El equipo de detección de amenazas de Elastic InfoSec es responsable de crear, ajustar y mantener las detecciones de seguridad utilizadas para proteger todos los sistemas Elastic®. Internamente, nos llamamos Cliente Cero y nos esforzamos por utilizar siempre las versiones más recientes de nuestros productos. Este blog detalla cómo estamos creando paquetes de reglas de detección que funcionan en conjunto para crear una alerta de alta fidelidad para comportamientos extraños de los usuarios.
El problema: detectar una cuenta comprometida
Crear detecciones para cuentas comprometidas puede ser una de las alertas más difíciles de crear para un ingeniero de seguridad. Cada red es única y tiene diferentes definiciones de lo que es una actividad "normal".
Un método de detección que ha ido ganando popularidad recientemente implica la creación de modelos llamados análisis de comportamiento de entidades de usuario (UEBA). Estos modelan el comportamiento normal de una cuenta o sistema y funcionan con el aprendizaje automático para enseñarle a su entorno cómo detectar cuando sucede algo extraño. Tradicionalmente, construir estos modelos puede ser complejo, costoso y propenso a falsos positivos. La precisión del modelo se puede reducir si los modelos se entrenan en eventos que normalmente causan falsos positivos, como transferir usuarios a un nuevo equipo, agregar nuevas cuentas o sistemas, o usuarios que inician sesión durante un viaje de negocios.
El desafío es detectar actividad cuando una cuenta ha sido comprometida sin que las alertas se pierdan en el ruido de los falsos positivos. En una red moderna, hay una gran cantidad de cuentas diferentes que deben ser rastreadas por usuario, como la actividad de su cuenta en Slack, Okta, GitHub, O365, Active Directory, Salesforce, ServiceNow y cualquier otro sistema empresarial que utilice.
En esta publicación de blog, les mostraré uno de los enfoques que utilizamos internamente en Elastic para crear paquetes de detección UEBA dentro de nuestro SIEM que son más fáciles de construir y mantener y también menos propensos a falsos positivos. Estos paquetes UEBA también se pueden construir completamente dentro del motor de detección de Elastic Security sin la necesidad de transformaciones adicionales o sistemas externos.
>> Informe Elastic Global Threat: Principales previsiones y recomendaciones de ciberseguridad
La solución: paquetes de detección UEBA
Un paquete de detección UEBA es lo que llamamos un grupo de reglas de detección que trabajan juntas para crear alertas sobre comportamientos verdaderamente anómalos por parte de una cuenta o entidad. Para hacer esto, creamos una colección de reglas de bloques de construcción que alertan individualmente sobre nueva actividad, aunque eso por sí solo puede no ser una indicación de alta confianza de que algo es malicioso. Cada una de estas reglas tiene una etiqueta que la marca como parte del paquete de detección UEBA. Estas alertas de bloques de construcción no son visibles de forma predeterminada en la vista de alertas de SIEM y no utilizamos las acciones de alerta para enviar estas alertas fuera de SIEM.
Después de aplicar las reglas de los componentes básicos del paquete de detección UEBA, implementamos reglas de umbral para cada uno que utiliza el índice de alertas para identificar elementos del paquete UEBA dentro de diferentes alertas. Esto puede incluir etiquetas para un usuario, máquina o dirección IP de origen y crea una alerta basada en toda la información disponible. Por ejemplo, se crearía una alerta UEBA cuando se ve una sesión de inicio de sesión de Slack desde un nuevo dispositivo en una nueva ubicación y está realizando una actividad irregular. Si el inicio de sesión es desde una nueva ubicación pero no hubo cambios en el dispositivo o en el comportamiento habitual, no se crea una alerta. Esta alerta UEBA tiene una tasa baja de falsos positivos y está configurada en un nivel de gravedad más alto que cualquier alerta individual.
Muchas de nuestras alertas de componentes básicos de UEBA son alertas de términos nuevos porque crearán una señal cuando suceda algo nuevo con una cuenta. Una nueva regla de términos genera una alerta para cada nuevo término detectado en los documentos fuente dentro de un rango de tiempo específico. También puede detectar una combinación de hasta tres términos nuevos (por ejemplo, host.ip y host.id que nunca antes se habían observado juntos). Un ejemplo de una regla de bloque de construcción de nuevos términos de UEBA sería alertar sobre un nuevo source.ip o región geográfica para una cuenta de servicio, o un nuevo agente de usuario para una sesión de inicio de sesión.
Cómo crear un paquete de detección UEBA en Elastic Security
El primer paso para crear un paquete de detección UEBA es identificar la fuente de datos para la que creará y crear un plan para el tipo de actividad que desea detectar. Dedique algún tiempo a explorar sus datos para saber cómo es la actividad normal del usuario. Una vez que sepa cómo es lo normal para una cuenta, puede planificar las detecciones de sus componentes básicos para los comportamientos anormales. También deberá decidir un nombre de etiqueta para las reglas de sus bloques de construcción. El campo de etiqueta distingue entre mayúsculas y minúsculas, por lo que deberá utilizar las mismas mayúsculas y minúsculas para cada etiqueta.
Desde la aplicación Seguridad, navegue hasta la página Reglas y seleccione Crear nueva regla.