- audit: chứa các sự kiện liên quan đến sự giám sát thay đổi hệ thống, kiểm toán, và tất cả các lịch sử tìm kiếm của người dùng.
c) Phân loại tài sản (Taxonomies)
Trong phần này, ta có thể khai báo các quy tắc để phân loại tài sản của hệ thống. Phân loại cho phép ta nhóm các tài sản với các phát hiện liên quan một cách có ý nghĩa. Điều này cung cấp nền tảng cho việc báo cáo về các mối đe dọa đến
khu vực. Ngồi ra, có thể tích hợp Active Directory để phân loại dựa trên thành viên nhóm người dùng hoặc cấu trúc OU. Nó cũng cung cấp một tiện ích để phân loại các tài sản có mức độ ưu tiên cao như tài khoản quản trị, các tài khoản dịch vụ đặc quyền hoặc các hệ thống có nhiệm vụ quan trọng. Để xác định các thuộc tính ưu tiên cao bằng cách bật cờ Critical. Nếu event được phát hiện đối với một nội dung được coi là quan trọng, thì mức độ nghiêm trọng sẽ tự động được điều chỉnh thành Critical. Để phân loại các tài sản và người dùng có thể dựa trên một trong bốn thuộc tính sau:
• Hostname: Cung cấp một mẫu biểu thức chính quy để có thể so khớp các
thiết bị và detect dựa trên tên máy trạm. Điều này rất hữu ích nếu ta có một danh pháp phổ biến được sử dụng như là một phần của các quy ước đặt tên cho các điểm cuối. Ví dụ: nếu Domain Controllers ta sử dụng một quy ước đặt tên của SRV-DC-1, SRV-DC-2,…Thì ta có thể cung cấp mẫu như sau ^ SRV-DC- \ d.
• Username: Cung cấp một mẫu biểu thức chính quy để so khớp tên tài
khoản. Ví dụ: có lẽ tất cả các tài khoản dịch vụ đều bắt đầu với svc-. Trong trường hợp này, ta có thể cung cấp một mẫu ^ svc- để tìm kiếm bất kỳ một detect nào liên quan đến một tài khoản dịch vụ
• Active Directory OU: Tùy chọn này là cách tiếp cận có thể mở rộng hơn
để phân loại tài sản vì nó có thể tự động kéo dữ liệu này từ AD thay vì duy trì bản đồ phân loại trong ứng dụng. Cung cấp đường dẫn Distinguished Name (DN) đầy đủ cho OU của Active Directory. Ví dụ: tất cả tài khoản của nhân viên điều hành của bạn có thể nằm trong một Đơn vị tổ chức chun dụng nào đó.
• Active Directory Group: Falcon Orchestrator cũng kéo thơng tin nhóm
thành viên từ AD. Với thơng tin này, bạn có thể xác định ngun tắc phân loại để theo dõi hoạt động liên quan đến các nhóm AD cụ thể như những người có quyền truy cập đặc quyền.
Bằng cách tạo quy tắc phân loại, mọi phát hiện có tài sản phù hợp với quy tắc sẽ tự động được gắn thẻ dựa trên mô tả của phân loại đã cung cấp. Để xác định các quy tắc bằng các thuộc tính Active Directory, cần đảm bảo rằng các cài đặt cần thiết đã được cấu hình. Khi chỉ định một nhóm AD hoặc OU cần phải cung cấp đường dẫn đầy đủ Distinguished Name. Nếu DN không tồn tại, quy tắc phân loại sẽ khơng được tạo ra.
Hình 3-21: Tạo phân loại tài sản hệ thống