Содержание

Фильтры

Фильтры

Фильтры позволяют отбирать события на основании указанных условий. В сервисе коллектора фильтры используются для отображения событий, которые вы хотите передавать в KUMA. События, удовлетворяющие условия фильтра, будут переданы в KUMA для дальнейшей обработки.

Вы можете использовать фильтры в следующих сервисах и функциях KUMA:

Коллектор.
Коррелятор.
Хранилище.
Правила корреляции.
Правила обогащения.
Правила агрегации.
Точки назначения.
Правила реагирования.
Правила сегментации.

Вы можете использовать отдельные фильтры или встроенные фильтры, которые хранятся в сервисе или ресурсе, в котором они были созданы. Для ресурсов в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов. Доступные параметры фильтра описаны в таблице ниже.

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр. Встроенные фильтры создаются в других ресурсах или сервисах и не имеют имен.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Теги	Теги для поиска ресурса. Необязательный параметр.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вы можете создавать условия фильтрации и группы фильтров, а также добавлять в фильтр существующие фильтры.

Для формирования критериев фильтрации вы можете использовать режим конструктора или режим исходного кода. В режиме конструктора вы можете создавать или изменять критерии фильтрации с помощью раскрывающихся списков с вариантами условий фильтра и операторов. В режиме исходного кода вы можете создавать и изменять поисковые запросы с помощью текстовых команд. По умолчанию используется режим конструктора.

Вы можете переключаться между режимами при формировании критериев фильтрации. Для переключения в режим исходного кода выберите вкладку Код. При переключении между режимами сформированные фильтры условий сохраняются. Если после привязки созданного фильтра к ресурсу на вкладке Код не отображается код фильтра, выберите вкладку Конструктор, после чего снова выберите вкладку Код для отображения кода фильтра.

Формирование критериев фильтрации в режиме конструктора

Для формирования критериев фильтрации в режиме конструктора вам нужно выбрать один из следующих операторов в раскрывающемся списке:

И – фильтр отбирает события, которые соответствуют всем указанным условиям.
ИЛИ – фильтр отбирает события, которые соответствуют одному из указанных условий.
НЕ – фильтр отбирает события, которые не соответствуют всем указанным условиям.

Критерии фильтрации можно добавить одним из следующих способов:

Если вы хотите добавить условие, нажмите на кнопку + Добавить условие.
Если вы хотите добавить группу условий, нажмите на кнопку + Добавить группу. При добавлении групп условий вы также можете выбирать операторы И, ИЛИ и НЕ. В группу условий в свою очередь можно добавить условия и группы условий.

Вы можете добавить несколько критериев фильтрации, изменить порядок критериев фильтрации и удалить критерии фильтрации. Для изменения порядка критериев фильтрации используйте значки изменения порядка DragIcon . Для удаления критерия фильтрации нажмите рядом с ним на значок удаления cross-black .

Доступные параметры условия описаны в таблице ниже.

Параметр	Описание
<Тип условия>	Тип условия. По умолчанию выбрано значение Если. Вы можете нажать значение по умолчанию и выбрать в отобразившемся раскрывающемся списке значение Если не. Обязательный параметр.
<Левый операнд> и <Правый операнд>	Значения, которые будет обрабатывать оператор. Доступные типы значений для правого операнда зависят от выбранного оператора. Операнды фильтров Поле события – используется для присвоения операнду значения поля события. Дополнительные параметры: поле события (обязательно) – этот раскрывающийся список используется для выбора поля, из которого следует извлечь значение операнда. Активный лист – используется для присвоения операнду значения записи активного листа. Дополнительные параметры: название активного листа (обязательно) – этот раскрывающийся список используется для выбора активного листа. ключевые поля (обязательно) – это список полей событий, используемых для создания записи активного листа и служащих ключом записи активного листа. поле (требуется, если не выбран оператор inActiveList) – используется для ввода имени поля активного листа, из которого следует извлечь значение операнда. Контекстная таблица – используется для присвоения операнду значения контекстной таблицы. Дополнительные параметры: название контекстной таблицы (обязательно) – этот раскрывающийся список используется для выбора контекстной таблицы. ключевые поля (обязательно) – это список полей событий или локальных переменных, используемых для создания записи контекстной таблицы и служащих ключом записи контекстной таблицы. поле – используется для ввода имени поля контекстной таблицы, из которого следует извлечь значение операнда. индекс – используется для ввода индекса списочного поля таблицы, из которого следует извлечь значение операнда. Словарь – используется для присвоения значения операнду значения из ресурса словарь. Дополнительные параметры: словарь (обязательно) – этот раскрывающийся список используется для выбора словаря. ключевые поля (обязательно) – это список полей событий, используемых для формирования ключа значения словаря. Константа – используется для присвоения операнду пользовательского значения. Дополнительные параметры: значение (обязательно) – здесь вы вводите константу, которую хотите присвоить операнду. Таблица – используется для присвоения операнду нескольких пользовательских значений. Дополнительные параметры: словарь (обязательно) – этот раскрывающийся список используется для выбора словаря типа Таблица. ключевые поля (обязательно) – это список полей событий, используемых для формирования ключа значения словаря. Список – используется для присвоения операнду нескольких пользовательских значений. Дополнительные параметры: значение (обязательно) – здесь вы вводите список констант, которые хотите назначить операнду. Когда вы вводите значение в поле и нажимаете `ENTER`, значение добавляется в список, и вы можете ввести новое значение. TI – используется для чтения данных CyberTrace об угрозах (TI) из событий. Дополнительные параметры: поток (обязательно) – в этом поле указывается категория угрозы CyberTrace. ключевые поля (обязательно) – этот раскрывающийся список используется для выбора поля события с индикаторами угроз CyberTrace. поле (обязательно) – в этом поле указывается поле фида CyberTrace с индикаторами угроз. Обязательные параметры.
<Оператор>	Оператор условия. При выборе оператора условия в раскрывающемся списке вы можете установить флажок без учета регистра, чтобы оператор игнорировал регистр значений. Флажок игнорируется, если выбраны операторы inSubnet, inActiveList, inCategory, InActiveDirectoryGroup, hasBit и inDictionary. По умолчанию этот флажок снят. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence. То есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде. Вы можете изменить и удалить указанный оператор. Для изменения оператора нажмите на него и укажите новый оператор. Для удаления оператора нажмите на него, после чего нажмите на клавишу `Backspace`.

Параметр

Описание

<Тип условия>

Тип условия. По умолчанию выбрано значение Если. Вы можете нажать значение по умолчанию и выбрать в отобразившемся раскрывающемся списке значение Если не.

Обязательный параметр.

<Левый операнд> и <Правый операнд>

Значения, которые будет обрабатывать оператор. Доступные типы значений для правого операнда зависят от выбранного оператора.

Операнды фильтров

Поле события – используется для присвоения операнду значения поля события. Дополнительные параметры:
- поле события (обязательно) – этот раскрывающийся список используется для выбора поля, из которого следует извлечь значение операнда.
Активный лист – используется для присвоения операнду значения записи активного листа. Дополнительные параметры:
- название активного листа (обязательно) – этот раскрывающийся список используется для выбора активного листа.
- ключевые поля (обязательно) – это список полей событий, используемых для создания записи активного листа и служащих ключом записи активного листа.
- поле (требуется, если не выбран оператор inActiveList) – используется для ввода имени поля активного листа, из которого следует извлечь значение операнда.
Контекстная таблица – используется для присвоения операнду значения контекстной таблицы. Дополнительные параметры:
- название контекстной таблицы (обязательно) – этот раскрывающийся список используется для выбора контекстной таблицы.
- ключевые поля (обязательно) – это список полей событий или локальных переменных, используемых для создания записи контекстной таблицы и служащих ключом записи контекстной таблицы.
- поле – используется для ввода имени поля контекстной таблицы, из которого следует извлечь значение операнда.
- индекс – используется для ввода индекса списочного поля таблицы, из которого следует извлечь значение операнда.
Словарь – используется для присвоения значения операнду значения из ресурса словарь. Дополнительные параметры:
- словарь (обязательно) – этот раскрывающийся список используется для выбора словаря.
- ключевые поля (обязательно) – это список полей событий, используемых для формирования ключа значения словаря.
Константа – используется для присвоения операнду пользовательского значения. Дополнительные параметры:
- значение (обязательно) – здесь вы вводите константу, которую хотите присвоить операнду.
Таблица – используется для присвоения операнду нескольких пользовательских значений. Дополнительные параметры:
- словарь (обязательно) – этот раскрывающийся список используется для выбора словаря типа Таблица.
- ключевые поля (обязательно) – это список полей событий, используемых для формирования ключа значения словаря.
Список – используется для присвоения операнду нескольких пользовательских значений. Дополнительные параметры:
- значение (обязательно) – здесь вы вводите список констант, которые хотите назначить операнду. Когда вы вводите значение в поле и нажимаете ENTER, значение добавляется в список, и вы можете ввести новое значение.
TI – используется для чтения данных CyberTrace об угрозах (TI) из событий. Дополнительные параметры:
- поток (обязательно) – в этом поле указывается категория угрозы CyberTrace.
- ключевые поля (обязательно) – этот раскрывающийся список используется для выбора поля события с индикаторами угроз CyberTrace.
- поле (обязательно) – в этом поле указывается поле фида CyberTrace с индикаторами угроз.

Обязательные параметры.

<Оператор>

Оператор условия. При выборе оператора условия в раскрывающемся списке вы можете установить флажок без учета регистра, чтобы оператор игнорировал регистр значений. Флажок игнорируется, если выбраны операторы inSubnet, inActiveList, inCategory, InActiveDirectoryGroup, hasBit и inDictionary. По умолчанию этот флажок снят.

Операторы фильтров

= – левый операнд равен правому операнду.
< – левый операнд меньше правого операнда.
<= – левый операнд меньше или равен правому операнду.
> – левый операнд больше правого операнда.
>= – левый операнд больше или равен правому операнду.
inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
contains – левый операнд содержит значения правого операнда.
startsWith – левый операнд начинается с одного из значений правого операнда.
endsWith – левый операнд заканчивается одним из значений правого операнда.
match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.
hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.
inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence. То есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
inContextTable – присутствует ли в указанной контекстной таблице запись.
intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.

Вы можете изменить и удалить указанный оператор. Для изменения оператора нажмите на него и укажите новый оператор. Для удаления оператора нажмите на него, после чего нажмите на клавишу Backspace.

Доступные типы операндов зависят от того, является ли операнд левым (L) или правым (R).

Доступные типы операндов для левого (L) и правого (R) операндов

Оператор	Тип "поле события"	Тип "активный лист"	Тип "словарь"	Тип "контекстная таблица"	Тип "таблица"	Тип "TI"	Тип "константа"	Тип "список"
=	L,R	L,R	L,R	L,R	L,R	L,R	R	R
>	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
>=	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
<	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
<=	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
inSubnet	L,R	L,R	L,R	L,R	L,R	L,R	R	R
contains	L,R	L,R	L,R	L,R	L,R	L,R	R	R
startsWith	L,R	L,R	L,R	L,R	L,R	L,R	R	R
endsWith	L,R	L,R	L,R	L,R	L,R	L,R	R	R
match	L	L	L	L	L	L	R	R
hasVulnerability	L	L	L	L	L
hasBit	L	L	L	L	L		R	R
inActiveList
inDictionary
inCategory	L	L	L	L	L		R	R
inContextTable
inActiveDirectoryGroup	L	L	L	L	L		R	R
TIDetect

При работе с фильтрами вы можете использовать горячие клавиши. Описание горячих клавиш приведено в таблице ниже.

Горячие клавиши и их функциональность

Клавиша	Функциональность
`e`	Вызывает фильтр по полю события
`d`	Вызывает фильтр по полю словаря
`a`	Вызывает фильтр по полю активного листа
`c`	Вызывает фильтр по полю контекстной таблицы
`t`	Вызывает фильтр по полю таблицы
`f`	Вызывает фильтр
`t+i`	Вызывает фильтр c использованием TI
`Ctrl+Enter`	Завершение редактирования условия

Работа с полями типа "Строка", "Число" и "Число с плавающей точкой" расширенной схемы событий в фильтрах не отличается от работы с полями схемы событий KUMA.

При использовании фильтров с полями расширенной схемы событий с типами полей "Массив строк", "Массив целых чисел" и "Массив чисел с плавающей точкой" вы можете использовать следующие операции:

Операция contains вернет значение True, если указанная подстрока присутствует в массиве, иначе вернет False.
Операция match – поиск в строке по регулярному выражению.
Операция intersec.

Формирование критериев фильтрации в режиме исходного кода

Режим исходного кода позволяет быстро изменять условия, выделять и копировать блоки кода. В правой части конструктора отображается навигатор для перемещения по коду фильтра. Перенос строк выполняется автоматически по логическим операторам И, ИЛИ, НЕ или запятым, являющимися разделителем элементов списка значений.

Для ресурсов, использованных в фильтре, автоматически указывается их наименование. Поля, содержащие наименования связанных ресурсов, невозможно изменить. Названия категорий общих ресурсов не отображаются в фильтре, если вам не назначена роль Доступ к общим ресурсам. Для просмотра списка ресурсов для выбранного операнда внутри выражения вам нужно нажать на комбинацию клавиш Ctrl+Space. В результате отобразится список ресурсов.

В поставку KUMA включены перечисленные в таблице ниже фильтры.

Предустановленные фильтры

Название фильтра	Описание
[OOTB][AD] A member was added to a security-enabled global group (4728)	Выбирает события добавления пользователя в группу безопасности (security-enabled global group) Active Directory.
[OOTB][AD] A member was added to a security-enabled universal group (4756)	Выбирает события добавления пользователя в группу безопасности (security-enabled universal group) Active Directory.
[OOTB][AD] A member was removed from a security-enabled global group (4729)	Выбирает события удаления пользователя из группы безопасности (security-enabled global group) Active Directory.
[OOTB][AD] A member was removed from a security-enabled universal group (4757)	Выбирает события удаления пользователя из группы безопасности (security-enabled universal group) Active Directory.
[OOTB][AD] Account Created	Выбирает события создания учетной записи в ОС Windows.
[OOTB][AD] Account Deleted	Выбирает события удаления учетной записи в ОС Windows.
[OOTB][AD] An account failed to log on (4625)	Выбирает события безуспешной попытки входа в ОС Windows.
[OOTB][AD] Successful Kerberos authentication (4624, 4768, 4769, 4770)	Выбирает события успешной попытки входа в ОС Windows и события с идентификаторами 4769, 4770, регистрирующиеся на контроллерах домена.
[OOTB][AD][Technical] 4768. TGT Requested	Выбирает события Microsoft Windows c идентификатором 4768.
[OOTB][Net] Possible port scan	Выбирает события, которые могут говорить о проведении сканирования портов.
[OOTB][SSH] Accepted Password	Выбирает события успешного подключения с использованием пароля по протоколу SSH.
[OOTB][SSH] Failed Password	Выбирает события попыток подключения с использованием пароля по протоколу SSH.

В начало