține alinierea la threat intelligence-ul standard din industrie și ajută la clasificarea amenințărilor.

  • Alert Folders - Permite utilizatorilor să organizeze alerta în foldere specifice pentru o gestionare mai ușoară, control al accesului sau segmentarea fluxului de lucru.

  • Alert Assignee - Atribuie responsabilitatea pentru alertă unui anumit utilizator. Acest lucru ajută la proprietatea sarcinilor și facilitează trierea și rezolvarea alertelor.

  • Normalization - Afișează profilul de normalizare aplicat. Acesta definește modul în care datele brute ale evenimentelor sunt standardizate la o schemă consistentă, permițând corelarea și analiza eficientă.

Normalizarea alertelor

Alert Normalization asigură consistența între alerte prin atribuirea unor valori predefinite anumitor câmpuri. Acest proces simplifică categorizarea alertelor, integrarea cu sisteme externe și conformitatea cu standardele organizaționale sau de reglementare.

Normalizarea este utilă în special atunci când alertele provin din diverse surse de date cu formate diferite. Prin maparea câmpurilor la valori standardizate, alertele devin mai ușor de corelat, filtrat și raportat.

Accesarea setărilor de normalizare Pentru a configura normalizarea:

  • Navigați la secțiunea Normalization.

  • În lista derulantă este afișat un profil de normalizare implicit (denumit default).

Notă: Profilul implicit nu poate fi editat.

  • Pentru a crea o normalizare personalizată, introduceți un nume nou în caseta de introducere de sub meniul derulant.

  • Făcând clic pe numele nou introdus se deschide interfața Add Alert Normalization pentru personalizare.

  • Faceți clic pe butonul pentru a adăuga mapări câmp-la-valoare pentru normalizarea alertelor.

Name: Specifică numele profilului de normalizare (de ex. default). Identifică configurația aplicată alertelor atunci când normalizarea este declanșată.

Field: Calea către datele efective din structura alertei (de ex. TriggeredRules[0].AssociatedEvents[0].UserName).

Value: Specifică eticheta normalizată (de ex. UserName, SourceIP, LogonTime) care va reprezenta aceste date într-un format standardizat.

Odată ce configurarea este finalizată, faceți clic pe Save pentru a aplica setările de normalizare a alertelor. Pentru a anula orice modificare și a închide fereastra de configurare, faceți clic pe Cancel.

  • Sunt disponibile opțiuni pentru a edita sau șterge configurația de alert normalization.

Alerte de tip Summary

Personalizarea alertelor de tip Summary

Alertele de tip Summary sunt utilizate pentru a grupa date istorice despre evenimente pe baza unor condiții definite în cadrul rapoartelor.

De exemplu, atunci când se folosește CYBERQUEST pentru a monitoriza aplicații de business, alertele de tip Summary pot fi configurate pentru a grupa valorile reducerilor după țară sau alte câmpuri relevante.

Spre deosebire de alertele în timp real, care sunt generate instantaneu de serviciul Data Correlation pe măsură ce evenimentele sunt ingerate, alertele de tip Summary operează asupra datelor istorice procesate. Aceste evenimente sunt agregate la fiecare 10 minute și pot fi grupate folosind chei definite personalizat pentru analiză statistică.

Pentru a gestiona alertele de tip Summary, navigați la Settings > Alerts > Summary. Aceasta deschide pagina Registered Summary Alerts, unde puteți:

  • Vizualiza toate alertele de tip Summary configurate
  • Crea noi definiții de alerte de tip Summary
  • Edita sau șterge alertele existente
  • Comuta starea de activare a alertei (active/inactive)

Meniul Actions oferă acces rapid la aceste opțiuni de gestionare pentru fiecare intrare de alertă.

Faceți clic pe butonul , pentru a modifica alerta. Mai jos este o prezentare detaliată a fiecărei configurări disponibile pe pagina Edit registered summary alert:

  • Name - Afișează numele alertei Summary înregistrate.

  • Report - indică raportul pentru care este generată alerta Summary curentă

  • Security Score and Security Level - Definesc nivelul de risc de bază asociat acestei alerte Summary. Aceste valori contribuie la scorul intern al anomaliilor, așa cum sunt folosite și în definițiile alertelor în timp real.

  • SummaryOn Level n, Time, TimeInterval Unit, Summary Type, Split Into Groups of și Threshold – Parametri utilizați pentru a defini modul în care datele sunt grupate și evaluate pentru alerta Summary.

  • Notifications - Specifică adresele de e-mail ale destinatarilor pentru notificările de alertă. Introduceți câte o adresă pe linie, fără separatori.

  • Template Used for Notification - Meniu derulant care listează șabloanele disponibile pentru formatarea notificărilor prin e-mail.

  • Is Active? - Specifică dacă alerta Summary este activată în prezent.

    • Active - Alerta rulează și va genera evenimente Summary pe baza condițiilor definite.

    • Inactive - Alerta este oprită și nu evaluează și nici nu generează rezultate Summary.

  • Active Post Process - Această secțiune vă permite să definiți logica de post-procesare pentru alerta Summary, aplicând filtrare sau evaluare suplimentară printr-un algoritm simplu. Atunci când este activată, apar următoarele câmpuri de configurare:

    • Algorithm Type - Listă derulantă cu algoritmii de post-procesare disponibili.

      • DistinctCount - Numără valorile distincte dintr-un câmp specificat în setul de date Summary al alertei.
    • Field - Câmpul asupra căruia operează algoritmul (de ex. LocalTime).

    • Precision - Definește nivelul de granularitate temporală pentru evaluare.

    Opțiuni disponibile:

    HOUR - Grupează rezultatele pe oră.

    DAY - Grupează rezultatele pe zi.

    • Threshold - Valoarea minimă necesară pentru a declanșa condiția de post-procesare.

      Exemplu: 10 înseamnă că această condiție este îndeplinită dacă există 10 sau mai multe valori distincte pe baza câmpului și a preciziei selectate.

  • Has Script - Specifică dacă un script personalizat este asociat alertei.

    • Enabled - Un script este atașat și va fi executat ca parte a fluxului de procesare a alertei.
    • Disabled - Niciun script nu este atribuit alertei.

Apăsați butonul Save pentru a salva modificările și a reveni la pagina Registered Summary Alerts sau apăsați butonul Cancel pentru a anula modificările și a ieși fără a salva.

Crearea unei noi alerte Summary înregistrate

Pentru a crea o nouă alertă Summary, selectați opțiunea Add Registered Summary Alert disponibilă pe paginile menționate mai sus. Aceasta va deschide pagina New Summary Alert, unde setările disponibile sunt similare celor descrise în secțiunea Edit Summary Alert.

  • Introduceți un nume unic pentru noua alertă Summary în câmpul Name.
  • Din lista derulantă Report, selectați raportul pentru care va fi generată alerta Summary.
  • Specificați valorile de bază pentru amenințarea de securitate a alertei Summary în câmpurile Security Score și Security Level. Dacă nu sunteți sigur, se recomandă o valoare implicită de 50 pentru Security Score și 5 pentru Security Level.
  • În meniurile derulante SummaryOn Level n, selectați câmpurile de eveniment de sintetizat. Pentru ca alerta Summary să funcționeze, este necesară cel puțin o valoare pentru Level 1.
  • Setați valoarea Time și TimeInterval Unit corespunzător (minute, hours, days, weeks, months, quarters sau years) pentru a defini fereastra de timp a sintezei - numărând înapoi de la momentul curent (de ex. acum 3 zile).
  • Alegeți Summary Type (count, sum sau average) în funcție de agregarea necesară.
  • Definiți valoarea Split Into Groups of pentru a determina modul de grupare a rezultatelor. Gruparea implicită este pe minute.
  • Introduceți o valoare Threshold care reprezintă numărul maxim de evenimente grupate care vor declanșa alerta (de ex. 1000 pentru o regiune).
  • În câmpul Notifications, listați adresele de e-mail pentru livrarea alertei Summary, câte o adresă pe linie, fără separatori.
  • Opțional, selectați un Template Used for Notification pentru a formata mesajul alertei.
  • Is Active? - Determină dacă alerta Summary este activată.
    • Active: Alerta rulează și generează evenimente Summary.
    • Inactive: Alerta este dezactivată și nu evaluează și nici nu generează rezultate Summary
  • Active Post Process - Permite filtrare sau evaluare suplimentară folosind un algoritm selectat asupra datelor Summary. Configurați algorithm type, field-ul țintă, precision (hour/day) și threshold pentru a controla modul în care post-procesarea afectează declanșarea alertei.
  • Has Script - Indică dacă un script personalizat este legat de alertă.
    • Enabled: Scriptul rulează în timpul procesării alertei.
    • Disabled: Niciun script atribuit.

Apăsați butonul Save pentru a salva modificările și a reveni la pagina Registered Summary Alerts sau apăsați butonul Cancel pentru a anula modificările și a ieși fără a salva.

Exemplu de configurare a unui scenariu de alertă Summary pentru Logon

Acest scenariu notifică ofițerul de securitate atunci când un utilizator eșuează să se autentifice de mai mult de 50 de ori într-o zi.

Pasul 1: Crearea raportului

Dezvoltați un raport care filtrează evenimentele relevante—în acest caz, „An account failed to log on.” La rulare, raportul va identifica toate evenimentele care se potrivesc și va trimite notificări conținând detalii precum adresa de rețea, numele de utilizator, data și ora. Pentru a crea acest raport:

  • Deschideți modulul Browser.

    Căutați EventID:4625 (ID-ul de eveniment Windows pentru „An account failed to log on”). Folosiți Filter Data pentru a afișa evenimentele care se potrivesc.

    Faceți clic pe Save și selectați Save as New Report.

    Introduceți „An account failed to log on” atât ca Name, cât și ca Description.

    În mod implicit, raportul va fi salvat în folderul Custom Reports din modulul Reports.

Pasul 2: Crearea alertei Summary

Creați o nouă alertă Summary pe baza raportului:

  • Navigați la Settings > Alerts > Summary.
  • Faceți clic pe New Registered Summary Alert.
  • Configurați următoarele setări:
    • Selectați raportul personalizat creat la Pasul 1.
    • Setați Security Score la 50 și Security Level la 5.
    • Setați SummaryOn Level 1 la UserName.
    • Setați SummaryOn Level 2 la Computer.

Pasul 3: Verificarea rezultatelor

Monitorizați rezultatele alertei pentru notificările declanșate.

Alerte DTS

Obiecte DTS

Data Transformation Service (DTS) permite generarea de alerte prin evaluarea unor liste interne de obiecte. Aceste obiecte susțin operațiuni precum îmbunătățirea jurnalelor, îmbogățirea datelor, luarea deciziilor, alertarea și alte sarcini de procesare.

Un eveniment CYBERQUEST are următorul format:

{
  "EventID": "1-2000000000",
  "LocalTime": "yyyy-mm-dd hh:mm:ss.fff",
  "GMT": "yyyy-mm-dd hh:mm:ss.fff",
  "UserName": "blacklisted.user1",
  "UserDomain": "Demo",
  "SrcIP": "xxx.xxx.xxx.xxx",
  "DestIP": "xxx.xxx.xxx.xxx",
  "VersionMajor": "6",
  "VersionMinor": "2",
  "Computer": "A-PC.Demo.local",
  "Source": "Microsoft-Windows-Security-Auditing",
  "EventLog": "Security",
  "Category": "Logon",
  "EventType": "8",
  "Description": "An account was successfully logged on.\r\n\r\nSubject:\r\n\tSecurity ID:\t\tS-1-0-0\r\n\tAccount Name:\t\t-\r\n\tAccount Domain:\t\t-\r\n\tLogon ID:\t\t0x0\r\n\r\nLogon Type:\t\t\t3\r\n\r\nImpersonation Level:\t\tImpersonation\r\n\r\nNew Logon:\r\n\tSecurity ID:\t\tS-1-5-21-1009658894-4016096118-1013530418-1275\r\n\tAccount Name:\t\tblacklisted.user1\r\n\tAccount Domain:\t\tDemo\r\n\tLogon ID:\t\t0xC2C9FA762\r\n\tLogon GUID:\t\t{00000000-0000-0000-0000-000000000000}\r\n\r\nProcess Information:\r\n\tProcess ID:\t\t0x0\r\n\tProcess Name:\t\t-\r\n\r\nNetwork Information:\r\n\tWorkstation Name:\tRemoteWorkstation\r\n\tSource Network Address:\t10.10.10.10\r\n\tSource Port:\t\t44214\r\n\r\nDetailed Authentication Information:\r\n\tLogon Process:\t\tNtLmSsp \r\n\tAuthentication Package:\tNTLM\r\n\tTransited Services:\t-\r\n\tPackage Name (NTLM only):\tNTLM V1\r\n\tKey Length:\t\t128\r\n\r\nThis event is generated when a logon session is created. It is generated on the computer that was accessed.\r\n\r\nThe subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.\r\n\r\nThe logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network).\r\n\r\nThe New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on.\r\n\r\nThe network fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.\r\n\r\nThe impersonation level field indicates the extent to which a process in the logon session can impersonate.\r\n\r\nThe authentication information fields provide detailed information about this specific logon request.\r\n\t- Logon GUID is a unique identifier that can be used to correlate this event with a KDC event.\r\n\t- Transited services indicate which intermediate services have participated in this logon request.\r\n\t- Package name indicates which sub-protocol was used among the NTLM protocols.\r\n\t- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.",
  "S1": "S-1-0-0",
  "S2": "-",
  "S3": "-",
  "S4": "0x0",
  "S5": "S-1-5-21-1009658894-4016096118-1013530418-1275",
  "S6": "blacklisted.user1",
  "S7": "Demo",
  "S8": "0xc2c9fa762",
  "S9": "3",
  "S10": "NtLmSsp ",
  "S11": "NTLM",
  "S12": "RemoteWorkstation",
  "S13": "{00000000-0000-0000-0000-000000000000}",
  "S14": "-",
  "S15": "NTLM V1",
  "S16": "128",
  "S17": "0x0",
  "S18": "-",
  "S19": "10.10.10.10",
  "S20": "44214",
  "S21": "%%1833",
  "S150": ""
}

S1 până la S150 sunt câmpuri șir extinse, utilizate frecvent pentru a stoca informații extrase, semnificative, din evenimente. Aceste date pot fi apoi corelate în dashboard-uri sau utilizate pentru a defini condiții de alertare.

Exemplu: Un obiect DTS poate fi evaluat în raport cu o listă dinamică sau statică de utilizatori pe lista neagră sau necunoscuți. Funcția getter verifică dacă utilizatorul curent apare într-o listă specificată (de ex. blacklist sau whitelist).

  • Cazul 1: Dacă utilizatorul există într-o listă neagră, poate fi declanșată o alertă folosind funcția RaiseAsAlert pentru a semnala accesul neautorizat.

  • Cazul 2: Utilizatorul este pe o listă albă: nu se generează nicio alertă; cu toate acestea, datele relevante pot fi în continuare parsate și stocate dacă este necesar.

  • Cazul 3: Dacă utilizatorul nu este găsit în niciuna dintre liste, funcția setter poate fi utilizată pentru a adăuga automat utilizatorul necunoscut la o listă neagră.

Pentru a permite unui obiect DTS să proceseze un eveniment, trebuie îndeplinite următoarele trei condiții prealabile:

Creați un obiect DTS Obiect DTS

Un nou obiect DTS poate fi creat navigând la pagina Settings > Rules > DTS Objects. Folosiți butonul Add de pe pagină pentru a defini și crea un nou obiect DTS.

Creați o Filter rule

O regulă de filtrare definește condițiile pe care evenimentele primite trebuie să le îndeplinească pentru a fi procesate de unul sau mai multe obiecte DTS.

Pentru a crea o nouă regulă de filtrare, navigați la Settings > Rules > Filter Rules. Folosiți butonul ADD de pe pagină pentru a configura și salva regula.

Creați o DA rule (regulă de achiziție a datelor)

O regulă DA definește procesul decizional care direcționează evenimentele - filtrate prin Filter Rules definite anterior - prin obiecte DTS și le transmite serviciilor Data Storage și/sau Data Correlation.

Pentru a crea o nouă regulă DA, mergeți la Settings > Rules > DA Rules și faceți clic pe butonul Add pentru a configura și salva regula.

Pentru mai multe detalii despre obiectele DTS, consultați secțiunea următoare: DTS.

Metode integrate ale obiectelor DTS

Obiectele DTS susțin funcții integrate concepute pentru a interacționa cu listele Redis și cu modulul de alertare. Una dintre metodele disponibile este:

1)Funcția setter

Utilizată pentru a insera sau actualiza valori în listele Redis.

Parametri: [list_name],[list_key],[list_value][TTL]

Exemplu:

setter('UserLists', Event.UserName, Event.SrcIP, 360);

Acest exemplu verifică lista Redis "UserLists" pentru valoarea câmpului UserName al evenimentului.

  • Cazul 1: Dacă cheia (UserName) există deja, funcția actualizează valoarea acesteia cu SrcIP și resetează TTL (time to live) la 360 de secunde.
  • Cazul 2: Dacă cheia nu există, se creează o nouă intrare cu UserName drept cheie, SrcIP drept valoare și un TTL de 360 de secunde.

2)Funcția getter

Această funcție obține valori din listele Redis.

Parametri: [list_name], [list_key]

Exemplu:

getter('IPLists', Event.SrcIP);

În acest exemplu, obiectul DTS interoghează lista Redis IPLists folosind valoarea câmpului SrcIP al evenimentului drept cheie și returnează valoarea asociată, dacă există.

3)Funcția RaiseAsAlert

Această funcție declanșează un eveniment de alertă pe baza unor parametri personalizați.

Parametri: [event_list] (JSON format), [alert_name], [email_address(es)], [security_score], [security_level], [alert_template]

Exemplu:

RaiseAsAlert(Event.getAsJSON(), "MultipleLogins(10)", "[email protected]", "7", "7", "Multiple Logins(10)");

În acest exemplu, obiectul DTS trimite o alertă denumită “Multiple Logins (10)” către [email protected], atribuindu-i un security score de 7 și un security level de 7.

4)Funcția backEvents

Această funcție caută evenimente anterioare pe baza unui șir specificat și returnează rezultatele care se potrivesc în format JSON array.

Exemplu:

backEvents('SearchString', NumberOfDays, NumberOfEvents);
  • SearchString – Șirul de interogare utilizat pentru a filtra evenimentele istorice.

  • NumberOfDays (opțional) – Fereastra de timp pentru căutarea în trecut; implicit 100 de zile dacă nu este specificat.

  • NumberOfEvents – Numărul maxim de evenimente de returnat.

5)Funcția backCount

Returnează numărul de evenimente care se potrivesc unei interogări de căutare specificate într-un anumit interval de timp.

Exemplu:

backCount('SearchString', NumberOfDays);

SearchString – Termenul sau condiția utilizată pentru a filtra evenimentele anterioare.

NumberOfDays – Intervalul de timp (în zile) pentru căutarea în trecut la numărarea evenimentelor care se potrivesc.

6)Funcția ConsoleLog

Scrie șirul specificat în fișierul jurnal de achiziție.

Exemplu:

ConsoleLog(String);

Mesajul este înregistrat în: /var/log/data-acquisition.log

Scenarii de alertă

Exemple de alerte

Exemplul 1. Exemplu de scenariu pentru crearea unei alerte de Logon

Acest scenariu demonstrează cum se configurează o alertă în timp real care se declanșează atunci când un anumit utilizator are două încercări de autentificare eșuate într-o fereastră de 60 de secunde.

Pasul 1:

Navigați la Settings > Alerts > Realtime.

Faceți clic pe CREATE ALERT pentru a începe configurarea noii alerte.

Pasul 2:

Creați o definiție de alertă cu următorii parametri:

  • Name: Default - Audit policy change
  • ALERT ACTIVE: Active
  • Alert Security Score: 40
  • Alert Security Level: 5
  • Send as Alert: Active

Pasul 3:

Adăugați o regulă nouă la definiția alertei folosind criteriile de mai jos:

  • Description: Audit policy change events

  • Event ID: 4719

    ID-urile de evenimente pot fi consultate în Event Dictionary

Pasul 4:

Salvați definiția alertei. Aceasta va apărea acum în lista Alerts.

Noua definiție apare pe pagina Alerts

Pasul 5:

Odată configurat, sistemul va genera alerte în timp real ori de câte ori condițiile definite sunt îndeplinite. În acest exemplu, alerta se declanșează la detectarea Windows Event ID 4719 (Audit Policy Change) din Windows Security Log.

Exemplul 2. Exemplu de configurare a unui scenariu de alertă Summary pentru Logon

Acest scenariu configurează o alertă pentru a notifica ofițerul de securitate atunci când un utilizator eșuează să se autentifice de mai mult de 50 de ori într-o singură zi.

Pasul 1:

Creați un raport care definește condițiile alertei - de exemplu, evenimente în care autentificarea eșuează (EventID 4625: An account failed to log on). Acest raport identifică evenimentele care se potrivesc și poate fi configurat să trimită notificări conținând detalii cheie precum adresa de rețea, numele de utilizator, data, ora etc.

  • Deschideți modulul Browser
  • Căutați EventID:4625 (ID-ul de eveniment Windows pentru autentificare eșuată)
  • Faceți clic pe Filter data pentru a afișa evenimentele relevante
  • Faceți clic pe Save și selectați Save as New Report
  • Introduceți un nume și o descriere precum An account failed to log on
  • În mod implicit, raportul va fi salvat în Custom Reports din modulul Reports

Pasul 2:

Creați o nouă alertă Summary folosind raportul salvat anterior:

  • Navigați la Settings > Alerts > Summary

  • Faceți clic pe ADD REGISTERED SUMMARY ALERT

  • Configurați alerta Summary cu următoarele setări:

    • Report: raportul personalizat salvat
    • Security Score: 50
    • Security Level: 5
    • SummaryOn Level 1: UserName
    • SummaryOn Level 2: Computer

Pasul 3:

Monitorizați rezultatele pentru a verifica dacă alertele sunt declanșate atunci când pragul este depășit.

Exemplul 3. Distributed Denial of Service (DDoS)

Descrierea alertei

Această alertă este concepută să se declanșeze atunci când 100 sau mai multe evenimente de comunicare sunt direcționate către aceeași adresă IP și port într-un minut, provenind de la IP-uri sursă diferite. Scenariul identifică potențiale tentative Distributed Denial of Service (DDoS).

Surse de date necesare

  • Evenimentele Firewall NetFlow trebuie să fie colectate și disponibile în CYBERQUEST pentru ca această alertă să funcționeze corect.

Configurarea alertei

Din meniul Settings, navigați la Alerts > Realtime.

1)Rule 1 - Identify NetFlow Events

  • EventID: 63805, 63809

  • Folosiți operatorul isinList pentru a detecta evenimentele cu ID-urile specificate.

2)Rule 2 - Set DDoS Detection Criteria

În secțiunea Rule 2, configurați următoarele:

  • Min Threshold: 100

  • Max Threshold: 150

  • TTL: 60 secunde

  • SrcIP ≠ Rule No. 1 SrcIP

  • AND

  • DestIP = Rule No. 1 DestIP

Pentru a exporta setările alertei ca fișier de configurare CQO, utilizați linkul următor: Alert Object

Exemplul 4. Partajarea credențialelor de aplicație

Descrierea alertei

Detectează un scenariu în care o autentificare Windows este urmată de o autentificare în aplicație de la aceeași adresă IP, dar cu un cont de utilizator diferit - indicând o potențială partajare a credențialelor.

Surse de date necesare

Pentru a configura această alertă, în CYBERQUEST trebuie colectate următoarele surse de date:

  • Windows Security Log cu auditarea Logon activată prin Group Policy (GPO)

  • Audituri de autentificare în aplicație care includ atât numele de utilizator, cât și adresa IP sursă

Configurarea alertei

Navigați la Settings > Alerts > Realtime.

1)Rule 1 - Windows Logon Event

Identificați evenimentele Windows Success Logon folosind Event ID 4624. Configurați după cum urmează:

  • EventID = 4624

2)Rule 2 - Application Logon Event

Capturați activitatea de autentificare în aplicație cu credențiale diferite de la aceeași adresă IP sursă:

Pentru a face acest lucru:

  • EventID = ApplicationLoginEventID
  • AND
  • SrcIP = Rule No. 1 SrcIP
  • AND
  • UserName ≠ Rule No. 1 UserName

Pentru a exporta configurația alertei ca fișier .cqo, utilizați acest link: Alert Object.

Exemplul 5. IP sau domeniu malițios

Descrierea alertei

Această alertă se declanșează atunci când au loc comunicări între adrese IP interne și cele listate într-o listă neagră care conține IP-uri și domenii malițioase cunoscute.

Surse de date necesare

Pentru a activa această alertă, în CYBERQUEST trebuie colectate următoarele date:

  • Evenimente de comunicare în rețea;
  • Liste negre și/sau feed-uri de securitate.

Configurarea alertei

Navigați la Settings > Alerts > Realtime.

În Rule 1, introduceți următoarele setări:

  • SrcIP isinList @BlackListDomains

  • AND

  • DestIP isinList @BlackListDomains

Pentru a exporta configurația alertei ca fișier în format CQO, utilizați linkul următor: Alert Object.

Exemplul 6. Autentificare reușită după mai multe încercări

Descrierea alertei

Declanșează o alertă atunci când un utilizator se autentifică cu succes după cel puțin cinci încercări eșuate într-o fereastră de 10 minute.

Surse de date necesare

Pentru a activa această alertă, asigurați-vă că în CYBERQUEST este colectată următoarea sursă de date:

  • Windows Security Log cu auditarea Logon activată prin Group Policy.

Configurarea alertei

  • Deschideți Interfața Web CYBERQUEST.

  • Navigați la Settings > Alerts > Realtime.

  • Creați o alertă nouă făcând clic pe butonul .

  • Adăugați prima regulă pentru a detecta evenimentele Windows Failed Logon făcând clic pe și setând EventID = 4625.

  • Adăugați a doua regulă făcând clic pe Adăugare condiție de corelare și configurați UserName = Rule No. 1 UserName.

  • Adăugați a treia regulă cu o condiție corelată:
    • UserName = Rule No. 1 UserName
    • EventID = 4624 (autentificare reușită)

  • Faceți clic pe butonul din stânga-sus pentru a salva configurația alertei.

Pentru a exporta această configurație de alertă în format CQO, utilizați linkul următor: Alert Object.

Exemplul 7. Trafic către domenii infectate

Scopul alertei

Această alertă este declanșată atunci când este detectat accesul la domenii malițioase listate în @BlackListDomains.

Surse de date necesare

  • Evenimente de acces web

Descriere

  • Deschideți Interfața Web CYBERQUEST.

Navigați la Settings > Alerts > Realtime.

Faceți clic pe butonul pentru a crea o alertă nouă.

  • Rule 1 – Configurați condiția după cum urmează:

EventID = [Event ID for web access events]

Accessed domain field isinList @BlackListDomains

Pentru a exporta această configurație de alertă în format CQO, utilizați linkul următor: Alert Object.

Exemplul 8. Autentificare VPN și RDP cu utilizatori diferiți

Scopul alertei

Această alertă este declanșată atunci când o autentificare VPN este urmată de o conexiune RDP de la aceeași gazdă, dar folosind un cont de utilizator diferit de cel utilizat pentru sesiunea VPN.

Surse de date necesare

  • Evenimente de autentificare VPN
  • Windows Security Log

Pași de configurare

  • Deschideți Interfața Web CYBERUEST.

  • Navigați la Settings > Alerts > Realtime.

  • Faceți clic pe butonul pentru a crea o alertă nouă.

1)Rule 1 – Detectați evenimentele de autentificare VPN:

  • EventID isinList 1660049, 1660009

2)Rule 2 – Detectați autentificarea RDP de la aceeași gazdă folosind un utilizator diferit:

  • EventID = 4624
  • S9 = 10
  • UserName ≠ Rule No. 1 UserName
  • S15 = Rule No. 1 S19

Pentru a exporta această configurație de alertă în format CQO, utilizați linkul următor: Alert Object.

Personalizarea șabloanelor de notificare

Din meniul Settings, navigați la Alerts > Notification templates. Aceasta deschide secțiunea Alert Templates a interfeței de personalizare a alertelor.

Meniul Actions permite editarea sau ștergerea șabloanelor de alertă existente. Pagina Alert Templates listează toate șabloanele definite și include o opțiune de a crea unul nou.

Pentru a crea un nou șablon de alertă, selectați opțiunea NEW ALERT TEMPLATE de pe oricare dintre paginile menționate mai sus. Aceasta deschide pagina NEW ALERT TEMPLATE. Setările disponibile sunt similare celor de pe pagina Edit Alert Template, accesibilă din lista Alert Templates.

  • În câmpul Name, introduceți un nume unic pentru șablonul de alertă.

  • Din lista derulantă Please select a rule, alegeți regula (de ex. Rule1, Rule2, Rule3 sau Rule4) la care va face referire șablonul.

  • În câmpul Please select either alert section or event data, specificați dacă se utilizează ca sursă o secțiune de alertă sau date de eveniment.

  • În câmpul Text, introduceți un mesaj descriptiv sau inserați obiecte dinamice după cum este necesar.

Faceți clic pe butonul “Save” pentru a salva modificările și a reveni la pagina Alert Templates.

Vizualizarea alertelor

Lucrul cu modulul Alerts

Modulul Alerts din CYBERQUEST oferă vizibilitate în timp real asupra incidentelor de securitate și a încălcărilor de politici. Permite utilizatorilor să monitorizeze, să filtreze și să investigheze evenimentele de alertă generate pe baza unor reguli și praguri predefinite. Această secțiune descrie cum se navighează în interfața Alerts, cum se aplică filtre și cum se interpretează rezultatele pentru a susține operațiunile de securitate și răspunsul la incidente.

Accesați modulul Alerts făcând clic pe butonul situat în panoul din stânga al Interfeței Web.

Modulul este împărțit în două secțiuni principale:

  • Search and Filter - Permite control precis asupra datelor de alertă afișate.
  • Results - Afișează înregistrările de alertă pe baza filtrelor și criteriilor de căutare selectate.

Secțiunea Search and Filter pentru alerte

Această secțiune oferă control asupra alertelor care sunt afișate în lista de rezultate. Pentru a o accesa, extindeți filtrele făcând clic pe butonul Extindere filtre . Odată extinse, opțiunile de filtrare devin disponibile.

Search field permite filtrarea alertelor afișate folosind introducere de text liber. Dacă este lăsat gol, sunt afișate toate evenimentele disponibile.

Un ghid detaliat privind utilizarea căutării prin text liber este inclus în acest manual.

Pentru a controla câte alerte sunt afișate pe pagină, apăsați butonul . Valoarea implicită este 10 elemente, dar sunt disponibile și opțiunile 50 sau 100.

Alte opțiuni din secțiunea Search and Filter:

  • Filter data - Aplică filtrele selectate și actualizează lista de rezultate ale alertelor corespunzător.
  • Send to Dashboards - Deschide rezultatele filtrate în modulul Dashboards, într-o filă nouă de browser.
  • Send to Browser - Deschide rezultatele filtrate în modulul Browser, într-o filă nouă de browser.

Secțiunea Search and Filter oferă opțiuni pentru a specifica intervalul de dată și oră pentru informațiile afișate. Acest lucru este util în special pentru revizuirea rapidă a conformității într-o perioadă aleasă.

Utilizatorii pot seta o dată de început și de sfârșit personalizată sau pot selecta dintre intervale predefinite precum ultima oră, zi, trei zile, zece zile, 30 de zile sau 90 de zile. În mod implicit, interfața Alerts afișează toate alertele. Butoanele convenabile de sub câmpurile Start Date și End Date permit ajustarea intervalului de timp și alegerea referinței temporale, inclusiv GMT, Local Time, Received Time, Now sau activarea AutoRefresh.

GMT - Convertește intervalul de timp selectat în Greenwich Mean Time.

LocalTime - Se referă la ora locală a sistemului atunci când evenimentul a avut loc efectiv.

ReceivedTime - Indică momentul în care evenimentul a fost primit de sistemul CYBERQUEST.

Now - Actualizează automat ora de sfârșit la momentul curent.

AutoRefresh - Reîmprospătează automat vizualizarea alertelor la fiecare 10 secunde.

Secțiunea Results pentru alerte

Această secțiune este zona principală în care sunt afișate alertele declanșate. Alertele apar în ordine cronologică, iar numărul de intrări pe pagină depinde de setările definite în secțiunea Search and Filter. Sunt disponibile mai multe formate de vizualizare pentru revizuirea datelor de alertă:

  • Open Folder View - Deschide vizualizarea de navigare pe foldere, permițând utilizatorilor să răsfoiască alertele pe foldere sau categorii.
  • Listing category - Afișează clasificarea curentă a alertelor pe baza etapei din ciclul de viață al atacului sau a focusului operațional (de ex. tactici precum initial access, lateral movement sau data exfiltration).
  • Unresolved Alerts - Afișează toate alertele active care nu au fost încă tratate sau închise, necesitând o schimbare de stare pentru a fi marcate ca rezolvate.
  • Latest Alerts - Afișează cele mai recent generate alerte.
  • My Latest Alerts - Arată cele mai recente alerte atribuite în mod specific sau create de utilizatorul autentificat în prezent.
  • My Unresolved Alerts - Afișează toate alertele nerezolvate atribuite utilizatorului curent, ajutând la prioritizarea trierii personale a alertelor.
  • Low Risk Alerts - Alerte care indică gravitate sau impact redus, de obicei probleme informaționale sau minore care necesită acțiune minimă.
  • Medium Risk Alerts - Alerte care reprezintă risc sau impact moderat, ce pot necesita atenție, dar nu sunt critice imediat.
  • High Risk Alerts - Alerte cu gravitate ridicată, indicând riscuri, amenințări sau eșecuri serioase care necesită investigare și acțiune urgentă.

Funcționalitățile detaliate ale paginii Alerts sunt acoperite în secțiunea Real-Time Alerts Customization.

Făcând clic pe numele unei alerte din coloana Alert Name, se deschide fereastra pop-up Alert Viewer, unde se găsesc informații detaliate despre alerta declanșată. Următoarele elemente sunt deosebit de relevante pentru investigare:

  • AlertSecurityLevel se referă la nivelul de securitate curent al alertei declanșate, calculat pe baza valorii de bază definite în definiția alertei.

  • AlertSecurityScore indică scorul de securitate curent al alertei declanșate, derivat de asemenea din valoarea de bază specificată în definiția alertei.

  • Fila Assets afișează toate activele asociate alertei declanșate.

  • Fila Computers afișează toate computerele afectate în prezent de alertă.

  • Fila DataSources listează sursele de date care au contribuit la generarea alertei.

  • Fila EventSubCategories afișează subcategoriile de evenimente legate de această alertă.

  • În fila Users sunt listați toți utilizatorii afectați în prezent de această alertă.

  • Selectarea Alert Extra Info afișează ID-ul unic al alertei împreună cu indexul de corelare utilizat pentru declanșarea alertei și calcularea nivelului și scorului său de securitate.

  • Selectarea Triggered Rules arată un raport succint care evidențiază ce reguli din definiția alertei au fost activate.

  • Făcând clic pe butonul Vizualizare de lângă o intrare, se deschide un raport complet care arată evenimentele legate de regula declanșată respectivă.

Vizualizarea alertelor declanșate

Această zonă afișează toate alertele declanșate în ordine cronologică. Numărul de alerte afișate pe pagină depinde de setările configurate în secțiunea Search and Filter.

Făcând clic pe pictograma Butonul de vizualizare din coloana Alert Name, se deschide fereastra pop-up Alert Viewer, unde pot fi revizuite informații detaliate despre alerta declanșată. Următoarele elemente sunt deosebit de relevante pentru investigare:

  • ENABLE ROW SELECTION - Permite selectarea mai multor alerte pentru acțiuni în masă.

    • BULK MARK AS ACKNOWLEDGED - Marchează alertele selectate ca revizuite sau confirmate.

    • BULK MARK AS FALSE POSITIVE - Etichetează alertele selectate ca non-amenințări sau detecții incorecte.

    • BULK MARK AS NEW - Resetează starea alertelor selectate la „new”.

    • RUN PLAYBOOK WITH ALERTS - Execută un playbook automat folosind alertele selectate ca intrare.

    • BULK SET ALERT ASSIGNEE (USER) - Atribuie alertele selectate unui anumit utilizator.

    • BULK SET MITREID - Atribuie sau actualizează clasificarea MITRE ATT&CK pentru alertele selectate.

    • ADD TO EXISTING INVESTIGATION - Leagă alerta selectată de un caz de investigare creat anterior.

    • BULK SET USER CLASSIFICATION - Actualizează clasificarea utilizatorului pentru alertele selectate.

    • BULK DELETE - Elimină alertele selectate.

  • RUN PLAYBOOK - Execută o procedură de răspuns automat predefinită.

  • CREATE INVESTIGATION CASE - Deschide un nou caz de investigare pe baza alertei.

  • VIEW ANOMALY EVENTS - Deschide evenimentele de anomalie asociate alertei selectate.

    Următoarele acțiuni sunt disponibile din meniul de acțiuni al alertei. Pentru a le accesa, deschideți detaliile alertei și faceți clic pe Trei puncte din partea dreaptă a barei de acțiuni a alertei. Meniul afișează opțiuni suplimentare pentru gestionarea, clasificarea, exportarea sau ștergerea alertei selectate.

  • VIEW FULL ALERT - Deschide detaliile complete ale alertei într-o vizualizare dedicată.

  • ADD TO EXISTING INVESTIGATION - Leagă alerta de un caz de investigare creat anterior.

  • DOWNLOAD - Salvează local detaliile alertei în format de fișier JSON.

  • EXPLAIN - Deschide chatul AI CyberQuest Assistant pentru a oferi analiză contextuală și îndrumare de investigare pentru alerta selectată.

  • CHANGE USER CLASSIFICATION - Actualizează clasificarea amenințării a utilizatorului implicat.

  • MARK AS ACKNOWLEDGED - Marchează alerta ca revizuită sau notată.

  • MARK AS FALSE POSITIVE - Etichetează alerta ca non-amenințare sau detecție incorectă.

  • MARK AS NEW - Resetează starea alertei la „new” pentru revizuire ulterioară.

  • ADD DEDUPLICATE ITEM - Marchează această alertă ca duplicat al alteia.

  • SET DEDUPLICATE OF - Atribuie o altă alertă ca original al cărui duplicat este aceasta.

  • DELETE - Elimină alerta.

Gestionarea alertelor

Pentru a gestiona o alertă declanșată, deschideți modulul Alerts făcând clic pe butonul Modulul Alerts situat în partea stângă a interfeței web. Aceasta deschide vizualizarea de gestionare a alertelor, unde alertele declanșate pot fi revizuite, atribuite, actualizate, exportate sau eliminate.

Faceți clic pe pictograma Butonul de vizualizare din coloana Alert Name pentru a extinde alerta selectată. Odată extinsă, detalii suplimentare ale alertei sunt afișate direct în vizualizarea Alerts, inclusiv descrierea alertei, zona de note, acțiunile de răspuns, informațiile de sinteză, entitățile asociate și opțiunile de investigare.

  • Fila Alert History oferă o înregistrare cronologică a acțiunilor efectuate asupra alertei selectate. Aceasta afișează informații precum utilizatorul care a efectuat acțiunea, data și ora acțiunii, starea actualizată a alertei și orice note sau comentarii asociate.

    Folosiți fila Alert History pentru a revizui toate activitățile de gestionare efectuate asupra alertei făcând clic pe butonul Buton istoric alertă :

  • Alertele pot fi atribuite unor utilizatori specifici pentru investigare, urmărire sau rezolvare. Acest lucru ajută la distribuirea responsabilităților de gestionare a alertelor între analiști sau membrii echipei:

  • Acțiunea Download Report este disponibilă din meniul de acțiuni al alertei. Pentru a o accesa, deschideți detaliile alertei și faceți clic pe Trei puncte din partea dreaptă a barei de acțiuni a alertei. Această opțiune permite utilizatorului să exporte un raport pentru alerta selectată în format HTML.

    DOWNLOAD REPORT - Descarcă un raport generat conținând detaliile și contextul alertei selectate.

Notă: În raportul HTML exportat, câmpul Date din tabelul Alert History este afișat în ora UTC.

Acțiunea Run Playbook permite utilizatorului să selecteze și să execute manual o acțiune de răspuns predefinită din lista de playbook-uri disponibile.

  • RUN PLAYBOOK - Permite selectarea manuală a unei acțiuni din lista de playbook-uri pentru a fi executată asupra alertei/evenimentului.

Deduplicarea manuală a alertelor

Deduplicarea manuală permite utilizatorilor să lege alerte duplicate sau strâns legate de o alertă principală. Acest lucru ajută la reducerea intrărilor repetate din lista de alerte, menține alertele asociate grupate împreună și susține o investigare și corelare mai rapidă în timpul analizei.

Pentru a deduplica manual o alertă:

  1. Deschideți modulul Alerts.
  2. Identificați alerta care ar trebui marcată ca duplicat sau legată de o altă alertă.
  3. Extindeți detaliile alertei, apoi faceți clic pe Trei puncte din partea dreaptă a barei de acțiuni a alertei.
  4. Mai întâi selectați Add Deduplicate Item pentru a adăuga alerta în procesul de deduplicare.
  5. După ce elementul duplicat este adăugat, selectați Set Deduplicate Of pentru a defini alerta principală/rădăcină la care va fi legată alerta curentă.
  6. În fereastra de selecție a deduplicării, revizuiți alerta selectată și relația Duplicate Of, apoi faceți clic pe butonul de confirmare Buton de deduplicare pentru a aplica legătura de deduplicare.

Opțiuni de deduplicare:

  • Add Deduplicate Item: Adaugă alerta selectată ca element de deduplicare, pregătind-o pentru a fi legată de o altă alertă asociată.
  • Set Deduplicate Of: Definește alerta principală/rădăcină al cărei duplicat este alerta selectată.

Odată ce ambele acțiuni sunt aplicate, alerta este asociată cu alerta principală selectată. Acest lucru ajută analiștii să gestioneze mai eficient detecțiile repetate și să evite investigarea aceleiași activități de mai multe ori.

Crearea unui caz de investigare

Pentru instrucțiuni detaliate privind crearea unui caz de investigare, consultați secțiunea Case Management.