Cómo crear reglas de filtrado personalizadas para filtrar eventos inocuos
Última modificación: 2021-04-23 02:03:18 Etc/GMT
Descargo de responsabilidad
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas:
Découvrez comment un écosystème XDR qui s'adapte en permanence peut dynamiser votre entreprise.
Bryan Palma, CEO de Trellix, explica la imperiosa necesidad de contar con una seguridad que aprenda y evolucione.
Descargue el informe Magic Quadrant, que evalúa a los 19 proveedores en función de su amplitud de visión y capacidad de ejecución.
Según Gartner, "XDR es una tecnología emergente que ofrece funciones mejoradas de prevención, detección y respuesta a amenazas.".
¿A qué amenazas de ciberseguridad deberían prestar atención las empresas durante 2022?
En el sector de la ciberseguridad no hay tiempo para aburrirse y nunca ha habido un mejor momento para aceptar esta idea como una ventaja y un catalizador de la actividad empresarial.
Dos líderes reconocidos del mercado de la ciberseguridad han unido fuerzas para crear un mundo digital resiliente.
Bryan Palma, CEO de Trellix, explica la imperiosa necesidad de contar con una seguridad que aprenda y evolucione.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Cómo crear reglas de filtrado personalizadas para filtrar eventos inocuos
Artículos técnicos ID:
KB74834
Última modificación: 2021-04-23 02:03:18 Etc/GMT Entorno
McAfee SIEM Event Receiver (receptor) 11.x ResumenEl ESM utiliza expresiones regulares compatibles con Perl (PCRE) al crear reglas de filtro (discard) específicas. En este artículo se describe cómo crear reglas de filtrado que etiqueten los eventos coincidentes a partir de una regla personalizada con un No analizar Etiquetas. Esta etiqueta evita que el evento se agregue al archivo de datos del origen de datos para su análisis.
NOTA: En este artículo se da por hecho que está familiarizado con el regex y la creación de reglas personalizadas en el editor de directivas.
La siguiente expresión de PCRE busca uno de los códigos de evento incluidos en el interior de los corchetes y, a continuación, otro campo en el texto del mensaje que contiene una de las dos cadenas. Las cadenas específicas son Nombre de cuenta bien Nombre de usuario. Van seguidos de una cadena de caracteres, espacios o tabulaciones antes del signo $ final al final del nombre de la cuenta o el usuario. El signo $ indica que los eventos son eventos de inicio de sesión generados por el equipo que se producen todos los días, todos los días, en Windows sistemas. No son útiles en los informes forenses. Resulta más útil buscar nombres de cuentas de usuario que contengan el nombre de la estación de trabajo de origen o la dirección IP en el texto del mensaje del evento.
La siguiente expresión PCRE busca código de evento Microsoft Windows 4771 y una cadena de texto de los caracteres posteriores a 4771 se ha detectado. Esta regex expresión busca el ID de evento 4771 y la cadena de texto. Windows Firewall no proporcionó la siguiente regla en los campos de encabezado de evento:
La expresión PCRE siguiente busca una cadena de texto concreta que aparezca en el texto del mensaje de un evento de Windows. En el ejemplo siguiente, busca Plataforma de filtrado de Windows en el texto del mensaje y toma la ruta adecuada. (Enviar a ELM bien rechace. Sin ruta):
La siguiente expresión PCRE busca una cadena de texto "outside" seguida de cualquier número de caracteres hasta los tres primeros octetos de una dirección IP. 64.39.111 se detectan. En el ejemplo siguiente, incluiría cualquier evento con la cadena de texto "fuera" y cualquier dirección IP que coincida con los tres primeros octetos:
Información relacionada
Estos sitios web son útiles para probar las expresiones de regex y para buscar detalles de códigos de eventos WMI específicos.
Descargo de responsabilidadEl contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicadosIdiomas:Este artículo se encuentra disponible en los siguientes idiomas: |
|