Ejemplos de firmas Sigma para información de seguridad
Esta página contiene consultas de ejemplo para ayudarte a lograr resultados significativos con Citrix Security Analytics.
Estos ejemplos cubren riesgos en las siguientes categorías:
- Puntos finales comprometidos
- Amenazas internas
- Exfiltración de datos
Cómo usar estos ejemplos
Ver el origen de datos y activar el procesamiento de datos
Para ver el origen de datos, haz clic en Configuración > Orígenes de datos > Seguridad en la GUI de Citrix Analytics. La tarjeta de sitio Aplicaciones y escritorios - Aplicación Workspace aparece en la página Orígenes de datos. Haz clic en Activar procesamiento de datos para permitir que Citrix Analytics comience a procesar datos para este origen de datos.
Citrix Analytics for Security™ envía los dos tipos siguientes de datos de información de riesgo a tu servicio SIEM:
- Eventos de información de riesgo (exportaciones predeterminadas)
- Eventos de origen de datos (exportaciones opcionales)
Como parte de tu entorno SIEM, los orígenes de datos de eventos de información de riesgo están disponibles y siempre activados de forma predeterminada. Para obtener más información, consulta Eventos de datos exportados desde Citrix Analytics for Security a tu servicio SIEM.
Puedes usar firmas CAS o Sigma para verificar cualquier evento de usuario en particular dentro de tus orígenes de datos. Las consultas CAS son accesibles a través de la página de búsqueda de autoservicio en tu GUI de Citrix Analytics. Las firmas Sigma están escritas en un formato simple o fácil de usar, lo que las hace compatibles con varios entornos SIEM.
Uso de consultas CAS
Puedes usar la consulta CAS en la página Búsqueda de autoservicio para buscar y filtrar eventos de usuario recibidos de varios orígenes de datos. Haz clic en Buscar desde tu GUI de Citrix Analytics e introduce la consulta en el cuadro de búsqueda. Para obtener más detalles, consulta Cómo usar la búsqueda de autoservicio.
También puedes crear indicadores de riesgo personalizados con las plantillas existentes. Para crear un indicador de riesgo personalizado, navega a Seguridad > Indicadores de riesgo personalizados > Crear indicador. Para obtener más detalles, consulta Crear un indicador de riesgo personalizado.
Uso de firmas Sigma
Sigma es un formato de firma abierto y fácil de usar para crear consultas basadas en texto que los analistas pueden usar para describir eventos de registro, lo que facilita la escritura de detecciones. Hay algunas formas diferentes de convertir una firma Sigma al lenguaje de consulta de tu herramienta SIEM.
-
Puedes usar las herramientas de CLI y los SDK de Python que ofrece Sigma. Para obtener más información sobre la firma Sigma, consulta Rule Usage.
-
Puedes usar herramientas públicas como el motor de traducción Sigma de uncoder.io, que ofrece un nivel gratuito.
Consulta los siguientes casos de uso de indicadores personalizados para las diferentes informaciones de riesgo:
- Navegador no autorizado
- Sistema operativo no autorizado
- Versiones de la aplicación Workspace no autorizadas
- Sistemas operativos no autorizados fuera de la lista de permitidos
- Dirección IP o subredes no autorizadas
- Aplicaciones virtuales no autorizadas
- Nombres de escritorio inusuales
- Supervisar aplicación específica
- Impresión desde aplicaciones SaaS
- Uso del portapapeles en aplicaciones SaaS