Na operação de SIEM, é de suma importância utilizar fontes de inteligência externa para aprimorar e aumentar a precisão na detecção de ameaças. Essa "inteligência" abrange diversas fontes de dados e métodos de integração que podem ser incorporados ao SIEM, atuando como uma base de dados complementar para diferentes abordagens de detecção, incluindo IPs maliciosos, hashes (escrutínios) de arquivos maliciosos, domínios suspeitos, deny lists (listas de bloqueio), allow lists (listas de permissão), entre outros dados. Quando combinados, esses elementos podem fornecer um contexto real de ameaça, permitindo que o SIEM identifique incidentes de segurança.
Para acessar a funcionalidade Lists (Listas), basta navegar até o menu lateral localizado no canto superior esquerdo da interface.
No Harpia, oferecemos dois tipos de fontes de inteligência no menu "Lists" (Listas): Manual lists (Listas manuais) e External lists (Listas externas). Ambas podem ser usadas para criar casos de uso que analisam eventos com base nas diretrizes definidas pelo usuário.
As listas manuais são caracterizadas pelo estado estático de seus dados, ou seja, elas contêm informações que são inseridas, atualizadas e editadas exclusivamente pelo usuário, seja de forma manual ou através da importação de um arquivo CSV.
As listas externas são caracterizadas pelo estado dinâmico de seus dados, onde o usuário cadastra a lista com informações de origem (URL) e o modo de atualização, que pode ser "append" (acrescentar) para adicionar novos dados ao final do arquivo sem excluir o conteúdo anterior, ou "overwrite" (sobrescrever) para substituir completamente o conteúdo anterior pelos novos dados. As listas externas não podem ser editadas pelo usuário. O Harpia realizará a atualização agendada desses dados e manterá essa frequência a cada três horas.
A gestão de listas no Harpia é simples e intuitiva. Na interface, há uma barra lateral à esquerda da tela que lista todas as opções de listas disponíveis, junto com filtros de busca por tipo de lista (manual/externa) ou nome. Ao selecionar uma lista, os valores correspondentes são exibidos em uma tabela paginada à direita.
Dentro da barra lateral, encontra-se um botão para criar uma nova lista. Ao clicar nessa opção, é necessário especificar o tipo de lista desejado. Os campos pertinentes serão apresentados em um modal com conteúdo personalizado para cada tipo de lista. Em resumo, existem três campos comuns a ambos os tipos:
Além desses campos, as listas externas incluem campos exclusivos:
Observações:
Ambas as listas comportam valores do tipo string, que, para efeitos de composição em Advanced rules (Regras avançadas), utilizam um meta field (campo meta) padrão chamado "value" para fins de busca em SQL.
Listas presentes em casos de usos (regras) não podem ser excluídas.