偵測
於左側目錄選擇「TDM」->「主機」進入主機儀表板,於上方顯示偵測事件TOP10的時間趨勢圖,並於下方列出偵測事件清單。
1. 偵測規則管理:點擊「規則管理」進入規則管理頁面。
自訂頁籤
(1) 新增自訂規則:點擊「新增」開啟新增規則編輯頁。
1-1. 基本資料填寫
1-1-1. 名稱:必填欄位,系統管理者自行輸入自訂偵測規則名稱,應低於128字元。
1-1-2. 描述:必填欄位,系統管理者自行輸入自訂偵測規則描述,應低於1024字元。
1-1-3. 嚴重程度:必選欄位,下拉選單選擇嚴重程度,嚴重/高/中/低。
1-1-4. 風險評分:必填欄位,選擇嚴重程度後,系統會自動帶入符合嚴重程度的風險評分,系統管理員亦可自行輸入,僅能輸入數字且值應該在1和100之間。
1-1-5. 標籤: 選填欄位,系統管理者可針對該偵測規則訂定標籤。
1-1-6. 網址:點擊icon,系統管理員可新增參考網址。
1-1-7. MITRE ATT&CK™ threat:點擊icon,系統管理員可新增策略網址。
1-2. 條件設定
1-2-1. 過濾條件名稱:必選欄位,下拉選單選擇過濾條件名稱。選擇後可點擊「預覽」查看符合過濾條件的日誌內容,預設顯示最近七天日誌內容。
1-2-2. 資料範圍:必填欄位,系統管理員輸入排程查詢的資料範圍,僅能輸入數字且值應該在1和99999之間,資料範圍不可大於執行頻率。
1-2-3. 門檻值:必填欄位,系統管理員下拉選單選擇判斷式並輸入筆數,僅能輸入數字且值應該在1和99999之間。
1-2-4. 執行頻率:必填欄位,系統管理員輸入排程的執行頻率,僅能輸入數字且值應該在1和99999之間。
1-3. 通報機制:勾選Checkbox選擇使用Email發送偵測通報,下拉選單選擇收信角色群組,系統管理員可自行輸入Email地址及自訂信件主旨。
1-4. 點擊「完成」將自訂偵測規則儲存。並需於自訂偵測管理頁面點擊「套用」才可啟用偵測作業。
(2) 匯入:點擊「匯入」icon,開啟檔案上傳視窗,可將自訂規則des3檔匯入。
(3) 匯出:於自訂規則管理列表頁,將欲匯出的自訂規則checkbox勾選後,點擊「匯出」,即可將指定規則以des3檔案形式匯出。
SAFE3頁籤
(1) SAFE3官方偵測規則管理列表:清單包含黑名單/中繼站清單及 https://github.com/elastic/detection-rules/tree/main/rules 所有項目。僅能提供編輯排程及通報設定。
(2) 列表功能介紹
2-1. 點擊官方偵測告警標題「^」icon可展開規則清單。
2-2. 點擊
icon,可複製官方規則至自訂規則頁籤。
2-3. 點擊
icon,可查看事件清單,內容包含基本資料及事件清單。
(3) 編輯官方偵測規則:點擊icon,開啟編輯規則頁面。
3-1. 基本資料:預設系統自行填入,不可編輯。
3-2. 條件設定
3-2-1. 過濾條件名稱:不可編輯。
3-2-2. 資料範圍:必填欄位,系統管理員輸入排程查詢的資料範圍,僅能輸入數字且值應該在1和99999之間,資料範圍不可大於執行頻率。
3-2-3. 門檻值:必填欄位,系統管理員下拉選單選擇判斷式並輸入筆數,僅能輸入數字且值應該在1和99999之間。
3-2-4. 執行頻率:必填欄位,系統管理員輸入排程的執行頻率,僅能輸入數字且值應該在1和99999之間。
3-3. 通報機制:勾選Checkbox選擇使用Email發送偵測通報,下拉選單選擇收信角色群組,系統管理員可自行輸入Email地址及自訂信件主旨。
3-4. 點擊「完成」將官方偵測規則儲存。並需於偵測管理頁面點擊「套用」才可啟用偵測作業。
網路
1. 以世界地圖呈現網路流量圖。
2. 四宮格:顯示網路事件數/DNS查詢數/唯一流量ID個數/網路輸入及網路輸出流量。
3. 折線圖:顯示唯一的私有來源/目標IP個數時間軸。
黑名單
1. 於左側目錄點擊「TDM」>「黑名單」進入黑名單管理頁,系統管理員可於此處新增/刪除黑名單主機,並於偵測官方頁籤啟用Black List告警。
(1) 新增黑名單:點擊「新增+」icon,開啟新增黑名單輸入框,於輸入框輸入黑名單主機IP後點擊「儲存」。
(2) 匯入黑名單
2-1. 匯入範本下載:點擊
icon可下載黑名單匯入範本CSV檔。
2-2. 更新黑名單:將黑名單CSV檔上傳於上傳輸入框,點擊「更新」,完成黑名單更新。
(3) 刪除黑名單:點擊
icon,將黑名單主機刪除。
