Correlación Automática en Palo Alto



Motor de Correlación Automática

El motor de correlación automatizada es una herramienta de análisis que utiliza los logs de seguridad para detectar eventos. El motor correlaciona una serie de eventos de amenaza relacionados que, al combinarse, indican un host comprometido en la red. Se identifica áreas de riesgo, tales como hosts de la red comprometida, le permite evaluar el riesgo, para luego tomar medidas para prevenir la explotación de recursos de red. El motor de correlación automatizada utiliza objetos de correlación para analizar los registros de patrones y cuando se produce una coincidencia, se genera una evento correlado.

La plataformas que lo soportan:
  1. -          Panorama—M-Series appliance y appliance virtual
  2. -          PA-7000 Series firewall
  3. -          PA-5000 Series firewall
  4. -          PA-3000 Series firewall

Concepto De La Maquina de Auto Correlación

El motor de correlación automatizada utiliza objetos de correlación para analizar los registros de patrones y cuando se produce una coincidencia, se genera una evento correlacionado.

Objetos de Correlación

Un objeto de correlación, es un fichero con definiciones que especifica patrones de comportamiento para que coincidan contra los datos de las fuentes de datos. Un patrón es una estructura booleana que mira y lanza una query a los origines de datos buscando alguna coincidencia, estas fuentes de datos son: estadísticas de aplicaciones, trafico, etc. ..

Cada patrón tiene su clasificación de gravedad y un umbral del número de veces que se repite y coinciden con el patrón establecido para indicar que es una acción maliciosa. Cuando se cumplen las condiciones se genera un evento correlado y queda registrado (loggeado). 

Un objeto de correlación puede detectar un evento de red aislado y buscar en patrones si indican que es una acción maliciosa, estos objetos de correlación miran las vulnerabilidades conocidas, los botnet, y demás log del firewall; si existe una relación indica con una alta probabilidad que ese host está comprometido.

Estos Objetos de correlación son definidos por el equipo de investigación de Palo Alto Network y se entregan a la semana con actualizaciones dinámicas. Para tener esta funcionalidad se debe tener una licencia de Prevención de amenazas.

Evento Correlado

Un evento correlado se registra cuando los patrones y los umbrales definidos en un objeto de correlación coinciden con los patrones y con el trafico de red.

 

Vista de los objetos de Correlación

Para ver los objetos de Correlación activados en el firewall, nos tenemos que posicionar sobre Monitor>Automated Correlation Engine>Correlation Objects.

Interpretación de eventos correlados

Monitor>Automated Correlation Engine>Correlated


Grados de severidad:
  • Critical 
  • High (alta)
  • Medium (media)
  • Low(baja)
  • Informational(info)

Saludos
Israel Muñoz Ruiz
Posted by No hay comentarios:
Labels: , ,
Suscribirse a: Entradas (Atom)