Surveillez la segmentation du réseau à l'aide de détections personnalisées

Nous allons d'abord créer un groupe déquipements contenant toutes les adresses IP des blocs CIDR suivants :

1. Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
2. Cliquez Actifs.
3. Cliquez Groupes d'appareils.
4. Cliquez Créer un groupe d'appareils.
5. Dans le Nom du groupe zone de texte, tapez Privileged Network.
6. Cliquez Dynamique.
7. Cliquez Tout faire correspondre puis sélectionnez Faites correspondre n'importe lequel depuis le menu déroulant.
8. Cliquez Nom, puis sélectionnez Adresse IP depuis le menu déroulant.
9. Dans la zone de texte, tapez 192.168.1.0/24.
10. Cliquez Ajouter un filtre pour ajouter un filtre supplémentaire.
11. Cliquez Nom, puis sélectionnez Adresse IP depuis le menu déroulant.
12. Dans la zone de texte, tapez 192.168.2.0/24.

Ensuite, nous allons créer le déclencheur qui génère des détections personnalisées. Les déclencheurs génèrent des détections personnalisées en appelant le commitDetection fonction dans le script du déclencheur.

1. Cliquez sur l'icône des paramètres système puis cliquez sur DÉCLENCHEURS.
2. Cliquez Créez.
3. Dans le Nom champ, type Network Segmentation Custom Detection.
4. Dans le Descriptif dans ce champ, saisissez le texte suivant :

   Creates a detection every time a device in the privileged network communicates with a device outside of the privileged network.

   Copier
5. Cliquez dans le Évènements champ et sélectionnez FLOW_CLASSIFY.
   Le déclencheur s'exécute sur l'événement FLOW_CLASSIFY, qui s'exécute lorsqu'un flux est initialement associé à un protocole spécifique. Cette étape garantit que tous les flux sont examinés pour détecter tout comportement suspect.
6. Dans le Missions champ, type Privileged Network, puis sélectionnez le groupe que vous avez créé lors de la procédure précédente.
7. Dans le volet droit, tapez le script déclencheur suivant :

   const client = Flow.client.device;
   const server = Flow.server.device;
   if (!client.hasTrigger) {
       commitDetection('network_segmentation_breach', {
           title: 'Network Segmentation Breach',
           description: `Device ${client.id} accessed privileged device ${server.id} over ${Flow.l7proto}`,
           categories: ['sec.caution'],
           riskScore: 80,
           participants: [{
               object: client,
               role: 'offender'
           }, {
               object: server,
               role: 'victim'
           }],
           identityKey: [client.id, server.id].join('!!'),
       });
   }

   Copier
8. Cliquez Enregistrer puis cliquez sur Terminé.

Nous allons ensuite créer un type de détection personnalisé, qui vous permet d'ajouter des noms d'affichage et des catégories MITRE aux détections personnalisées.

1. Cliquez sur l'icône des paramètres système puis cliquez sur Catalogue de détection.
2. Cliquez Créez.
3. Dans le Nom d'affichage champ, type Network Segmentation Breach.
4. Dans le ID du type de détection champ, type network_segmentation_breach.
5. Cliquez Enregistrer.

Après avoir enregistré le déclencheur, vous pouvez consulter les détections générées par le déclencheur sur la page Détections.

1. Cliquez Détections.
2. Cliquez Les types.
3. Cliquez Violation de segmentation du réseau pour afficher les détails de chaque détection individuelle.

   Remarque :

   Violation de segmentation du réseau apparaît uniquement si des détections sont générées par le déclencheur pendant l'intervalle de temps sélectionné.