Configurer SLS

SLS dispose d'un moteur Security Orchestration, Automation and Response (SOAR), qui permet de répondre automatiquement à certains incidents. Celui-ci est désactivé par défaut. Pour l'activer :

  1. Allez dans Settings > System Settings > General.

  2. Cochez la case Enable SOAR in SLS.

  3. Cliquez sur Save.

Il est ensuite nécessaire d'avoir une licence SOAR :

  1. Contactez Stormshield en lui fournissant votre clé matérielle. Vous pouvez trouver cette clé dans Settings > System Settings > Licenses.

  2. Une fois la licence obtenue, cliquez sur Upload Licence sur la même page.

  3. Sélectionnez SOAR.

  4. Cliquez sur Browse et sélectionnez votre licence.

  5. Acceptez le contrat de licence de l’utilisateur final.

  6. Cliquez sur Submit.

Pour plus d'informations sur l'activation du SOAR, reportez-vous au Guide de démarrage du SOAR de SLS (disponible uniquement en anglais).

Pour importer le package SOAR nommé soar.xdr.X.Y.Z-YYMMa.zip (la nomenclature est la même que celle du package de scénarios) du package de scénarios, rendez-vous dans Settings > SOAR Settings > Import/Backup et cliquez sur Upload New File.

Ce package contient la configuration des playbooks, des déclencheurs et tous les paramètres du SOAR, comme les instances et leurs templates.

Pour plus d'informations sur la configuration du SOAR, reportez-vous au Guide de configuration du SOAR de SLS (disponible uniquement en anglais).

NOTE
Suite à l'importation du package SOAR Stormshield dans SLS, des instances par défaut existent pour SNS, SMC et SES. Pour les retrouver, rendez-vous dans Settings > SOAR Settings > Playbook Integrations et cherchez SNS, SMC ou SES dans la barre de recherche. Vous pouvez éditer leurs valeurs en cliquant dessus. Vous pouvez également créer de nouvelles instances depuis des templates.

Créer une instance SNS

  1. Dans Settings > SOAR Settings > Playbook Integrations > Manage integrations, cliquez sur le template Stormshield Network Security.

  2. Indiquez les paramètres suivants :

    • username_base64 : nom d'utilisateur de l'administrateur SNS en base64,

    • password_base64 : mot de passe de l'administrateur SNS en base64,

      NOTE
      Le compte administrateur SNS indiqué dans ces champs doit disposer des droits de lecture et d'écriture sur les règles de filtrage et les objets.

    • fqdn : FQDN ou adresse IP de l'instance SNS,

    • port : port d'écoute par défaut de SNS.

Créer une instance SMC

  1. Dans Settings > SOAR Settings > Playbook Integrations> Manage integrations, cliquez sur le template Stormshield Management Center.

  2. Indiquez les paramètres suivants :

    • api_key : clé API SMC,

    • fqdn : FQDN de l'instance SMC.

Créer une instance SES

  1. Dans Settings > SOAR Settings > Playbook Integrations >Manage integrations, cliquez sur le template Stormshield Endpoint Security.

  2. Indiquez les paramètres suivants :

    • api_key : clé API SES,

    • fqdn : FQDN du backend SES.

Vous devez appliquer correctement les politiques de normalisation dans SLS afin de pouvoir analyser les logs issus de SNS et SES.

  1. Dans Settings > Configuration > Normalization policies, sélectionnez la politique stormshield.

  2. Assurez-vous que StormshieldCompiledNormalizer et StormshieldEndpointSecurityNormalizer soient sélectionnés dans la partie droite de Compiled normalizer.

  3. Cliquez sur Submit.

  1. Rendez-vous dans Settings > Configuration > Enrichment Source.

  2. Si des fichiers d'une version précédente du package de scénarios portant le même nom que ceux que vous allez importer existent, supprimez-les en cliquant sur l'icône de corbeille.

  3. Cliquez sur Add.

  4. Sélectionnez CSV dans le menu de gauche.

  5. Indiquez SES_AllLogs dans le champ Name et sélectionnez semicolon-separated pour le champ Delimiter.

  6. Cliquez sur Browse, sélectionnez le fichier SES_AllLogs.csv du package de scénarios et cliquez sur Upload.

  7. Cliquez sur Save.

  8. Répétez la procédure pour le fichier SNS_Alarms.csv en indiquant SNS_Alarms dans le champ Name.

  1. Rendez-vous dans Settings > Knowledge Base > Lists and Tables.

  2. Sélectionnez Tables dans le menu déroulant en haut à gauche et cliquez sur Add.

  3. Créez une table intitulée THREATS_TABLE avec une durée de vie des entrées de 30 minutes, puis cliquez sur Save.

  4. Créez une table intitulée THREATS_TABLE_12H avec une durée de vie des entrées de 12 heures, puis cliquez sur Save.

  5. Créez une table intitulée TRIGGERED_ALARMS_TABLE avec une durée de vie des entrées de 30 minutes, puis cliquez sur Save.

  6. Créez une table intitulée HOSTS_TABLE avec une durée de vie des entrées de 12 heures, puis cliquez sur Save.

  1. Rendez-vous dans Settings > Knowledge Base > Macros.

  2. Si des fichiers d'une version précédente du package de scénarios portant le même nom que ceux que vous allez importer existent, supprimez-les en cliquant sur l'icône de corbeille.

  3. Cliquez sur Import.

  4. Importez le fichier macros.xdr.xxx.pak du package de scénarios.

  5. Cliquez sur Submit.

  1. Rendez-vous dans Settings > Knowledge Base > Alert Rules et cliquez sur Import.

  2. Importez le fichier alertrules.xdr.xxx.pak du package de scénarios.

  3. Vous pouvez cliquer sur la cloche pour activer les notifications. Pour plus d'informations, reportez-vous à la section Creating Incident from Alert Rule du Guide des alertes et incidents SLS (disponible uniquement en anglais).

  4. Cliquez sur Submit.

ATTENTION
Les règles d'alerte appartiennent au compte qui les a importées et il est le seul autorisé à voir les incidents qui en découlent. Il est fortement recommandé de partager ces règles avec des groupes d'utilisateurs SLS en cliquant sur la petite flèche pour activer le partage.

Les règles importées sont visibles dans la section My rules accessible depuis la liste déroulante en haut de page.

Les incidents s'affichent à présent dans le menu Incident lorsque les règles d'alerte sont déclenchées.

Le SOAR se base sur des listes d'actions pré-programmées en réaction à des événements appelées playbooks. Lorsqu'un incident se produit, SLS propose l'exécution d'un playbook en réponse. Par défaut, le déclenchement du playbook est manuel, mais il est possible de le rendre automatique. Pour se faire, dans Playbooks > Triggers, activez le déclencheur XDR-Alarm-Trigger. Vous pouvez accéder à la liste des playbooks en cliquant sur le bouton Playbooks dans le menu de gauche. Pour plus d'informations sur les playbooks et comment les utiliser avec SLS, reportez-vous au Guide des playbooks de SLS (disponible uniquement en anglais).

Lorsque vous avez importé le package soar.xdr.X.Y.Z-YYMMa.zip, les playbooks et sous-playbooks du tableau ci-dessous ont été automatiquement créés dans SLS. Lorsqu'un incident survient, le playbook XDR - Alarms hub est systématiquement déclenché en premier. Il appelle ensuite le playbook correspondant à l'incident qui suit le nom de l'alerte SLS déclenchée.

NOTE
Certains playbooks sont en réalité des sous-playbooks appelés par un playbook (voir le tableau des descriptions ci-dessous). Tenez-en compte si vous modifiez ou créez vos propres playbooks.

Description des playbooks

Nom Appelé par Action Paramètres d'entrée Actions SOAR appelées Sous-playbook appelé
XDR - Alarms hub Trigger "XDR-Alarm-Trigger" Appelle le playbook correspondant au nom d'alarme start_time, end_time, query, rows_count, name, incident_id   Selon le nom de l'alarme
XDR Alarm - Compromised database Alarme incident "XDR Alarm - Compromised database" (via XDR - Alarms hub) Bloque l'accès internet à la machine ciblée start_time, end_time, query, rows_count, incident_id  

Sub - SNS block internet access to IP address
XDR Alarm - Compromised host with dropper from USB key Alarme incident "XDR Alarm - Compromised host with dropper from USB key" (via XDR - Alarms hub) Bloque l'accès internet à la machine ciblée, arrête le processus start_time, end_time, query, rows_count, incident_id endpoint-process-termination

Sub - SNS block internet access to IP address
XDR Alarm - Malicious file execution Alarme incident "XDR Alarm - Malicious file execution" (via XDR - Alarms hub) Met en quarantaine le fichier, arrête le processus, isole le poste du réseau start_time, end_time, query, rows_count, incident_id endpoint-file-quarantine, endpoint-process-termination Sub - SES Network Isolation
XDR Alarm - Connection to a suspicious URL Alarme incident "XDR Alarm - Connection to a suspicious URL" (via XDR - Alarms hub) Bloque l'IP source de l'attaque start_time, end_time, query, rows_count, incident_id   Sub - SNS authentication, Sub - SNS block IP address
XDR Alarm - Ransomware activity Alarme incident "XDR Alarm - Ransomware activity" (via XDR - Alarms hub) Isole le poste du réseau, restaure les fichiers chiffrés par le ransomware start_time, end_time, query, rows_count, incident_id   Sub - SES Network Isolation, Sub - SES Ransomware files restoration
XDR Alarm - Security incident alert Alarme incident "XDR Alarm - Security incident alert" (via XDR - Alarms hub) Bloque l'IP source de l'attaque start_time, end_time, query, rows_count, incident_id   Sub - SNS authentication, Sub - SNS block IP address
XDR Alarm - Web site defacement Alarme incident "XDR Alarm - Web site defacement" (via XDR - Alarms hub) Bloque l'IP source de l'attaque start_time, end_time, query, rows_count, incident_id   Sub - SNS authentication, Sub - SNS block IP address
XDR Alarm - Windows logs deletion Alarme incident "XDR Alarm - Windows logs deletion" (via XDR - Alarms hub) Arrête le processus, isole le poste du réseau start_time, end_time, query, rows_count, incident_id endpoint-process-termination Sub - SES Network Isolation
XDR Alarm - Wiper detection Alarme incident "XDR Alarm - Wiper detection" (via XDR - Alarms hub) Met en quarantaine le fichier, arrête le processus, isole le poste du réseau start_time, end_time, query, rows_count, incident_id endpoint-file-quarantine, endpoint-process-termination Sub - SES Network Isolation
XDR Alarm - internal discover with exploit Alarme incident "XDR Alarm - internal discover with exploit" (via XDR - Alarms hub) Bloque l'IP source de l'attaque start_time, end_time, query, rows_count, incident_id  

Sub - SMC block IP address
Sub - SNS authentication

Description des sous-playbooks

Nom Action Paramètres
d'entrée

Actions SOAR
appelées

 Commentaires
Sub - SES Network Isolation Isole le poste du réseau via SES Evolution agent_guid endpoint-network-isolation  
Sub - SES Ransomware files restoration Restaure les fichiers chiffrés par le ransomware agent_guid endpoint-ransomware-files-restoration  
Sub - SNS authentication Authentifie avec le protocole HTTPS sur SNS pour usage futur agent_guid, file_list_path sns-auth-get-session-cookie, sns-auth-get-session-id  
Sub - SNS block IP address Ajoute l'IP dans la liste d'IP à bloquer par XDR sur SNS ip_to_block, session_id, cookie, incident_id sns-send-command

Le playbook ajoute l'IP à bloquer au groupe XDR_IP_blocked (voir Créer les groupes d'objets XDR_IP_blocked et XDR_internet_blocked_IP).

Des règles doivent exister avec ce groupe en source et en destination sur le(s) firewall(s) SNS.
Sub - SNS block internet access to IP address Ajoute l'IP dans la liste d'IP à bloquer pour les connexions internet sortantes par XDR sur SNS ip_to_block, session_id, cookie, incident_id sns-send-command (x9)

Le playbook ajoute l'IP à bloquer au groupe XDR_internet_blocked_IP (voir Créer les groupes d'objets XDR_IP_blocked et XDR_internet_blocked_IP).

Des règles doivent exister avec ce groupe en source et Internet en destination sur le(s) firewall(s) SNS.
Sub - SMC block IP address Ajoute l'IP dans la liste d'IP à bloquer par XDR sur SMC ip_to_block, incident_id get-all-objects, create-group-objects, , create-ip-object, update-object

Le playbook ajoute l'IP à bloquer au groupe XDR_IP_blocked (voir Créer les groupes d'objets XDR_IP_blocked et XDR_internet_blocked_IP).

Des règles doivent exister avec ce groupe en source et en destination dans SMC.
Sub - SMC block internet access to IP address Ajoute l'IP dans la liste d'IP à bloquer pour les connexions internet sortantes par XDR sur SMC ip_to_block, incident_id get-all-objects, create-group-objects, , create-ip-object, update-object

Le playbook ajoute l'IP à bloquer au groupe XDR_internet_blocked_IP (voir Créer les groupes d'objets XDR_IP_blocked et XDR_internet_blocked_IP).

Des règles doivent exister avec ce groupe en source et Internet en destination sur SMC.