یکی از با ارزش ترین قسمتهای طراحی شده در سامانه کورلاگ Incident Management می باشد. پس از گردآوری اطلاعات تجهیزات و دارایی های سازمان، تحلیل داده ها و آماده سازی گزارشات و داشبوردها، این قسمت وظیفه دارد تا نسبت به رخدادهای پیچیده واکنش نشان داده و کاربران ارشد را از رخدادهای مخاطره آمیز آگاه سازد.

به منظور ایجاد سناریو در سامانه کورلاگ قبل از طراحی سناریوها حتماً می­بایست شرایط و رفتار شبکه مورد بررسی قرار گیرد. برای تعیین میزان اهمیت سرورها و شناسایی شرایط بحرانی ، بهتر است نظر کارشناسان شبکه سازمان بررسی شده و بر اساس نیاز، سناریوهای مختلف طراحی گردد. به دلیل بار پردازشی که اجرای سناریوها به سامانه تحمیل می کند بهتر است از ایجاد سناریوهای غیر ضروری خودداری شود.

ساختار پنجره Incident Management

پنجره Incident Management سه بخش اصلی دارد که در قسمت ساختار درختی قابل مشاهده است:

• Incidents
• Rule Based Correlation
• Statistical Correlation

با انتخاب هر گزینه بالا در قسمت List ، اطلاعات خاص گزینه نمایش داده شده و با استفاده از ابزارهای تعیین شده می توان محدوده نمایش اطلاعات را تغییر داد.

 معرفی و نحوه کار با پنل Incidents

این پنل برای نمایش داده های گردآوری شده از سناریوهای مختلف ایجاد شده است. در این پنل یک ساختار درختی تعبیه شده است که بر اساس اطلاعات تکمیل شده در قسمتهای Rule Based Correlation و Statistical Correlation و Vulnerability Correlation تکمیل می گردد. چنانچه سناریوهای نوشته شده با رخدادی مطابقت پیدا نمایند. یک رکورد در بانک ذخیره شده و در Incident List نمایش داده می شود. در پنل List ، ابزارهای زیر تعبیه شده است:

• قابلیتهای فیلترینگ (Filter Bar) در بخش List Action:

• بخش مربوط به تنظیمات تاریخ و زمان (Time Setting)  در بخش List Action:

• نمایش اطلاعات فیلتر شده در بخش List:

• گزینه های مربوط به وضعیت جدول (Status Bar)  در بخش List Status:

برای یادگیری شرط نویسی می توانید به گزینه ” قوانین شرط نویسی در Event Investigation مراجعه نمایید.

با انتخاب هر زیر شاخه از ساختار درختی Correlation رخدادهای مطابق آن شاخه ، بازیابی و نمایش داده می شود که با تغییر تنظیمات فیلترینگ ، رخدادها دقیق تر می شود. با دبل کلیک نمودن بر روی هر سطر جدول ، پنجره مربوط به اطلاعات آن رخداد نمایش داده می شود که شامل چهار Tab Index می باشد:

• Graphical View
• Incident Attributes
• Event Type Detail
• Matched Events

معرفی و نحوه کار با پنل Rule Based Correlation

با توجه به ماهیت سیستم­های SIEM که دارای گستردگی و پیچیدگی­های خاص خود می باشند، این مستند تلاش دارد تا نحوه‌ تولید و مستندسازی سناریوهای Rule Base Correlation را بر اساس ساختار سامانه­ Corelog شرح داده و آموزش­های لازم را در خصوص این بخش از سامانه­ CoreLog ارائه نماید.

شناخت ساختار درختی Rule Based

برای دسته بندی رخدادها می توان از طبقه بندی درختی تعبیه شده ، استفاده کرد. در قسمت Tree Action که سمت چپ پنل قرار گرفته است ، می توان شاخه های ساختار درختی را ویرایش نمود. برای ایجاد ، ویرایش یا حذف یک شاخه می توان از کلیدهای زیر استفاده کنیم:

کلید  برای اضافه کردن یک شاخه به ساختار درختی می باشد.

کلید  برای ویرایش مشخصات یک شاخه می باشد.

کلید  برای حذف یک شاخه از ساختار درختی در نظر گرفته شده است.

برای ایجاد یک سناریو از کجا شروع کنیم؟

ابتدا پنل Rule base Correlation را انتخاب می کنیم. چنانچه تمایل به تفکیک سناریو ها را داشته باشید می توانید ساختار درختی مدنظر خودتان را ایجاد کنید. سپس با استفاده از کلیدهای قسمت List Action که در بالای صفحه قرار گرفته ، سناریوهای مدنظر را ایجاد یا ویرایش می کنیم. این کلیدها در List Action وجود دارد:

کلید    برای افزودن یک سناریوی جدید است.

کلید    برای ویرایش خصوصیات سناریوهای موجود می باشد.

کلید    برای حذف یک سناریو مورد استفاده قرار می گیرد.

کلید    برای ایجاد یک نسخه ثانویه از قالب سناریو انتخاب شده ، می باشد.

کلید    برای ایجاد یک فایل خروجی یا وارد نمودن یک ساختار ذخیره شده می باشد.

کلید    برای جستوی یک سناریو است.

گزینه   برای مشاهده قالب سناریو از پیش تعریف شده ، استفاده می شود. هر کدام از قالب­های ارائه شده مربوط به یک سناریو است که می­تواند در شبکه، مورد استفاده قرار گیرد.

ایجاد یک سناریوی جدید

با کلیک بر روی  پنجره مربوط به ساخت New Scenario نمایش داده می شود. این پنجره به دو قسمت تقسیم شده است . در سمت چپ نام گروه آیتم ها دیده می شود و با انتخاب هر گزینه پارامترهای آن در سمت راست نمایش داده می شود:

• General
  • Name : نام سناریو.
  • Group : نام گروهی که سناریو در آن قرار دارد.
  • Severity : شدت و درجه اهمیت حمله ایست که می­بایست شناسایی شود.
  • TimeWindow : مدت زمان بررسی قوانین (شرط­ها) به منظور انطباق رخدادها و شناسایی حمله.
  • Notify Frequency : در صورتی­ که احتمال دهیم حمله­ در بازه زمانی کمتر از TimeWindow اتفاق می­افتد، می­توان با تعریف مقداری کمتر از TimeWindow حمله را سریع تر شناسایی کرده و اعلام نماییم. همچنین در صورتی­که بخواهیم با شناسایی یک حمله مشخص (مبدا و مقصد خاص) تا مدتی سناریو در مورد همان حمله match نشود (برای یک حمله خاص مکرراً ایمیل و sms ارسال نگردد) می­توان یک بازه زمانی بزرگتر از TimeWindow تعیین نمود.
  • Is Active : با این گزینه سناریو فعال یا غیر فعال می شود.
  • SubScenario : این گزینه در صورتی فعال می گردد که نتیجه اش توسط سناریو دیگری مورد استفاده قرار گیرد.
  • Description : توضیح لازم برای درکه بهتر عملکرد سناریو.
• Rules
  • برای ایجاد شرط های مناسب از این گزینه استفاده می شود برای آموزش بیشتر ، لازم است تا ” قوانین شرط نویسی در Event Investigation ” را مطالعه فرمایید.
• Rules Relations
  • اگر در سناریو لازم است تا چند رخداد به صورت همزمان رخ دهد تا سناریو فعال شود، بایستی ارتباط بین رخداد ها در این قسمت تعریف و به هم مرتبط شود. به عنوان ثال اگر بخواهیم پارامتر Reporting IP که در قانون اول و دوم Group By شده یکسان باشد، در این قسمت تعریف می­گردد.
• Attribute
  • در این بخش می ­توان پارامترهای خاصی را به Attribute های تعریف شده در قوانین، منطبق کرد. به عنوان مثال در صورتی ­که بخواهیم آدرس مقصد در فرمت ایمیل همیشه Dest IP باشد ولی در سناریوهای مختلف پارامترهای دیگری به عنوان هدف حمله Group By شده باشد در این قسمت تنظیم می­گردد. همچنین نگاشت پارامتر Secondary Reporting IP (که در فرمت ایمیل می­توان از آن استفاده کرد) با پارامتر Reporting IP ، در این قسمت تعریف می­گردد.
• Timing Profile
  • Full : تمام 24 ساعت روز این سناریو فعال خواهد بود.
  • Out of Work hours : پس از اتمام زمان کار این سناریو فعال می شود (کل روز به استثناء ساعت 8 تا 17)
  • Wroking Time : در بازه زمانی کار این سناریو فعال می شود (ساعت 8 تا 17)
• Action
  • چنانچه سناریو با رخدادی مطابق شود لازم است تا عمل مناسبی تعریف و انتخاب شود. در این قسمت امکان ارسال ایمیل ، SMS و یا اجرای Command وجود دارد.
• Recommanded Action
  • به منظور اطلاع کارشناسان دیگر، می­توان توضیحاتی در مورد عمل انجام شده بعد از شناسایی حمله ارائه داد.

معرفی و نحوه کار با پنل Statistical Correlation

این گزینه در سیستم Incident Mangement نقش مهمی را ایفا می نماید. قبل از ایجاد هر سناریو لازم است تا با بررسی داده های آماری شرایط عادی یک شبکه را تعیین نماییم. در شبکه هایی که دارای ترافیک بالایی هستند ، تعیین حدود نامناسب باعث ایجاد خطاهای غیر واقعی شده و کاربران ارشد را بی اعتماد می سازد. لذا لازم است در بازه های زمانی متفاوت آهنگ رشد ترافیک و رخدادها را تعیین نموده و بر اساس آن سناریو لازم را تهیه کنیم.

شرایط نوشته شده در این بخش قابل ویرایش نیستند و پس از اتمام و ذخیره سازی و شروع بکار شرط، تنها می توان از آنها یک نسخه جدید ایجاد نموده و نسخه جدید را ویرایش نمود. بنابراین قبل از ذخیره سازی لازم است تمام تنظیمات به صورت دقیقی بررسی شود.

کلید های پنل Statistical Correlation

ساختار کلیدها در این پنل مشابه پنل های دیگر می باشد اما به خاطر اینکه نمی توان شرط های نوشته شده را ویرایش کرد. کلید ویرایش از این پنل حذف شده است .

کلید   برای افزودن یک سناریوی جدید است.

کلید    برای حذف یک سناریو مورد استفاده قرار می گیرد.

کلید    برای ایجاد یک نسخه ثانویه از قالب سناریو انتخاب شده ، می باشد.

کلید    برای ایجاد یک فایل خروجی از ساختار ذخیره شده می باشد.

کلید  برای جستوی یک سناریو است.

گزینه    را پس از ذخیره سازی سناریو کلیک می نماییم. در این حالت سامانه کورلاگ شروع به گردآوری اطلاعات و تهیه نمودارهای لازم می کند . پس از پایان کار ، آماری از شاخص های شبکه در بازه های زمانی متفاوت ایجاد می شود. از این اطلاعات می توان استفاده نمود و سناریو های متناسب با سازمان یا شرکت را تولید نمود.

ایجاد یک Statistical Correlation

 ابتدا کلید   را کلیک کنید. با این کار پنجره New Statistical Correlation باز می شود. این پنجره دارای سه Tab Index زیر می باشد:

• General
• Conditions
• Learning & Bound

صفحه General دارای مقادیر زیر می باشد:

• Name : نام سناریوی جدید است. این گزینه اجباری می باشد.
• Repository: سامانه کورلاگ دارای بانک های اطلاعاتی متعدد ، با بازه های زمانی خاص خود می باشد. برای استفاده بهینه لازم است تا کاربر با این ساختار آشنایی داشته باشد.
  • Incident : بانک اطلاعاتی مربوط به رخدادهایی است که بر اثر سناریوهای نوشته شده، ایجاد می گردد.
  • Profile : بانک اطلاعاتی واسطی است که برای ایجاد ارتباط بین رخدادهای Incident و بانک اطلاعاتی Currensic دیده شده است . بانک اطلاعاتی Currensic دارای طول عمر طولانی نیست و تنها برای 30 روز کاری در نظر گرفته شده است
  • Currensic : بانک اطلاعاتی رخدادهای ثبت شده در سیستم کورلاگ است.
  • System Log : این بانک اطلاعاتی مخصوص رخداد های سیستم کورلاگ تعبیه شده است.

• Description: توضیح تشریح عملکرد سناریو.

صفحه Conditions دارای گزینه های زیر است:

• جدول شرط ها که لازم است برای آشنایی با شرط نویسی ” قوانین شرط نویسی در Event Investigation را مطالعه فرمایید.

صفحه Learning & Bound

دارای 2 گزینه می باشد. یک آیتم برای تنظیم محدوده تاریخ و زمان و دیگری برای ضریب مجاز انحراف از معیار.

ضریب مجاز برای انحراف از معیار دارای دو گزینه است . گزینه اول Standard Deviation که شامل ضریب 1 تا 4 است و به صورت استاندارد در نظر گرفته شده است و دومی گزینه Manual Bound که به کاربر اجازه می دهد هر ضریب انحراف خاصی که مدنظر دارد، در سیستم اعمال نماید.