SentinelOne 相关性规则

咨询采购SentinelOne 请联系：王涛📞13818802872 📨wangtao@mfreelink.com

我们都知道SentinelOne很突出的一个优势就是自定义规则告警-Custom Rules，可以将Deep Visibility中检索到的所有行为都定义成规则，当匹配到时就可以触发相应的动作，比如告警该事件、杀掉该进程、隔离相应的文件。所以这种Custom Rules灵活度很大，可以把任何用户觉得可疑的行为加入到规则中来，甚至是实现一些管理上的需求，比如不让用户使用一些工作以外的软件，运行这些进程就会被杀掉。SentinelOne在今年再次升级了Custom Rules的能力，可以创建Correlation Rules，这又是什么功能呢？简单来说就是组合的规则，或是更复杂的规则。为了更直观的介绍，我们来看一个例子：在左边的Sentinels菜单，上面找到Star Custom Rules，点击New Rules

填写规则的名字后，下一步

选择Correlation，我们可以看到下面可以选择规则的对象，是进程、用户、IP还是设备

在下面我们可以看到这个Correlation规则可以设置多条查询语句。比如第一条语句是访问了某个网站这样一个行为，第二条语句是启动了某个进程；您可以将Match in Order的开关打开，必须是按照以下顺序执行了动作才会触发该规则，即先访问了某网站，再启动某进程，才会触发，每个查询的先后顺序也可调整；您还可以设置某个查询的匹配次数，如访问三次某网站才会触发；还可以设置整套动作的时间间隔，即在一定时间内完成整套动作才会触发。这样的组合规则可以相当灵活，而且也更符合威胁行为的特点，单个行为很可能是无害的，但多个行为按照一定顺序在一定时间内执行后可能就是有威胁的。

不少客户对Correlation Rules很感兴趣，在使用的过程中客户往往编辑大量的query语句，有时甚至超过了query语句的上限。按照以往经验Custom Rules的query语句的上限是8192个字符，在Correlation Rules可以有多个query语句，那么总计的上限是多少字符呢？为此我们向SentinelOne support提交了case，并告知我们在一条query语句不超过6000字符的情况下，编写了三条query语句后，Correlation Rules出现了无法保存的情况。经过support的反复检查发现，目前的Correlation Rules字符上限设置有bug，需要进行修复，修复后的设定为：每条query语句的上限仍然是8192个字符，每个Correlation Rules最多可以创建10条query语句，那么一条Correlation Rules的字符上限就是81920；而一个账户下最多可以创建10条Correlation Rules。这个bug预计在今年的9月份就会修复，期待这个强大的功能有更好的表现。