Содержание
- Работа с алертами
- Об алертах
- Модель данных алерта
- Просмотр таблицы алертов
- Просмотр деталей алерта
- Назначение алертов аналитикам
- Изменение статуса алерта
- Создание алертов вручную
- Связь алертов с инцидентами
- Удаление связи алертов с инцидентами
- Связывание событий с алертами
- Удаление связи событий с алертами
- Изменение алертов с использованием плейбуков
- Работа с алертами на графе расследования
- Правила агрегации
Работа с алертами
Этот раздел содержит общую информацию об алертах, их свойствах, типичном жизненном цикле и связи с инцидентами. Предоставленные инструкции помогут вам проанализировать таблицу алертов, изменить свойства алертов в соответствии с текущим состоянием жизненного цикла и объединить алерты в инциденты путем связывания или удаления связи алертов.
Раздел Алерты отображается в главном меню, если выполняются следующие условия:
- У вас есть лицензионный ключ для использования Open Single Management Platform.
- Вы подключены к корневому Серверу администрирования в Консоли OSMP.
- У вас есть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня, Менеджер SOC, Работа с НКЦКИ, Подтверждающий, Наблюдатель.
Об алертах
Алерт – это событие в ИТ-инфраструктуре организации, которое было отмечено Open Single Management Platform как необычное или подозрительное и которое может представлять угрозу безопасности ИТ-инфраструктуры организации.
Open Single Management Platform формирует алерт, когда EPP-программа (например, Kaspersky Endpoint Security для Windows) обнаруживает в инфраструктуре определенную активность, соответствующую условиям, заданным в правилах обнаружения.
Алерт создается в течение 30 секунд после возникновения события корреляции KUMA.
Также вы можете создать алерт вручную из набора событий.
После детектирования Open Single Management Platform добавляет алерты в таблицу алертов как объекты, которые должны быть обработаны аналитиками. Вы не можете удалить алерты. Их можно только закрыть.
Алерты могут быть назначены только аналитикам, имеющим право читать и изменять алерты и инциденты.
Вы можете управлять алертами как объектами, используя следующие свойства алертов:
Вы можете комбинировать и связывать алерты с более крупными рабочими объектами, называемыми инцидентами. Вы можете связать алерты с инцидентами вручную или включить правила для автоматического создания инцидентов и связывания алертов. Используя инциденты, аналитики могут исследовать несколько алертов как одну проблему. Когда вы связываете алерт, ни с чем не связанный в текущий момент, с инцидентом, алерт приобретает статус В инциденте. Вы можете связать алерт, ни с чем не связанный в текущий момент, с другим инцидентом. В этом случае статус алерта В инциденте сохраняется. Вы можете связать с инцидентом не более 200 алертов.
Каждый алерт содержит детали алерта, которые содержат всю информацию, относящуюся к алерту. Вы можете использовать эту информацию для исследования алерта, отслеживания событий, предшествующих алерту, просмотра обнаруженных артефактов, затронутых активов или для привязки алерта к инциденту.
Модель данных алерта
Структура алерта представлена полями, которые содержат значения (см. таблицу ниже). Некоторые поля являются объектами или массивами объектов со своим набором полей (например, поля Assignee
и Assets
).
Алерт
Поле |
Тип значения |
Требуется |
Описание |
|
Строка |
Да |
Внутренний идентификатор алерта (в формате UUID). Значение поля может совпадать со значением |
|
Целое число |
Да |
Короткий внутренний идентификатор алерта. |
|
Строка |
Да |
Идентификатор тенанта, с которым связан алерт (в формате UUID). |
|
Строка |
Да |
Дата и время создания алерта (в формате RFC 3339). |
|
Строка |
Да |
Дата и время последнего изменения алерта (в формате RFC 3339). |
|
Строка |
Нет |
Дата и время последнего изменения статуса алерта (в формате RFC 3339). |
|
Строка |
Да |
Важность алерта. Возможные значения:
|
|
Строка |
Да |
Идентификатор плагина управления приложения "Лаборатории Касперского", интегрированного в OSMP. |
|
Строка |
Да |
Версия плагина управления приложения "Лаборатории Касперского", интегрированного в OSMP. |
|
Строка |
Нет |
Уникальный идентификатор алерта в интегрированном компоненте. |
|
Строка |
Нет |
Дата и время создания алерта в интегрированном компоненте (в формате RFC 3339). |
|
Строка |
Да |
Дата и время первого события телеметрии, связанного с алертом (в формате RFC 3339). |
|
Строка |
Да |
Дата и время последнего события телеметрии, связанного с алертом (в формате RFC 3339). |
|
Строка |
Нет |
Компонент, который обнаруживает и генерирует алерт. |
|
Массив строк |
Нет |
Технология срабатывания детектирования. |
|
Строка |
Да |
Статус алерта. Возможные значения:
|
|
Строка |
Нет |
Решение статуса алерта. Возможные значения:
|
|
Строка |
Нет |
Внутренний идентификатор инцидента, связанного с алертом. |
|
Строка |
Нет |
Способ добавления алерта в инцидент. Возможные значения:
|
|
Объект |
Нет |
Оператор, которому назначен алерт. |
|
Массив объектов |
Нет |
Тактики MITRE, связанные со всеми сработавшими IOA-правилами в алерте. |
|
Массив объектов |
Нет |
Техники MITRE, связанные со всеми сработавшими IOA-правилами в алерте. |
|
Массив объектов |
Нет |
Наблюдаемые объекты, связанные с алертом. |
|
Массив объектов |
Нет |
Активы, затронутые алертом. |
|
Массив объектов |
Нет |
Сработавшие правила корреляции, на основании которых формируется алерт. |
|
Массив объектов |
Нет |
События, на основании которых формируется алерт. |
|
Строка |
Да |
Ссылка на объект во внешней системе (например, ссылка на инцидент Jira). |
|
Объект |
Нет |
Данные, связанные с алертом, в формате JSON. Эти данные получены от управляемых приложений "Лаборатории Касперского", когда события преобразуются в алерты. Это поле не используется в интерфейсе. |
|
Объект |
Нет |
Дополнительная информация об алерте в формате JSON. Эту информацию может заполнить пользователь или плейбук. |
|
Логический оператор |
Да |
Индикатор того, что затронутый актив (устройство или учетная запись) является объектом критической инфраструктуры. |
|
Строка |
Да |
Название алерта. |
|
Массив объектов |
Нет |
Вложения, связанные с инцидентом. |
Исполнитель
Поле |
Тип значения |
Требуется |
Описание |
|
Строка |
Да |
Идентификатор учетной записи оператора, которому назначен алерт. |
|
Строка |
Да |
Имя оператора, которому назначен алерт. |
MITRETactic
Поле |
Тип значения |
Требуется |
Описание |
|
Строка |
Да |
Идентификатор тактики MITRE, связанной со всеми сработавшими IOA-правилами в алерте. |
|
Строка |
Да |
Название тактики MITRE, относящейся ко всем сработавшим IOA-правилам в алерте. |
MITRETechnique
Поле |
Тип значения |
Требуется |
Описание |
|
Строка |
Да |
Идентификатор техники MITRE, связанной со всеми сработавшими IOA-правилами в алерте. |
|
Строка |
Да |
Название техники MITRE, относящейся ко всем сработавшим IOA-правилам в алерте. |
Наблюдаемый объект
Поле |
Тип значения |
Требуется |
Описание |
|
Строка |
Да |
Тип наблюдаемого объекта. Возможные значения:
|
|
Строка |
Да |
Значение наблюдаемого объекта. |
|
Строка |
Нет |
Дополнительная информация о наблюдаемом объекте. |
Правило
Поле |
Тип значения |
Требуется |
Описание |
|
Строка |
Да |
Идентификатор сработавшего правила. |
|
Строка |
Нет |
Имя сработавшего правила. |
|
Строка |
Нет |
Критичности сработавшего правила. Возможные значения:
|
|
Строка |
Нет |
Уровень доверия сработавшего правила. Возможные значения:
|
|
Логический оператор |
Нет |
Индикатор того, что алерт основан на пользовательских правилах. |
Актив
Поле |
Тип значения |
Требуется |
Описание |
|
Строка |
Да |
Тип затронутого актива (устройство или учетная запись). Возможные значения:
|
|
Строка |
Да |
Идентификатор затронутого актива (устройства или учетной записи). |
|
Строка |
Нет |
Имя затронутого устройства, с которым связан алерт (если для параметра Имя пользователя затронутой учетной записи, связанной с событиями, на основе которых создается алерт (если для параметра |
|
Логический оператор |
Нет |
Индикатор того, что затронутый актив (устройство или учетная запись) является атакующим. |
|
Логический оператор |
Нет |
Индикатор того, что затронутый актив (устройство или учетная запись) является атакуемым. |
|
Строка |
Нет |
Категория значимости того, что затронутый актив (устройство или учетная запись) является объектом критической инфраструктуры. Возможные значения:
|
UnkeyedAttachment
Поле |
Тип значения |
Требуется |
Описание |
|
Строка |
Да |
Идентификатор вложения (в формате UUID). |
|
Строка |
Да |
Имя вложения. |
|
Строка |
Да |
Дата и время создания вложения в формате UTC. |
|
Строка |
Да |
Дата и время последнего изменения вложения в формате UTC. |
|
Строка |
Да |
Индикатор того, что затронутый актив (устройство или учетная запись) является атакуемым. |
|
Целое число |
Да |
Размер вложения, указанный в байтах. |
|
Строка |
Да |
Статус вложения, который указывает, находится ли загрузка вложения в процессе, завершена или прервана с ошибкой. Возможные значения:
|
|
Строка |
Нет |
Описание вложения. |
|
Строка |
Нет |
Текст статуса, который отображается пользователю (например, сообщение об ошибке, которое отображается при неудачной попытке загрузки вложения). |
Просмотр таблицы алертов
В таблице алертов представлена информация обо всех алертах, зарегистрированных Open Single Management Platform.
Чтобы просмотреть таблицу алертов:
- В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты.
Отобразится таблица алертов.
- При необходимости отфильтруйте тенанты. По умолчанию фильтр для тенантов выключен и в таблице алертов отображаются алерты, относящиеся ко всем тенантам, к которым у вас есть права доступа. Чтобы применить фильтр для тенантов:
- По ссылке рядом с параметром Фильтр тенантов откройте список тенантов.
- Установите флажки рядом с требуемыми тенантами.
В таблице отображаются только алерты, зарегистрированные на выбранных тенантах.
В таблица алертов содержит следующие столбцы:
- ID алерта – уникальный идентификатор алерта.
- Зарегистрировано – дата и время, когда алерт был добавлен в таблицу алертов.
- Время обновления – дата и время последнего изменения в истории алертов.
- Статус – текущий статус алерта.
- Аналитик – текущий исполнитель алерта.
- Тенант – имя тенанта, в котором зарегистрирован алерт.
- Технология – технология, зарегистрировавшая алерт.
- Правила – IOC- или IOA-правила, сработавшие для регистрации алерта.
- Затронутые активы – устройства и пользователи, затронутые алертом.
- Наблюдаемые объекты – артефакты обнаружения, например IP-адреса или MD5-хеши файлов.
- Тип ссылки инцидента – способ добавления алерта в инцидент, вручную или автоматически.
- Критичность – важность алерта.
- Статус изменен – дата и время последнего изменения статуса алерта.
- Объект КИИ – наличие хотя бы одного актива, который включен в алерт и является объектом критической информационной инфраструктуры (КИИ).
Принимает значение Да, если затронутый актив – это объект КИИ первой, второй, третьей категории значимости или объект КИИ без категории значимости. Столбец доступен для отображения, если лицензия приложения включает модуль ГосСОПКА.
События, которые содержат объекты КИИ, должны образовывать отдельный алерт. Для этого вам нужно настроить правило агрегации.
Просмотр деталей алерта
Детали алерта – это страница в интерфейсе, которая содержит всю информацию, относящуюся к алерту, включая свойства алерта.
Чтобы просмотреть детали алерта:
- В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты.
- В таблице алертов нажмите на идентификатор требуемого алерта.
Отображаются детали алерта.
Панель инструментов в верхней части деталей алерта позволяет выполнять следующие действия:
- Изменять значение поля Внешняя ссылка
- Назначить алерт аналитику
- Изменить статус алерта
- Связать алерт с инцидентом
- Отменить связь алерта с инцидентом
- Выбрать плейбук
- Создать инцидент и привязать к нему алерт
Детали алерта состоят из следующих разделов:
- Сводная информация
- Подробная информация
- Активы
- Наблюдаемые объекты
- Похожие закрытые алерты
- Подобные инциденты
- Комментарии
- История
Назначение алертов аналитикам
Как объект, алерт может быть назначен аналитику SOC для проверки и возможного расследования. Вы можете изменить исполнителя активного алерта в любое время. Вы не можете изменить исполнителя закрытого алерта.
Алерты могут быть назначены только аналитикам, имеющим право читать и изменять алерты и инциденты.
Чтобы назначить аналитику алерты:
- В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты.
- Установите флажки рядом с алертами, которые вы хотите назначить аналитику.
Вам нужно выбрать только алерты, обнаруженные в одном тенанте. Иначе кнопка Назначить будет неактивна.
Также вы можете назначить алерт аналитику из деталей алерта. Чтобы открыть детали алерта, перейдите по ссылке с нужным идентификатором алерта.
- Нажмите на кнопку Назначить.
- В открывшемся окне Назначить аналитику начните вводить имя аналитика или электронную почту, а затем выберите аналитика из списка.
Вы также можете выбрать вариант Не назначен для всех алертов, кроме алертов со статусом Закрыт.
- Нажмите на кнопку Назначить.
Алерты назначены аналитику.
Также аналитику можно назначить алерт с помощью плейбуков.
Изменение статуса алерта
Как объект, алерт имеет статус, который показывает текущий статус алерта в его жизненном цикле.
Вы можете изменять статусы алертов для своих алертов или алертов других аналитиков, только если у вас есть право доступа для чтения и изменения алертов и инцидентов.
Если статус алерта изменен вручную, плейбуки не будут запускаться автоматически. Вы можете запустить плейбук для такого алерта вручную.
Алерт может иметь один из следующих статусов:
Чтобы изменить статус одного или нескольких алертов:
- В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты.
- Выполните одно из следующих действий:
- Установите флажки напротив алертов, статус которых вы хотите изменить.
- Перейдите по ссылке с идентификатором алерта, статус которого вы хотите изменить.
Откроется окно Детали алерта.
- Нажмите на кнопку Изменить статус.
- В панели Изменить статус выберите статус, который нужно установить.
Если вы выбрали статус Закрыт, вам нужно выбрать решение.
Если вы измените статус алерта на Закрыт и этот алерт содержит незавершенные плейбуки или действия по реагированию, все связанные плейбуки и действия по реагированию будут прекращены.
- Нажмите на кнопку Сохранить.
Статусы выбранных алертов будут изменены.
Если алерт добавлен на граф расследования, вы также можете изменить статус алерта на графе.
Также статус алерта можно изменить с помощью плейбуков.
Создание алертов вручную
Вы можете создать алерт вручную из набора событий. Вы можете использовать эту функцию для проверки гипотетического инцидента, который не был обнаружен автоматически.
Если алерт создан вручную, плейбуки не запускаются автоматически. Вы можете запустить плейбук для такого алерта вручную.
Чтобы создать алерт вручную:
- В главном окне приложения перейдите в раздел Мониторинг и отчеты → Поиск угроз.
- Выберите события, для которых вы хотите создать алерт. События должны принадлежать одному тенанту.
- Нажмите на кнопку Создать алерт.
Откроется окно с созданным алертом. Значение поля Критичность соответствует максимальной критичности среди выбранных событий.
Алерты, созданные вручную, имеют пустое значение Правила в таблице Мониторинг и отчеты → Алерты.
В началоСвязь алертов с инцидентами
Вы можете связать один или несколько алертов с инцидентом, по следующим причинам:
- Несколько алертов можно интерпретировать как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае алерты в инциденте можно исследовать как отдельную проблему. Вы можете связать с инцидентом до 200 алертов.
- Один алерт может быть связан с инцидентом, если он определен как истинно положительный.
Вы можете связать алерт с инцидентом, если он имеет любой статус отличный от Закрыт. Алерт теряет свой текущий статус и приобретает статус В инциденте при связывании с инцидентом. Если вы связываете алерты, которые в настоящее время связаны с другими инцидентами, удаляется связь алертов с текущими инцидентами, так как алерт может быть связан только с одним инцидентом.
Алерты могут быть связаны только с инцидентом, принадлежащим тому же тенанту.
Алерты могут быть связаны с инцидентом вручную или автоматически.
Связывание алертов вручную
Чтобы связать алерты с существующим или новым инцидентом:
- В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты.
- Установите флажки рядом с событиями, которые требуется связать с инцидентом.
- Если вы хотите связать алерты с существующим инцидентом:
- Нажмите на кнопку Связать с инцидентом.
- Выберите инцидент, с которым нужно связать алерты.
Вы также можете нажать на алерт, чтобы отобразить сведения алерта, и нажать на кнопку Связать с инцидентом в панели инструментов.
- Если вы хотите связать алерты с новым инцидентом:
- Нажмите на кнопку Создать инцидент.
- Заполните свойства нового инцидента: имя, исполнитель, приоритет и описание.
Вы также можете нажать на алерт, чтобы отобразить сведения алерта, и нажать на кнопку Создать инцидент в панели инструментов.
- Нажмите на кнопку Сохранить.
Выбранные алерты связаны с существующим или новым инцидентом.
Автоматическая привязка алертов
Если вы хотите, чтобы алерты автоматически связывались с инцидентом, вам нужно настроить правила сегментации.
Удаление связи алертов с инцидентами
Вам может потребоваться удалить связь между алертом и инцидентом, например, если анализ и расследование алертов показали, что алерт не связан с другими алертами в инциденте. При удалении связи алерта с инцидентом Open Single Management Platform выполняет следующие действия:
- Обновляет все данные, связанные с инцидентом, чтобы отразить, что алерт больше не относится к инциденту. Например, вы можете просмотреть изменения в деталях инцидента.
- Сбрасывает статус несвязанных алертов на Новый.
Чтобы удалить связь алерта с инцидентом:
- Откройте детали алерта.
- Нажмите на кнопку Удалить связь с инцидентом в панели инструментов.
Откроется окно Удалить связь с алертами.
- Если вы хотите сменить исполнителя, выберите Назначить алерты и укажите нового исполнителя.
- Если вы хотите добавить комментарий, укажите его в разделе Комментарий. Указанный вами комментарий отображается в столбце Сведения в разделе История.
Для выбранных алертов удалена связь с инцидентом.
Связывание событий с алертами
Если во время расследования вы обнаружили событие, связанное с исследуемым алертом, вы можете связать это событие с алертом вручную.
Вы можете связать событие с алертом, если он имеет любой статус отличный от Закрыт.
Чтобы привязать событие к алерту:
- В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты.
- В списке алертов перейдите по ссылке с идентификатором алерта, с которым вы хотите связать событие.
Откроется окно Детали алерта.
- Перейдите в раздел Подробнее и нажмите на кнопку Найти в разделе Поиск угроз.
Откроется раздел Поиск угроз. По умолчанию таблица событий содержит события, связанные с выбранным алертом.
Таблица событий содержит только события, связанные с тенантами, к которым у вас есть доступ.
- В верхней части окна откройте первый раскрывающийся список и выберите Хранилище.
- Откройте третий раскрывающийся список и укажите период.
Вы можете выбрать предопределенные периоды относительно текущей даты и времени и указать необходимый период, используя поля Начало периода и Окончание периода или выбрав даты в календаре.
- Нажмите на кнопку Выполнить запрос.
- В обновленном списке событий выберите событие, которое вы хотите связать с алертом и нажмите на Связать с алертом.
Выбранные события привязаны к алерту.
В началоУдаление связи событий с алертами
Вам может потребоваться удалить связь между событием и алертом, например, если анализ и расследование событий показали, что событие не связано с алертами.
Чтобы удалить связь события с алертом:
- В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты.
- В списке алертов перейдите по ссылке с идентификатором алерта, для которого вы хотите удалить связь с событием.
Откроется окно Детали алерта.
- В разделе Подробнее выберите события, для которых вы хотите удалить связь, а затем нажмите на кнопку Удалить связь с алертом.
Для выбранных событий удалена связь с алертом.
В началоИзменение алертов с использованием плейбуков
Open Single Management Platform позволяет изменять инциденты вручную или с использованием плейбуков. При создании плейбука, вы можете настроить алгоритм плейбука для изменения свойств алерта.
Чтобы изменить алерт с помощью плейбука, вам должна быть присвоена одна из следующих XDR-ролей: Главный администратор, Администратор SOC, Аналитик 1-го уровня, Аналитик 2-го уровня или Администратор тенанта.
Вы не можете изменять алерты, которые имеют статус Закрыт.
Вы можете изменить следующие свойства алерта с помощью плейбука:
- Исполнитель.
- Статус алерта.
- Комментарий.
- Атрибут ExternalReference.
- Дополнительный атрибут данных.
Примеры выражений, которые вы можете использовать в алгоритме плейбука для изменения свойств алерта:
- Назначение алерта пользователю
- Отмена назначения алерта пользователю
- Изменение статуса алерта
- Добавление комментария к алерту
- Изменение атрибута ExternalReference.
- Изменение Дополнительного атрибута данных.
Работа с алертами на графе расследования
На графе расследования вы можете выполнять следующие действия с алертами:
- Добавлять алерт на граф.
- Скрывать алерт с графа.
- Просматривать детали алерта, выбрав соответствующий элемент из контекстного меню узла алерта.
- Изменять статус алерта.
- Просматривать события, связанные с алертом.
- Просматривать активы, связанные с алертом.
- Просматривать наблюдаемые объекты, связанные с алертом.
Добавление алертов на граф расследования
Вы можете добавить алерт на граф расследования одним из следующих способов:
- Из общей таблицы алертов, которая открывается при нажатии на кнопку Добавить алерт на графе расследования. Вам нужно установить флажки рядом с алертами, которые вы хотите отобразить на графе расследования, и нажать на кнопку Показать на графе.
- Из таблицы похожих алертов.
Чтобы добавить алерты на граф расследования из таблицы похожих алертов:
- Выполните одно из следующих действий:
- Если на графе расследования у вас есть актив, наблюдаемый объект или правило сегментации, нажмите на его узел, а затем в контекстном меню выберите пункт Найти похожие алерты.
- Если на графе расследования у вас есть событие, нажмите на его узел, а затем в контекстном меню выберите пункт Просмотреть информацию. В открывшемся окне нажмите на кнопку Показать на графе.
- Если на графе расследования у вас есть алерт, нажмите на его узел и в контекстном меню выберите пункт События. В таблице событий нажмите на событие, детали которого вы хотите открыть. Если детали события содержат наблюдаемый объект, актив или правило сегментации, нажмите на ссылку в соответствующем поле, а затем в контекстном меню выберите пункт Найти похожие алерты.
- На графе расследования нажмите на кнопку Поиск угроз, а затем в общей таблице событий нажмите на событие, детали которого вы хотите открыть. Если детали события содержат наблюдаемый объект, актив или правило сегментации, нажмите на ссылку в соответствующем поле, а затем в контекстном меню выберите пункт Найти похожие алерты.
Отобразится таблица похожих алертов.
- Установите флажки рядом с алертами, которые вы хотите отобразить на графе расследования, и нажмите на кнопку Показать на графе.
Выбранные алерты будут добавлены на граф расследования.
Скрытие алертов на графе расследования
Вы можете скрыть алерты на графе расследования одним из следующих способов:
- Нажать на узел алерта и в контекстном меню выбрать пункт Скрыть.
- С помощью таблицы алертов.
Чтобы скрыть алерты на графе с помощью таблицы алертов:
- Выполните одно из следующих действий:
- В панели инструментов в верхней части графа расследования нажмите на кнопку Добавить алерт.
- Если на графе отображаются узлы наблюдаемых объектов, активов или событий, нажмите на узел, для которого вы хотите добавить алерт, а затем в контекстном меню выберите пункт Найти похожие алерты.
Отобразится таблица алертов.
- Установите флажки рядом с алертами, которые вы хотите скрыть на графе расследования, и нажмите на кнопку Показать на графе.
Выбранные алерты и их ссылки будут скрыты на графе расследования. Связанные узлы останутся на графе расследования.
Изменение статуса алерта
Чтобы изменить статус алерта:
- Нажмите на узел алерта и в контекстном меню выберите пункт Изменить статус.
- В открывшейся панели Смена статуса, выберите статус и нажмите на кнопку Сохранить.
Если вы выбрали статус Закрыт, вам нужно выбрать решение.
Статусы выбранных алертов будут изменены.
Просмотр событий, связанных с алертом
Чтобы просмотреть события, связанные с алертом, выполните одно из следующих действий:
- Нажмите на цифру рядом с узлом алерта, события которого вы хотите отобразить. Цифра показывает количество событий, связанных с алертом.
- Нажмите на узел алерта, события которого вы хотите отобразить, и в контекстном меню выберите пункт События.
Если вы хотите добавить события из таблицы на граф расследования, установите флажки рядом с событиями и нажмите на кнопку Показать на графе.
Если вы хотите скрыть события на графе расследования, установите флажки рядом с событиями и нажмите на кнопку Скрыть на графе.
Просмотр активов, связанных с алертом
Чтобы просмотреть активы, связанные с алертом, нажмите на узел алерта.
В контекстном меню цифры рядом с элементами Устройства и Пользователи показывают количество устройств и пользователей, связанных с алертом.
Если вы хотите добавить устройства или пользователей на граф расследования, выберите соответствующий пункт меню.
Просмотр наблюдаемых объектов, связанных с алертом
Чтобы просмотреть наблюдаемые объекты, связанные с алертом, нажмите на узел алерта и в контекстном меню выберите пункт События.
В открывшемся меню цифры рядом с элементами показывают количество наблюдаемых объектов, связанных с алертом.
Если вы хотите добавить наблюдаемый объект (например, Хеш, Домен, IP-адрес) на граф расследования, выберите соответствующий пункт меню.
В началоПравила агрегации
Вы можете использовать правила агрегации для объединения корреляционных событий в алертах. Рекомендуется использовать правила сегментации вместе с правилами агрегации для определения более точных правил создания инцидентов.
Стандартное поведение Open Single Management Platform заключается в объединении событий, имеющих один и тот же идентификатор правила, со следующими ограничениями:
- по времени (в течение 30 секунд);
- по количеству событий (100 событий);
- по количеству активов (100 активов);
- по количеству наблюдаемых объектов (200 наблюдаемых объектов);
- по общему объему событий, 4 МБ.
Вы можете использовать REST API для настройки правил агрегации.
Правила агрегации. Пример
В таблице ниже описано, как проводить тестирование на проникновение для проверки системы защиты с предопределенными IP и учетными записями пользователей.
Правило 1. Тестирование на проникновение для проверки системы защиты
Атрибут |
Value |
Описание. |
Приоритет. |
0 |
Наивысший приоритет. |
Триггер |
any(.Observables[]? | select(.Type == "ip") | .Value; . == "10.10.10.10" or . == "10.20.20.20") |
Правило срабатывает, если алерт включает наблюдаемый IP с любым из следующих значений:
|
Идентификатор правила агрегации |
"Pentest" |
Правило указывает идентификатор, с помощью которого события объединяются в алерт. |
Название алерта |
"[Pentest] " + ([.Rules[]?.Name] | join(",")) |
Правило добавляет тег "[Pentest]" и имя правила к названию алерта. Название правила берется из первого агрегированного алерта, последующие алерты не влияют на итоговое название алерта, даже если они были созданы по другому правилу. |
Интервал агрегации |
30 seconds |
|
Правило 2. Тестирование на проникновение для проверки системы защиты с помощью учетной записи пользователя
Атрибут |
Value |
Описание. |
Приоритет. |
1 |
|
Триггер |
any(.Observables[]? | select(.Type | ascii_downcase == "username") | .Value; . == "Pentester-1" or . == "Pentester-2") |
Правило срабатывает, если алерт включает наблюдаемое имя учетной записи пользователя с любым из следующих значений:
|
Идентификатор правила агрегации |
"Pentest" |
Правило указывает идентификатор, с помощью которого события объединяются в алерт. |
Название алерта |
"[Pentest] " + ([.Rules[]?.Name] | join(",")) |
Правило добавляет тег "[Pentest]" и имя правила к названию алерта. Название правила берется из первого агрегированного события, последующие агрегированные события не влияют на итоговое название алерта. |
Интервал агрегации |
30 seconds |
|
Правило 3. Правило агрегации
Атрибут |
Value |
Описание. |
Приоритет. |
2 |
|
Триггер |
.Rules | length > 0 |
Правило срабатывает, если список правил не пуст. |
Идентификатор правила агрегации |
([.Rules[].ID // empty] | sort | join(";")) |
Правило объединяет идентификаторы правил. |
Название алерта |
([.Rules[]?.Name // empty] | sort | join(",")) + " " + (.SourceCreatedAt) |
Правило объединяет названия правил и добавляет дату создания алерта. |
Интервал агрегации |
30 seconds |
|
Правила агрегации и сегментации. Пример
В таблица ниже описано, как объединить алерты, имеющие одинаковый идентификатор правила, в двух инцидентах на основе префикса имени пользователя.
Правило агрегации
Атрибут |
Value |
Описание. |
Триггер |
any(.Rules[]?; .ID == "123") |
Поиск алертов с идентификатором правила "123". |
Идентификатор правила агрегации |
if any(.OriginalEvents[]?.BaseEvents[]?.DestinationUserName // empty; startswith("adm_")) then "rule123_DestinationUserName_adm" else "rule123_DestinationUserName_not_adm" end |
Поиск имен пользователей с префиксом "adm_". |
Название алерта |
if any(.OriginalEvents[]?.BaseEvents[]?.DestinationUserName // empty; startswith("adm_")) then "Rule123 admin" else "Rule123 not admin" end |
Устанавливает название алерта в зависимости от префикса имени пользователя. |
Правило сегментации
Атрибут |
Value |
Триггер |
.AggregationID | startswith("rule123_DestinationUserName") |
Группы |
[.AggregationID] |
Название инцидента |
.Name |