Borrar automáticamente detecciones generadas por un IOA

Las reglas de eliminación automática eliminan detecciones generadas por un IOA que el administrador considera que son falsos positivos o que no tienen importancia.

Para crear una regla de eliminación automática el administrador parte de una detección concreta. Una vez creada la regla, la puede modificar para hacerla más general o específica, para que aplique solo a ciertos equipos o grupos, o para evitar detecciones de ciertas características.

Las reglas de eliminación automática no eliminan detecciones ya generadas, solo marcan con el estado Eliminado las nuevas detecciones que coincidan con la definición de la regla. Advanced EPDR borrará efectivamente las detecciones con el estado Eliminado pasados 40 días. Las detecciones borradas definitivamente no se podrán recuperar.

El administrador solo puede gestionar reglas que afecten a equipos sobre los cuales tiene visibilidad. Para más información consulta Gestión de roles y permisos .

Este tema trata:

• Crear una regla de eliminación automática

• Listar las reglas de borrado automáticas

• Modificar una regla de borrado automática

• Eliminar una regla de eliminación automática

• Listar las detecciones borradas por una regla de eliminación automática

Crear una regla de eliminación automática

• En el menú superior selecciona Estado.

• En el panel izquierdo haz clic en Añadir. Se abrirá una ventana con los listados disponibles.

• En la sección Seguridad, selecciona Indicadores de ataque (IOA). Se abrirá la ventana Nuevo listado de Indicadores de ataque (IOA).

• Configura el panel de filtrado y haz clic en Lanzar la consulta. Se mostrará el listado de detecciones que coinciden con los criterios de filtrado seleccionados.

• Haz clic en el icono situado a la derecha de la detección que quieres tomar como base para crear la regla de borrado automático. Se mostrará un menú de contexto.

• Selecciona Añadir regla de eliminación automática . Se mostrará una ventana con la configuración base de la regla de borrado automático.

• En la ventana Añadir regla de eliminación automática haz clic en el icono para añadir los Grupos de equipos que no generarán detecciones.

• Haz clic en el icono para añadir los Equipos adicionales que no generarán detecciones.

  • Si Grupos de equipos y Equipos adicionales esta vacío, la regla de borrado automático afectará a todos los grupos.

  • Solo pueden generar reglas de borrado automático con Grupos de equipo y Equipos adicionales vacío las cuentas que acceden a la consola de Advanced EPDR con el rol Control Total.

• En la lista desplegable Detalles especifica el contenido del campo Otros detalles de las detecciones a eliminar. Para obtener más información sobre el campo detalles consulta Ventana de detalle.

  • Igual a: Establece el contenido exacto del campo.

  • RegEx: Establece el contenido del campo de forma flexible mediante una expresión regular. Consulta Expresiones regulares.

• Haz clic en Añadir. Se mostrará un mensaje en la parte superior de la ventana indicando que la regla de eliminación automática se creó correctamente y la regla de borrado automática empezará a asignar el estado Eliminado a las detecciones que coincidan con su definición.

Expresiones regulares

Consulta el enlace https://docs.microsoft.com/en-us/dotnet/standard/base-types/regular-expression-language-quick-reference para obtener más información sobre la sintaxis admitida en la expresiones regulares.
Para validar las expresiones regulares desarrolladas consulta el enlace http://regexstorm.net/tester.

Advanced EPDR soporta el formato Regex C para describir patrones flexibles en el campo Otros detalles de las detecciones de IOAs. Como en la mayoría de lenguajes utilizados para describir patrones de caracteres, es necesario “escapar” aquellos que se consideran especiales o propios del lenguaje utilizado. Con este fin se utiliza el carácter “\” en el caso de Regex C.

Para facilitar el desarrollo de expresiones regulares se incluye un panel de previsualización que permite comprobar si los patrones a buscar coinciden con la expresión regular escrita hasta el momento.

Para generar una expresión regular, haz clic en el desplegable RegEx del campo Detalles. El contenido del campo se actualizará con una expresión regular que cumpla con el contenido del panel de previsualización. Todos los caracteres especiales son “escapados” de forma automática por la consola para facilitar al analista la modificación de la expresión regular.

Ejemplo de exclusión utilizando expresiones regulares en el campo detalle

Por ser una acción exenta de riesgo pero muy frecuente, el administrador quiere marcar como Eliminado a todos las detecciones de IOAs que se generan al ejecutar la herramienta net.exe cuando este programa intenta añadir al grupo de administradores el usuario “gcch\GG_SEC_IBM_PC_Admins” .

La detección generada por Advanced EPDR en esta situación es la siguiente:

{ “contents”: [ { “ChildPath”: “SYSTEM|\net.exe”, “CommandLine”: “net localgroup administrators “gcch\GG_SEC_IBM_PC_Admins” /add”, “ParentPath”: “SYSTEM|\cmd.exe”, “extendedInfo”:“”, “loggedUser”: “NT AUTHORITY\SYSTEM” } ] }

En el campo Otros detalles de la detección se muestra su información en crudo:

{“contents”:[{“ChildPath”:“SYSTEM|\net.exe”,“CommandLine”:“net localgroup administrators “gcch\GG_SEC_IBM_PC_Admins /add”,“ParentPath”:“SYSTEM|\cmd.exe”,”extendedInfo”:“”,“loggedUser”: “NT AUTHORITY\SYSTEM”}]}

La expresión regular que filtra las detecciones por el contenido del campo Otros detalles según los criterios establecidos por el administrador es:

{"ChildPath":"SYSTEM\|\\net.exe".+gcch\\GG_SEC_IBM_PC_Admins

El panel de previsuliazación permite comprobar que la expresión regular definida genera el patrón de caracteres que concuerda con el contenido del campo Otros detalles de la detección.

Listar las reglas de borrado automáticas

• En el menú superior selecciona Configuración.

• En el menú lateral selecciona Reglas de eliminación automática.

• Para filtrar el listado por el tipo de IOA utilizado como base para crear las reglas de borrado automáticas:

  • Haz clic en Filtros. Se mostrará el panel de filtrado.

  • En la lista desplegable selecciona el Identificador de ataque. El listado se actualizará con las reglas de borrado automáticas que utilizaron detecciones generadas por el IOA seleccionado.

• Para filtrar el listado por el nombre de la regla, escríbelo en la caja de texto Buscar y pulsa la tecla Enter. El listado se actualizará con las reglas de borrado automáticas cuyo campo Nombre coincida parcialmente con el introducido en la caja de texto.

Modificar una regla de borrado automática

• En el menú superior selecciona Configuración.

• En el menú lateral selecciona Reglas de eliminación automática.

• Haz clic en la regla de borrado automática que quieres modificar. Se abrirá la ventana Editar regla de eliminación automática.

• Para modificar la configuración de la regla de eliminación automática consulta Crear una regla de eliminación automática.

Si creas una regla de eliminación automática con los campos Grupos de equipos y Equipos adicionales vacíos, Advanced EPDR la aplicará sobre las detecciones de IOAs generadas por todos los equipos de la cuenta. Por el contrario, si borras los campos Grupos de equipos y Equipos adicionales de una regla de eliminación automática cuando ya ha sido creada, Advanced EPDR no la aplicará a ningún equipo de la cuenta y quedará sin efecto.

Eliminar una regla de eliminación automática

Cuando el administrador borra una regla de eliminación automática, todos las detecciones marcadas como Eliminado que no han sido eliminadas definitivamente de Advanced EPDR pasan al estado Pendiente.

• En el menú superior selecciona Configuración.

• En el menú lateral selecciona Reglas de eliminación automática.

• Haz clic en las casillas situadas la izquierda de las reglas de borrado que quieres eliminar.

• En el menú de herramientas, haz clic en Eliminar regla. Se mostrará una ventana de confirmación.

• Haz clic en Eliminar. La regla de eliminación automática se borrará, dejará de marcar como Eliminado las detecciones que coincidan con su definición, y todas las detecciones pasadas que no hayan sido borradas definitivamente pasaran a estado Pendiente.

Listar las detecciones borradas por una regla de eliminación automática

• En el menú superior selecciona Configuración.

• En el menú lateral selecciona Reglas de eliminación automática. Se mostrará el listado Reglas de eliminación automática.

• Haz clic en el icono situado a la derecha de la regla de eliminación automática de la cual quieres ver las detecciones que ha eliminado. Se abrirá un menú de contexto.

• Selecciona Ver IOAs eliminados. Se abrirá el listado Indicadores de ataque filtrado por las detecciones de IOAs eliminadas por la regla seleccionada.