Kaspersky Symphony XDR: Open Single Management Platform
1.2

Содержание

Правило корреляции, тип standard

Развернуть все | Свернуть все

Правила корреляции с типом standard используются для определения сложных закономерностей в обрабатываемых событиях.

Поиск закономерностей происходит с помощью контейнеров

Контейнеры правила корреляции – это временные хранилища данных, которые используются ресурсами правила корреляции при определении необходимости создания корреляционных событий. Эти контейнеры выполняет следующие функции:

  • Группируют события, которые были отобраны фильтрами в группе настроек Селекторы ресурса правила корреляции. События группируются по полям, которые указываются пользователем в поле Группирующие поля.
  • Определяют момент, когда должно сработать правило корреляции, меняя соответствующим образом события, сгруппированные в контейнере.
  • Выполняют действия, указанные в группе настроек Действия.
  • Создают корреляционные события.

Доступные состояния контейнера:

  • Пусто – в контейнере нет событий. Это может произойти только в момент своего создания при срабатывании правила корреляции.
  • Частичное совпадение – в контейнере есть некоторые из ожидаемых событий (события восстановления не учитываются).
  • Полное совпадение – в корзине есть все ожидаемые события (события восстановления не учитываются). При достижении этого состояния:
    • Срабатывает правило корреляции
    • События удаляются из контейнера
    • Счетчик срабатываний контейнера обновляется
    • Контейнера переводится в состояние Пусто
  • Ложное совпадение – такое состояние контейнера возможно в следующих случаях:
    • когда было достигнуто состояние Полное совпадение, но объединяющий фильтр возвратил значение false.
    • когда при установленном флажке Обнуление были получены события восстановления.

    Когда это условие достигается, правило корреляции не срабатывает. События удаляются из контейнера, счетчик срабатываний обновляется, контейнер переводится в состояния Пусто.

Доступные параметры правила корреляции с типом standard описаны в таблицах ниже.

Вкладка Общие

Эта вкладка используется для указания основных параметров правила корреляции.

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип правила корреляции – standard.

Обязательный параметр.

Теги

Теги для поиска ресурса.

Необязательный параметр.

Группирующие поля

Поля событий, которые должны быть сгруппированы в контейнере. Хеш-код значений выбранных полей событий используется в качестве ключа контейнера. Если срабатывает один из селекторов, указанных на вкладке Селекторы, отобранные поля событий копируются в корреляционное событие.

Если в разных селекторах корреляционного правила используются поля событий, которые имеют разные значения в событиях, вам не нужно указывать эти поля событий в раскрывающемся списке Группирующие поля.

Вы можете указывать локальные переменные. Для обращения к локальной переменной вам нужно указать перед ее именем символ $.
Для ознакомления с примерами использования локальных переменных используйте правило R403_Обращение на вредоносные ресурсы с устройства с отключенной защитой или устаревшей антивирусной базой, поставляемое с KUMA.

Обязательный параметр.

Время жизни контейнера, сек.

Время жизни контейнера в секундах. Отсчет времени начинается при создании контейнера, когда контейнер получает первое событие.

По истечении времени жизни контейнера срабатывает триггер, указанный на вкладке Действия → По истечении времени жизни контейнера, и контейнер удаляется. Триггеры, указанные на вкладках Действия → На каждом срабатывании правила и На последующих срабатываниях правила, могут срабатывать более одного раза в течение времени жизни контейнера.

Обязательный параметр.

Уникальные поля

Уникальные поля событий, которые требуется отправлять в контейнер. Если вы указываете уникальные поля событий, только они будут отправляться в контейнер. Хеш-код значений отобранных полей событий используется в качестве ключа контейнера.

Вы можете указывать локальные переменные. Для обращения к локальной переменной вам нужно указать перед ее именем символ $.
Для ознакомления с примерами использования локальных переменных используйте правило R403_Обращение на вредоносные ресурсы с устройства с отключенной защитой или устаревшей антивирусной базой, поставляемое с KUMA.

Частота срабатываний

Максимальное количество срабатываний правила корреляции в секунду. Значение по умолчанию: 0.

Если не срабатывают правила корреляции, в которых реализована сложная логика обнаружения закономерностей, причиной могут быть особенности подсчета срабатываний правила в KUMA. В этом случае рекомендуется увеличить значение в поле Частота срабатываний, например до 1000000.

Политика хранения базовых событий

Раскрывающийся список, позволяющий определить, какие базовые события требуется поместить в корреляционное событие:

  • first – поместить в корреляционное событие первое базовое событие из коллекции событий, инициировавшей создание корреляционного события. Это значение выбрано по умолчанию.
  • last – поместить в корреляционное событие последнее базовое событие из коллекции событий, инициировавшей создание корреляционного события.
  • all – поместить в корреляционное событие все базовые события из коллекции событий, инициировавшей создание корреляционного события.

Уровень важности

Базовый коэффициент, используемый для определения уровня важности правила корреляции:

  • Критический.
  • Высокий.
  • Средний.
  • Низкий – это значение выбрано по умолчанию.

Сортировать по

Поле события, по которому селекторы правила корреляции будут отслеживать изменение ситуации. Это может пригодиться, например если вы захотите настроить правило корреляции на срабатывание при последовательном возникновении нескольких типов событий.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Техники MITRE

Загруженные техники MITRE ATT&CK для анализа состояния покрытия безопасности с помощью матрицы MITRE ATT&CK.

Использовать сопоставление уникальных полей

 

Переключатель, позволяющий сохранять значения уникальных полей в массив и передавать его в одно из полей корреляционного события. Если переключатель включен, в нижней части вкладки Общие отображается дополнительный блок параметров Сопоставление уникальных полей для настройки сопоставления исходных уникальных полей с полями корреляционного события.

При обработке события через правило корреляции сначала выполняется сопоставление полей, затем к уже сформированному на основе сопоставления корреляционному событию будут применены операции, указанные на вкладке Действия.

По умолчанию переключатель выключен.

Необязательный параметр.

Блок параметров Сопоставление уникальных полей

Если необходимо передавать в корреляционное событие значения полей, указанных в параметре Уникальные поля, то этот блок можно использовать для настройки сопоставления уникальных полей с полями корреляционного события. Блок отображается на вкладке Общие, если включен переключатель Использовать сопоставление уникальных полей. Поскольку значения уникальных полей представляют собой массив, поле в корреляционном событии должно иметь соответствующий тип — SA, NA, FA.

Вы можете добавить сопоставление, нажав на кнопку Добавить и выбрав в раскрывающемся списке в столбце Поле исходного события нужное поле. Для выбора доступны поля, указанные в параметре Уникальные поля. В раскрывающемся списке в столбце Поле события назначения вам нужно выбрать поле корреляционного события, в которое должен записываться массив значений исходного поля. Для выбора доступны поля, тип которых соответствует массиву (SA, NA или FA в зависимости от типа исходного поля).

Вы можете удалить одно или несколько сопоставлений, установив флажки рядом с нужными сопоставлениями и нажав на кнопку Удалить.

Вкладка Селекторы

Эта вкладка используется для определения условий, которым должны удовлетворять обрабатываемые события для срабатывания правила корреляции. Для добавления селектора нажмите на кнопку + Добавить селектор. Вы можете добавить несколько селекторов, изменить порядок селекторов и удалить селекторы. Для изменения порядка селекторов используйте значки изменения порядка DragIcon. Для удаления селектора нажмите рядом с ним на значок удаления cross-black.

Для каждого селектора доступны вкладки Параметры и Локальные переменные.

Параметры, доступные на вкладке Параметры, описаны в таблице ниже.

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Порог срабатывания селектора (количество событий)

Количество событий, которые требуется получить для срабатывания селектора. Значение по умолчанию: 1.

Обязательный параметр.

Обнуление

Переключатель, позволяющий правилу корреляции не срабатывать при получении селектором количества событий, указанного в поле Порог срабатывания селектора (количество событий). По умолчанию этот переключатель выключен.

Фильтр

Фильтр, указывающий критерии определения событий, при получении которых будет срабатывать селектор. Вы можете выбрать существующий фильтр или создать фильтр. Для создания нового фильтра выберите значение Создать.

Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша edit-pencil.

Как создать фильтр?

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence. То есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      • inContextTable – присутствует ли в указанной контекстной таблице запись.
      • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

Фильтрация по данным из поля события Extra

Условия для фильтров по данным из поля события Extra:

  • Условие – Если.
  • Левый операнд – поле события.
  • В поле события вы можете указать одно из следующих значений:
    • Поле Extra.
    • Значение из поля Extra в следующем формате:

      Extra.<название поля>

      Например, Extra.app.

      Значение этого типа указывается вручную.

    • Значение из массива, записанного в поле Extra, в следующем формате:

      Extra.<название поля>.<элемент массива>

      Например, Extra.array.0.

      Нумерация значений в массиве начинается с 0.

      Значение этого типа указывается вручную.

      Чтобы работать со значением из поля Extra на глубине 3 и ниже, следует использовать кавычки ``. Например, `Extra.lev1.lev2.lev3`.

  • Оператор – =.
  • Правый операнд – константа.
  • Значение – значение, по которому требуется фильтровать события.

Последовательность условий, указанных в фильтре селектора корреляционного правила, имеет значение и влияет на производительность системы. Рекомендуется на первое место в фильтре селектора ставить наиболее уникальный критерий отбора.

Рассмотрим два примера фильтров селектора, осуществляющих выборку событий успешной аутентификации в Microsoft Windows.

Фильтр селектора 1:

Условие 1 – DeviceProduct = Microsoft Windows.

Условие 2 – DeviceEventClassID =  4624.

Фильтр селектора 2:

Условие 1 – DeviceEventClassID = 4624.

Условие 2 – DeviceProduct = Microsoft Windows.

Последовательность условий, указанная в фильтре селектора 2, является более предпочтительной, так как показывает меньшую нагрузку на систему.

На вкладке Локальные переменные вы можете добавить переменные, которые будут действовать в пределах правила корреляции. Для добавления переменной нажмите на кнопку + Добавить, после чего укажите переменную и ее значение. Вы можете добавить несколько переменных и удалить переменные. Для удаления переменной установите рядом с ней флажок и нажмите на кнопку Удалить.

В селекторе корреляционного правила могут быть использованы регулярные выражения, соответствующие стандарту RE2. Применение регулярных выражений в корреляционных правилах создает большую нагрузку в сравнении с другими операциями. При разработке корреляционных правил рекомендуется ограничить использование регулярных выражений до необходимого минимума и применять другие доступные операции.

Для использования регулярного выражения вам нужно применить оператор сравнения match. Регулярное выражение должно быть размещено в константе. Применение capture-групп в регулярных выражениях не обязательно. Для срабатывания корреляционного правила текст поля, сопоставляемый с regexp, должен полностью совпасть с регулярным выражением.

Для ознакомления с синтаксисом и примерами корреляционных правил, в селекторах которых есть регулярные выражения, вы можете использовать следующие правила, поставляемые с KUMA:

  • R105_04_Подозрительные PowerShell-команды. Подозрение на обфускацию.
  • R333_Подозрительное создание файлов в директории автозапуска.

Вкладка Действия

Эта вкладка используется для настройки триггеров правила корреляции. Вы можете настроить триггеры на следующих вкладках:

  • На первом срабатывании правила – триггер срабатывает, когда контейнер регистрирует первое в течение срока своей жизни срабатывание селектора.
  • На последующих срабатываниях правила – триггер срабатывает, когда контейнер регистрирует в течение срока своей жизни второе и последующие срабатывания селектора.
  • На каждом срабатывании правила – триггер срабатывает каждый раз, когда контейнер регистрирует срабатывание селектора.
  • По истечении времени жизни контейнера – триггер срабатывает по истечении времени жизни контейнера и используется в связке с селектором, в параметрах которого включен переключатель Обнуление. Таким образом, триггер срабатывает, если в течение указанного времени жизни ситуация, обнаруженная правилом корреляции, не разрешается.

Доступные параметры триггеров описаны в таблице ниже.

Параметр

Описание

В дальнейшую обработку

Флажок, включающий отправку корреляционных событий на пост-обработку – на внешнее обогащение вне корреляционного правила, для реагирования и в точки назначения. По умолчанию этот флажок снят.

В коррелятор

Флажок, включающий обработку созданного корреляционного события цепочкой правил текущего коррелятора. Это позволят достичь иерархической корреляции. По умолчанию этот флажок снят.

Если вы устанавливаете флажки В дальнейшую обработку и В коррелятор, правило корреляции будет отправлено сначала на пост-обработку, а затем в селекторы текущего правила корреляции.

Не создавать алерт

Флажок, выключающий создание алертов при срабатывании правила корреляции. По умолчанию этот флажок снят.

Если вы хотите, чтобы алерт не создавался при срабатывании правила корреляции, но корреляционное событие все-равно отправлялось в хранилище, установите флажки В дальнейшую обработку и Не создавать алерт. Если установлен только флажок Не создавать алерт, корреляционное событие не будет сохраняться в хранилище.

Обогащение

Правила обогащения для изменения значений полей корреляционных событий. Правила обогащения хранятся в правиле корреляции, в котором они были созданы. Для создания правила обогащения нажмите на кнопку + Добавить обогащение.

Доступные параметры правила обогащения:

  • Исходный тип – тип обогащения. При выборе определенных типов обогащения могут стать доступны дополнительные параметры, для которых вам нужно указать значения.

    Доступные типы обогащения:

    • константа

      Этот тип обогащения используется, если в поле события необходимо добавить константу. Параметры этого типа обогащения:

      • В поле Константа укажите значение, которое следует добавить в поле события. Значение должно состоять не более чем из 255 символов Юникода. Если оставить это поле пустым, существующее значение поля события будет удалено.
      • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.

      Если вы используете функции обогащения событий для полей расширенной схемы с типом "Строка", "Число" или "Число с плавающей точкой" с помощью константы, в поле будет добавлена константа.

      Если вы используете функции обогащения событий для полей расширенной схемы с типом "Массив строк", "Массив чисел" или "Массив чисел с плавающей точкой" с помощью константы, константа будет добавлена к элементам массива.

       

    • словарь

      Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Словарь.

      Когда в раскрывающемся списке Название словаря выбран этот тип обогащения, вам нужно выбрать словарь, который предоставит значения. В блоке параметров Ключевые поля вам нужно нажать на кнопку Добавить поле и выбрать поля событий, значения которых будут использоваться для выбора записи словаря.

      Если вы используете обогащение событий, у которого в качестве параметра Тип источника данных выбран тип "Словарь", а в параметре Ключевые поля обогащения указано поле-массив, при передаче массива в качестве ключа словаря массив будет сериализован в строку согласно правилам сериализации одного значения в формате TSV.

      Пример: В параметре Ключевые поля обогащения используется поле расширенной схемы SA.StringArrayOne. Поле расширенной схемы SA.StringArrayOne, содержит 3 элемента "a", "b" и "c". В качестве ключа в словарь будет передано значение: ['a','b','c'].

      Если в параметре Ключевые поля обогащения используется поле-массив расширенной схемы и обычное поле схемы событий, значения полей при обращении в словарь будут разделены символом "|".

      Пример: В параметре Ключевые поля обогащения используются два поля: поле расширенной схемы SA.StringArrayOne и поле Code. Поле расширенной схемы SA.StringArrayOne, содержит 3 элемента "a", "b" и "c", строковое поле Code, содержит последовательность символов "myCode". В качестве ключа в словарь будет передано значение: ['a','b','c']|myCode.

       

    • таблица

      Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Таблица.

      Когда этот тип обогащения выбран в раскрывающемся списке Название словаря, выберите словарь, который предоставит значения. В группе параметров Ключевые поля нажмите на кнопку Добавить поле и выберите поля событий, значения которых используются для выбора записи словаря.

      Также в таблице Сопоставление необходимо настроить, из каких полей словаря и в какие поля события будут передаваться данные:

      • В столбце Поле словаря необходимо выбрать поле словаря. Доступные поля зависят от выбранного ресурса словаря.
      • В столбце Поле KUMA необходимо выбрать поле события, в которое следует записать значение. Для некоторых выбранных полей (*custom* и *flex*) в столбце Подпись можно задать название для помещаемых в них данных.

      Строки в таблицу можно добавлять с помощью кнопки Добавить элемент. Столбцы можно удалить, нажав на кнопку cross.

    • событие

      Этот тип обогащения используется, если в поле события необходимо записать значение другого поля события. Параметры этого типа обогащения:

      • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
      • В раскрывающемся списке Исходное поле выберите поле события, значение которого будет записано в целевое поле.
      • Если нажать на кнопку wrench-new, откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA.

        Доступные преобразования

        Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

        Доступные преобразования:

        • lower – используется для перевода всех символов значения в нижний регистр
        • upper – используется для перевода всех символов значения в верхний регистр
        • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
        • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
        • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
          • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
          • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
        • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
        • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
        • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
        • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
          • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
          • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
        • Конвертация закодированных строк в текст:
          • decodeHexString – используется для конвертации HEX-строки в текст.
          • decodeBase64String – используется для конвертации Base64-строки в текст.
          • decodeBase64URLString – используется для конвертации Base64url-строки в текст.

          При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.

          При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, такая строка будет обрезана и не будет раскодирована.

          Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, такая строка будет обрезана до размера этого поля события.

        Преобразования при использовании расширенной схемы событий

        Возможность использования преобразования зависит от типа используемого поля расширенной схемы событий:

        • для дополнительное поле с типом "Строка" доступны все типы преобразований.
        • для полей с типами "Число", "Число с плавающей точкой" доступны следующие виды преобразований: regexp, substring, replace, trim, append, prepend, replaceWithRegexp, decodeHexString, decodeBase64String, decodeBase64URLString.
        • для полей с типами "Массив строк", "Массив чисел" и "Массив чисел с плавающей точкой" доступны следующие виды преобразований: append, prepend.

         

      При использовании обогащения событий, у которых в качестве параметра Тип источника данных выбран тип "Событие", а в качестве аргументов используются поля расширенной схемы событий, необходимо учесть следующие особенности:

      • Если исходным полем было поле с типом "Массив строк", а целевым полем является поле с типом "Строка", значения будут размещены в целевом поле в формате TSV.

        Пример: в поле расширенной схемы событий SA.StringArray, находятся значения "string1", "string2", "string3". Выполняются операция обогащения событий. Результат выполнения операции был занесен в поле схемы событий DeviceCustomString1. В результате выполнения операции в поле DeviceCustomString1 будет находиться: ["string1", "string2", "string3"].

      • Если исходное поле является полем "Массив строк" и целевое поле полем "Массив строк", значения исходного поля добавляются к значениям целевого поля и помещаются в целевое поле с запятыми (","), которые используются в качестве символа-разделителя.

        Пример: в поле расширенной схемы событий SA.StringArrayOne, находятся значения "string1", "string2", "string3". Выполняются операция обогащения событий. Результат выполнения операции был занесен в поле схемы событий SA.StringArrayTwo. В результате выполнения операции в поле SA.StringArrayTwo будут находиться значения "string1", "string2", "string3".

         

    • шаблон

      Этот тип обогащения используется, если в поле события необходимо записать значение, полученное при обработке шаблонов Go. Параметры этого типа обогащения:

      • В поле Шаблон поместите шаблон Go.

        Имена полей событий передаются в формате {{.EventField}}, где EventField – это название поля события, значение которого должно быть передано в скрипт.

        Пример: Атака на {{.DestinationAddress}} со стороны {{.SourceAddress}}.

      • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.

      Чтобы преобразовать данные в поле массива в шаблоне в формат TSV, вам нужно использовать функцию toString.

      Если вы используете обогащения событий, у которого в качестве параметра Тип источника данных выбран тип "Шаблон", в котором целевым полем является поле с типом Строка, а исходным полем является поле расширенной схемы событий, содержащее массив строк, в шаблоне может быть использован один из примеров, приведенных далее.

      Пример:

      {{.SA.StringArrayOne}}

      Пример:

      {{- range $index, $element := . SA.StringArrayOne -}}

      {{- if $index}}, {{end}}"{{$element}}"{{- end -}}

       

    Обязательный параметр.

  • Отладка – переключатель, включающий логирование ресурса. По умолчанию этот переключатель выключен.
  • Теги –

Вы можете создать несколько правил обогащения, изменить порядок правил обогащения и удалить правила обогащения. Для изменения порядка правил обогащения используйте значки изменения порядка DragIcon. Для удаления правила обогащения нажмите рядом с ним на значок удаления cross-black.

Изменение категорий

Правила категоризации для изменения категорий активов, указанных в событии. С помощью правил категоризации вы можете привязывать и отвязывать от активов только реактивные категории. Для создания правила категоризации нажмите на кнопку + Добавить категоризацию.

Доступные параметры правила категоризации:

  • Действие – операция, выполняемая над категорией:
    • Добавить – привязать категорию к активу.
    • Удалить – отвязать категорию от актива.

    Обязательный параметр.

  • Поле события – поле события, содержащее актив, над которым будет выполнена операция.

    Обязательный параметр.

  • Идентификатор категории – категория, над которой будет совершена операция.

    Обязательный параметр.

Вы можете создать несколько правил категоризации, изменить порядок правил категоризации и удалить правила категоризации. Для изменения порядка правил категоризации используйте значки изменения порядка DragIcon. Для удаления правила категоризации нажмите рядом с ним на значок удаления cross-black.

Обновление активных листов

Операции с активными листами. Для создания операции с активным листом нажмите на кнопку + Добавить действие с активным листом.

Доступные параметры операции с активным листом:

  • Название – активный лист, с которым выполняется операция. Если вы хотите изменить параметры активного листа, нажмите рядом с ним на значок карандаша edit-pencil.

    Обязательный параметр.

  • Операция – операция, которая выполняется с активным листом:
    • Сложить – прибавить константу, значение поля корреляционного события или значение локальной переменной к значению активного листа.
    • Установить – записать значения указанных полей корреляционного события в активный лист, создав новую или обновив существующую запись активного листа. При обновлении записи активного листа данные объединяются, и только указанные поля перезаписываются.
    • Получить – получить запись активного листа и записать значения указанных полей в корреляционное событие.
    • Удалить – удалить запись из активного листа.

    Обязательный параметр.

  • Ключевые поля – поля события, которые используются для создания записи активного листа. Указанные поля событий также используются в качестве ключа записи активного листа.

    Ключ записи активного листа зависит только от состава полей событий и не зависит от порядка их отображения в веб-интерфейсе KUMA.

    Обязательный параметр.

  • Сопоставление – правила сопоставления полей активного листа с полями событий. Вы можете использовать правила сопоставления, если в раскрывающемся списке Операция вы выбрали значение Получить или Установить. Для создания правила сопоставления нажмите на кнопку + Добавить.

    Доступные параметры правила сопоставления:

    • Поле активного листа – поле активного листа, которое сопоставляется с полем события. Поле не должно содержать специальные символы или только цифры.
    • Поле KUMA – поле события, с которым сопоставляется поле активного листа.
    • Константа – константа, которая назначается полю активного листа. Вам нужно указать константу, если в раскрывающемся списке Операция вы выбрали значение Установить.

    Вы можете создать несколько правил сопоставления и удалить правила сопоставления. Для удаления правила сопоставления установите рядом с ним флажок и нажмите на кнопку Удалить.

Вы можете создать несколько операций с активными листами, изменить порядок операций с активными листами и удалить операции с активными листами. Для изменения порядка операций с активными листами используйте значки изменения порядка DragIcon. Для удаления операции с активным листом нажмите рядом с ней на значок удаления cross-black.

Обновление контекстных таблиц

Операции с контекстными таблицами. Для создания операции с контекстной таблицей нажмите на кнопку + Добавить действие с контекстной таблицей.

Доступные параметры операции с контекстной таблицей:

  • Название – контекстная таблица, с которой выполняется операция. Если вы хотите изменить параметры контекстной таблицы, нажмите рядом с ней на значок карандаша edit-pencil.

    Обязательный параметр.

  • Операция – операция, которая выполняется с контекстной таблицей:
    • Сложить – прибавить константу, значение поля корреляционного события или значение локальной переменной к значению указанного поля контекстной таблицы. Операция используется только для полей с типом "Число" и "Число с плавающей точкой".
    • Установить – записать значения указанных полей корреляционного события в контекстную таблицу, создав новую или обновив существующую запись контекстной таблицы. При обновлении записи контекстной таблицы данные объединяются, и только указанные поля перезаписываются.
    • Объединить – дописать значение поля корреляционного события, локальной переменной или константы к существующему значению поля контекстной таблицы.
    • Получить – получить поля контекстной таблицы и записать значения указанных полей в корреляционное событие. Поля таблицы типа булево значение и список булевых значений исключаются из сопоставления, потому что в событии нет полей булева типа.
    • Удалить – удалить запись из контекстной таблицы.

    Обязательный параметр.

  • Сопоставление – правила сопоставления полей контекстной таблицы с полями событий или переменными. Вы можете использовать правила сопоставления, если в раскрывающемся списке Операция вы не выбрали значение Удалить. Для создания правила сопоставления нажмите на кнопку + Добавить.

    Доступные параметры правила сопоставления:

    • Поле контекстной таблицы – поле контекстной таблицы, которое сопоставляется с полем события. Вы не можете указать поле контекстной таблицы, которое уже используется в сопоставлении. Вы можете указать табуляцию, специальные символы или только цифры. Максимальное длина названия поля контекстной таблицы составляет 128 символов. Название поля контекстной таблицы не может начинаться с нижнего подчеркивания.
    • Поле KUMA – поле события или локальная переменная, с которой сопоставляется поле контекстной таблицы.
    • Константа – константа, которая назначается полю контекстной таблицы. Вам нужно указать константу, если в раскрывающемся списке Операция вы выбрали значение Установить, Объединить или Сложить. Максимальное длина константы составляет 1024 символа.

    Вы можете создать несколько правил сопоставления и удалить правила сопоставления. Для удаления правила сопоставления установите рядом с ним флажок и нажмите на кнопку Удалить.

Вы можете создать несколько операций с контекстными таблицами, изменить порядок операций с контекстными таблицами и удалить операции с контекстными таблицами. Для изменения порядка операций с контекстными таблицами используйте значки изменения порядка DragIcon. Для удаления операции с контекстной таблицей нажмите рядом с ней на значок удаления cross-black.

Вкладка Корреляторы

Эта вкладка отображается только при изменении параметров созданного правила корреляции и используется для привязки корреляторов к правилу корреляции.

Для добавления корреляторов нажмите на кнопку + Добавить, в открывшемся окне укажите один или несколько корреляторов и нажмите на кнопку ОК. Правило корреляции будет привязано к указанным корреляторам и добавлено последним в очередь для выполнения в параметрах корреляторов. Если вы хотите изменить позицию правила корреляции в очереди для выполнения, перейдите в раздел Ресурсы → Коррелятор, нажмите на коррелятор, в открывшемся окне перейдите в раздел Корреляция, установите флажок рядом с правилом корреляции и измените позицию правила корреляции, нажимая на кнопки Поднять и Опустить.

Вы можете добавить несколько корреляторов и удалить корреляторы. Для удаления коррелятора установите рядом с ним флажок и нажмите на кнопку Удалить.

В начало
[Topic 221197]