{"id":2461,"date":"2018-12-13T09:13:36","date_gmt":"2018-12-13T08:13:36","guid":{"rendered":"https:\/\/www.gigasys.it\/support\/?post_type=manual_kb&#038;p=2461"},"modified":"2023-06-27T12:13:28","modified_gmt":"2023-06-27T10:13:28","slug":"creare-una-regola-di-cyber-intelligence","status":"publish","type":"manual_kb","link":"https:\/\/www.gigasys.it\/support\/knowledgebase\/creare-una-regola-di-cyber-intelligence\/","title":{"rendered":"Creare una regola di Cyber Intelligence"},"content":{"rendered":"<p>Le\u00a0appliance\u00a0<a href=\"\/site\/log-manager\/\">Log Manager<\/a> permettono la creazione di regole di <strong>Cyber Intelligence<\/strong> nonch\u00e8 di alert personalizzati su <strong>eventi<\/strong> che possono essere importanti per la strategia aziendale.<\/p>\n<p>Un prerequisito necessario \u00e8 che il dispositivo da monitorare sia replicato sul logmanager o tramite configurazione syslog o tramite l&#8217;<a href=\"\/support\/knowledgebase\/installazione-di-endpoint-client\/\">installazione<\/a> del client avanzato\u00a0<a href=\"https:\/\/www.gigasys.it\/support\/knowledgebase\/endpoint-client\/\">Endpoint Client<\/a> .<\/p>\n<p>Per creare una regola si deve prima di tutto procedere con l\u2019individuazione del log correlato all&#8217;evento che si intende monitorare.<\/p>\n<p>Se si vuole monitorare ad esempio una login fallita su un particolare device e possibile effettuare una login errata sul dispositivo (anche syslog) ed individuare il log replicato sul logmanager dal men\u00f9 Query effettuando la ricerca per il device.<\/p>\n<p>Prendendo ad esempio questo log relativo all\u2019autenticazione NTLM:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-3931 alignnone\" src=\"https:\/\/www.gigasys.it\/support\/wp-content\/uploads\/2018\/12\/Log2Analize.png\" alt=\"\" width=\"943\" height=\"305\" srcset=\"https:\/\/www.gigasys.it\/support\/wp-content\/uploads\/2018\/12\/Log2Analize.png 943w, https:\/\/www.gigasys.it\/support\/wp-content\/uploads\/2018\/12\/Log2Analize-300x97.png 300w, https:\/\/www.gigasys.it\/support\/wp-content\/uploads\/2018\/12\/Log2Analize-768x248.png 768w\" sizes=\"auto, (max-width: 943px) 100vw, 943px\" \/><\/p>\n<p>Per sapere quali assets hanno abilitato questo meccanismo di autenticazione vulnerabile \u00e8 possibile creare un alert che compia un&#8217;<strong>azione<\/strong> ogni volta che un PC con questa autenticazione si avvia.<\/p>\n<p>Spostarsi sul men\u00f9 Gestione -&gt; Cyber Intelligence e cliccare su Nuovo.<\/p>\n<p>A questo punto inserire una etichetta e indicare eventuali restrizioni orarie sulla validit\u00e0 della regola.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-3938\" src=\"https:\/\/www.gigasys.it\/support\/wp-content\/uploads\/2018\/12\/New-CybI-1.png\" alt=\"\" width=\"1497\" height=\"540\" srcset=\"https:\/\/www.gigasys.it\/support\/wp-content\/uploads\/2018\/12\/New-CybI-1.png 1497w, https:\/\/www.gigasys.it\/support\/wp-content\/uploads\/2018\/12\/New-CybI-1-300x108.png 300w, https:\/\/www.gigasys.it\/support\/wp-content\/uploads\/2018\/12\/New-CybI-1-1024x369.png 1024w, https:\/\/www.gigasys.it\/support\/wp-content\/uploads\/2018\/12\/New-CybI-1-768x277.png 768w\" sizes=\"auto, (max-width: 1497px) 100vw, 1497px\" \/>Cliccare su &#8220;selezionare una condizione&#8221; e successivamente su &#8220;Aggiungi una nuova condizione&#8221;.<\/p>\n<p>Indicare una descrizione della condizione, selezionare il campo e se contiene, \u00e8 uguale o non deve contenere un determinato parametro.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-3935\" src=\"https:\/\/www.gigasys.it\/support\/wp-content\/uploads\/2018\/12\/New-cond-cybI.png\" alt=\"\" width=\"1486\" height=\"558\" srcset=\"https:\/\/www.gigasys.it\/support\/wp-content\/uploads\/2018\/12\/New-cond-cybI.png 1486w, https:\/\/www.gigasys.it\/support\/wp-content\/uploads\/2018\/12\/New-cond-cybI-300x113.png 300w, https:\/\/www.gigasys.it\/support\/wp-content\/uploads\/2018\/12\/New-cond-cybI-1024x385.png 1024w, https:\/\/www.gigasys.it\/support\/wp-content\/uploads\/2018\/12\/New-cond-cybI-768x288.png 768w\" sizes=\"auto, (max-width: 1486px) 100vw, 1486px\" \/><\/p>\n<p>Nell&#8217;esempio del log selezionato sono state create due condizioni:<\/p>\n<ul>\n<li>il livello \u00e8 uguale ad &#8220;avvertimento&#8221;<\/li>\n<li>il programma \u00e8 uguale a &#8220;LsaSrv&#8221;<\/li>\n<\/ul>\n<p>Andranno create N condizioni e al verificarsi di tutte le condizioni scaturir\u00e0 l\u2019azione.<\/p>\n<p>L\u2019azione si configura cliccando sul form &#8220;seleziona un\u2019azione&#8221; e successivamente su &#8220;aggiungi una nuova azione&#8221;.<\/p>\n<p>Indicare una descrizione e la tipologia di azione. In base alla tipologia scelta verranno proposti i parametri da compilare:<\/p>\n<ul>\n<li>mail: invia una mail. Indicare il mittente, il destinatario, l\u2019oggetto e il corpo della mail . NB per l\u2019invio delle mail \u00e8 necessario settare un server di posta in uscita in Rete -&gt; Smarthost.<\/li>\n<li>Notifica push:\u00a0 invio di una notifica push al cellurare configurato in &#8220;gestione dispositivo&#8221; con rimando al download dell\u2019app.<\/li>\n<li>Journal : scrittura dell&#8217;evento sul Journal con livello debug o importante<\/li>\n<\/ul>\n<p>A questo punto \u00e8 possibile settare anche una frequenza con cui si attiver\u00e0 l&#8217;azione, ad esempio una frequenza di 10 volte in 5 minuti pu\u00f2 essere utile se si tratta di un monitor sulle login fallite oppure 200 eventi in 1 minuto se si tratta di un monitor su cancellazione \/modifica di file. Lasciando 1 evento in 1 minuto alla prima corrispondenza verr\u00e0 attivata l\u2019azione.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-3932\" src=\"https:\/\/www.gigasys.it\/support\/wp-content\/uploads\/2018\/12\/Rule-CybI.png\" alt=\"\" width=\"1047\" height=\"522\" srcset=\"https:\/\/www.gigasys.it\/support\/wp-content\/uploads\/2018\/12\/Rule-CybI.png 1047w, https:\/\/www.gigasys.it\/support\/wp-content\/uploads\/2018\/12\/Rule-CybI-300x150.png 300w, https:\/\/www.gigasys.it\/support\/wp-content\/uploads\/2018\/12\/Rule-CybI-1024x511.png 1024w, https:\/\/www.gigasys.it\/support\/wp-content\/uploads\/2018\/12\/Rule-CybI-768x383.png 768w\" sizes=\"auto, (max-width: 1047px) 100vw, 1047px\" \/><\/p>\n<p>Cliccare su Salva per terminare la configurazione della regola.<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"template":"","format":"standard","manualknowledgebasecat":[47],"manual_kb_tag":[100,97],"class_list":["post-2461","manual_kb","type-manual_kb","status-publish","format-standard","hentry","manualknowledgebasecat-log-manager","manual_kb_tag-log-manager","manual_kb_tag-syslog"],"_links":{"self":[{"href":"https:\/\/www.gigasys.it\/support\/wp-json\/wp\/v2\/manual_kb\/2461","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.gigasys.it\/support\/wp-json\/wp\/v2\/manual_kb"}],"about":[{"href":"https:\/\/www.gigasys.it\/support\/wp-json\/wp\/v2\/types\/manual_kb"}],"author":[{"embeddable":true,"href":"https:\/\/www.gigasys.it\/support\/wp-json\/wp\/v2\/users\/1"}],"version-history":[{"count":20,"href":"https:\/\/www.gigasys.it\/support\/wp-json\/wp\/v2\/manual_kb\/2461\/revisions"}],"predecessor-version":[{"id":3939,"href":"https:\/\/www.gigasys.it\/support\/wp-json\/wp\/v2\/manual_kb\/2461\/revisions\/3939"}],"wp:attachment":[{"href":"https:\/\/www.gigasys.it\/support\/wp-json\/wp\/v2\/media?parent=2461"}],"wp:term":[{"taxonomy":"manualknowledgebasecat","embeddable":true,"href":"https:\/\/www.gigasys.it\/support\/wp-json\/wp\/v2\/manualknowledgebasecat?post=2461"},{"taxonomy":"manual_kb_tag","embeddable":true,"href":"https:\/\/www.gigasys.it\/support\/wp-json\/wp\/v2\/manual_kb_tag?post=2461"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}