Kaspersky Symphony XDR: Open Single Management Platform

Работа с алертами

Этот раздел содержит общую информацию об алертах, их свойствах, типичном жизненном цикле и связи с инцидентами. Предоставленные инструкции помогут вам проанализировать таблицу алертов, изменить свойства алертов в соответствии с текущим состоянием жизненного цикла и объединить алерты в инциденты путем связывания или удаления связи алертов.

Раздел Алерты отображается в главном меню, если выполняются следующие условия:

  • У вас есть лицензионный ключ для использования Open Single Management Platform.
  • Вы подключены к корневому Серверу администрирования в Консоли OSMP.
  • У вас есть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня, Менеджер SOC, Работа с НКЦКИ, Подтверждающий, Наблюдатель.

В этом разделе

Об алертах

Модель данных алерта

Просмотр таблицы алертов

Просмотр деталей алерта

Назначение алертов аналитикам

Изменение статуса алерта

Создание алертов вручную

Связь алертов с инцидентами

Удаление связи алертов с инцидентами

Связывание событий с алертами

Удаление связи событий с алертами

Изменение алертов с использованием плейбуков

Работа с алертами на графе расследования

Правила агрегации

В начало
[Topic 249232]

Об алертах

Развернуть все | Свернуть все

Алерт – это событие в ИТ-инфраструктуре организации, которое было отмечено Open Single Management Platform как необычное или подозрительное и которое может представлять угрозу безопасности ИТ-инфраструктуры организации.

Open Single Management Platform формирует алерт, когда EPP-программа (например, Kaspersky Endpoint Security для Windows) обнаруживает в инфраструктуре определенную активность, соответствующую условиям, заданным в правилах обнаружения.

Алерт создается в течение 30 секунд после возникновения события корреляции KUMA.

Также вы можете создать алерт вручную из набора событий.

После детектирования Open Single Management Platform добавляет алерты в таблицу алертов как объекты, которые должны быть обработаны аналитиками. Вы не можете удалить алерты. Их можно только закрыть.

Алерты могут быть назначены только аналитикам, имеющим право читать и изменять алерты и инциденты.

Вы можете управлять алертами как объектами, используя следующие свойства алертов:

  • Статус алерта.

    Возможные значения: Новый, В обработке, Закрыт или В инциденте.

    Статус алерта показывает текущий статус алерта в его жизненном цикле. Вы можете изменить статус по своему усмотрению, за исключением следующих случаев:

    • Вы не можете вернуть закрытые алерты в статус В обработке. Закрытые алерты можно вернуть только в статус Новый, а затем статус можно изменить на В обработке.
    • Вы не можете установить статус В инциденте вручную. Алерты получают этот статус, когда они связаны с инцидентом.
    • Вы можете установить статус Закрыт только для связанного алерта. Чтобы установить статус Новый или В обработке, необходимо отменить связь между алертом и инцидентом.
  • Уровень важности алерта.

    Возможные значения: Низкий, Средний, Высокий или Критичный.

    Уровень важности алерта показывает, какое влияние этот алерт может оказать на безопасность устройства или корпоративную локальную сеть на основе опыта "Лаборатории Касперского". Уровень важности определяется автоматически и не может быть изменен вручную.

  • Ответственный за алерт.

    Владелец алерта, аналитик, который отвечает за расследование алерта. Вы можете изменить ответственного за алерт в любое время. Невозможно изменить исполнителя закрытых алертов.

Вы можете комбинировать и связывать алерты с более крупными рабочими объектами, называемыми инцидентами. Вы можете связать алерты с инцидентами вручную или включить правила для автоматического создания инцидентов и связывания алертов. Используя инциденты, аналитики могут исследовать несколько алертов как одну проблему. Когда вы связываете алерт, ни с чем не связанный в текущий момент, с инцидентом, алерт приобретает статус В инциденте. Вы можете связать алерт, ни с чем не связанный в текущий момент, с другим инцидентом. В этом случае статус алерта В инциденте сохраняется. Вы можете связать с инцидентом не более 200 алертов.

Каждый алерт содержит детали алерта, которые содержат всю информацию, относящуюся к алерту. Вы можете использовать эту информацию для исследования алерта, отслеживания событий, предшествующих алерту, просмотра обнаруженных артефактов, затронутых активов или для привязки алерта к инциденту.

См. также:

Просмотр таблицы алертов

Просмотр деталей алерта

Назначение алертов аналитикам

Изменение статуса алерта

Связь алертов с инцидентами

Удаление связи алертов с инцидентами

Об инцидентах

В начало
[Topic 221313]

Модель данных алерта

Структура алерта представлена полями, которые содержат значения (см. таблицу ниже). Некоторые поля являются объектами или массивами объектов со своим набором полей (например, поля Assignee и Assets).

Алерт

Поле

Тип значения

Требуется

Описание

InternalID

Строка

Да

Внутренний идентификатор алерта (в формате UUID). Значение поля может совпадать со значением SourceID.

ID

Целое число

Да

Короткий внутренний идентификатор алерта.

TenantID

Строка

Да

Идентификатор тенанта, с которым связан алерт (в формате UUID).

CreatedAt

Строка

Да

Дата и время создания алерта (в формате RFC 3339).

UpdatedAt

Строка

Да

Дата и время последнего изменения алерта (в формате RFC 3339).

StatusChangedAt

Строка

Нет

Дата и время последнего изменения статуса алерта (в формате RFC 3339).

Severity

Строка

Да

Важность алерта.

Возможные значения:

  • critical
  • high
  • medium
  • low

IntegrationID

Строка

Да

Идентификатор плагина управления приложения "Лаборатории Касперского", интегрированного в OSMP.

IntegrationCompatibilityVersion

Строка

Да

Версия плагина управления приложения "Лаборатории Касперского", интегрированного в OSMP.

SourceID

Строка

Нет

Уникальный идентификатор алерта в интегрированном компоненте.

SourceCreatedAt

Строка

Нет

Дата и время создания алерта в интегрированном компоненте (в формате RFC 3339).

FirstEventTime

Строка

Да

Дата и время первого события телеметрии, связанного с алертом (в формате RFC 3339).

LastEventTime

Строка

Да

Дата и время последнего события телеметрии, связанного с алертом (в формате RFC 3339).

DetectSource

Строка

Нет

Компонент, который обнаруживает и генерирует алерт.

DetectionTechnologies

Массив строк

Нет

Технология срабатывания детектирования.

Status

Строка

Да

Статус алерта.

Возможные значения:

  • new
  • inProgress
  • inIncident
  • closed

StatusResolution

Строка

Нет

Решение статуса алерта.

Возможные значения:

  • truePositive
  • falsePositive
  • lowPriority
  • merged

IncidentID

Строка

Нет

Внутренний идентификатор инцидента, связанного с алертом.

IncidentLinkType

Строка

Нет

Способ добавления алерта в инцидент.

Возможные значения:

  • manual
  • auto

Assignee

Объект Assignee

Нет

Оператор, которому назначен алерт.

MITRETactics

Массив объектов MITRETactic

Нет

Тактики MITRE, связанные со всеми сработавшими IOA-правилами в алерте.

MITRETechniques

Массив объектов MITRETechnique

Нет

Техники MITRE, связанные со всеми сработавшими IOA-правилами в алерте.

Observables

Массив объектов Observable

Нет

Наблюдаемые объекты, связанные с алертом.

Assets

Массив объектов Asset

Нет

Активы, затронутые алертом.

Rules

Массив объектов Rule

Нет

Сработавшие правила корреляции, на основании которых формируется алерт.

OriginalEvents

Массив объектов

Нет

События, на основании которых формируется алерт.

ExternalRef

Строка

Да

Ссылка на объект во внешней системе (например, ссылка на инцидент Jira).

Extra

Объект

Нет

Данные, связанные с алертом, в формате JSON. Эти данные получены от управляемых приложений "Лаборатории Касперского", когда события преобразуются в алерты. Это поле не используется в интерфейсе.

AdditionalData

Объект

Нет

Дополнительная информация об алерте в формате JSON. Эту информацию может заполнить пользователь или плейбук.

IsCII

Логический оператор

Да

Индикатор того, что затронутый актив (устройство или учетная запись) является объектом критической инфраструктуры.

Name

Строка

Да

Название алерта.

Attachments

Массив объектов UnkeyedAttachment

Нет

Вложения, связанные с инцидентом.

Исполнитель

Поле

Тип значения

Требуется

Описание

ID

Строка

Да

Идентификатор учетной записи оператора, которому назначен алерт.

Name

Строка

Да

Имя оператора, которому назначен алерт.

MITRETactic

Поле

Тип значения

Требуется

Описание

ID

Строка

Да

Идентификатор тактики MITRE, связанной со всеми сработавшими IOA-правилами в алерте.

Name

Строка

Да

Название тактики MITRE, относящейся ко всем сработавшим IOA-правилам в алерте.

MITRETechnique

Поле

Тип значения

Требуется

Описание

ID

Строка

Да

Идентификатор техники MITRE, связанной со всеми сработавшими IOA-правилами в алерте.

Name

Строка

Да

Название техники MITRE, относящейся ко всем сработавшим IOA-правилам в алерте.

Наблюдаемый объект

Поле

Тип значения

Требуется

Описание

Type

Строка

Да

Тип наблюдаемого объекта.

Возможные значения:

  • ip
  • md5
  • sha256
  • url
  • domain
  • userName
  • hostName

Value

Строка

Да

Значение наблюдаемого объекта.

Details

Строка

Нет

Дополнительная информация о наблюдаемом объекте.

Правило

Поле

Тип значения

Требуется

Описание

ID

Строка

Да

Идентификатор сработавшего правила.

Name

Строка

Нет

Имя сработавшего правила.

Severity

Строка

Нет

Критичности сработавшего правила.

Возможные значения:

  • critical
  • high
  • medium
  • low

Confidence

Строка

Нет

Уровень доверия сработавшего правила.

Возможные значения:

  • high
  • medium
  • low

Custom

Логический оператор

Нет

Индикатор того, что алерт основан на пользовательских правилах.

Актив

Поле

Тип значения

Требуется

Описание

Type

Строка

Да

Тип затронутого актива (устройство или учетная запись).

Возможные значения:

  • host
  • user

ID

Строка

Да

Идентификатор затронутого актива (устройства или учетной записи).

Name

Строка

Нет

Имя затронутого устройства, с которым связан алерт (если для параметра Type выбрано значение host).

Имя пользователя затронутой учетной записи, связанной с событиями, на основе которых создается алерт (если для параметра Type выбрано значение user).

IsAttacker

Логический оператор

Нет

Индикатор того, что затронутый актив (устройство или учетная запись) является атакующим.

IsVictim

Логический оператор

Нет

Индикатор того, что затронутый актив (устройство или учетная запись) является атакуемым.

CIICategory

Строка

Нет

Категория значимости того, что затронутый актив (устройство или учетная запись) является объектом критической инфраструктуры.

Возможные значения:

  • notCII
  • ciiWithoutCategory
  • ciiFirstCategory
  • ciiSecondCategory
  • ciiThirdCategory

UnkeyedAttachment

Поле

Тип значения

Требуется

Описание

AttachmentID

Строка

Да

Идентификатор вложения (в формате UUID).

Name

Строка

Да

Имя вложения.

CreatedAt

Строка

Да

Дата и время создания вложения в формате UTC.

UpdatedAt

Строка

Да

Дата и время последнего изменения вложения в формате UTC.

CreatedBy

Строка

Да

Индикатор того, что затронутый актив (устройство или учетная запись) является атакуемым.

Size

Целое число

Да

Размер вложения, указанный в байтах.

Status

Строка

Да

Статус вложения, который указывает, находится ли загрузка вложения в процессе, завершена или прервана с ошибкой.

Возможные значения:

  • completed
  • error
  • uploading

Description

Строка

Нет

Описание вложения.

StatusCode

Строка

Нет

Текст статуса, который отображается пользователю (например, сообщение об ошибке, которое отображается при неудачной попытке загрузки вложения).

В начало
[Topic 269125]

Просмотр таблицы алертов

В таблице алертов представлена информация обо всех алертах, зарегистрированных Open Single Management Platform.

Чтобы просмотреть таблицу алертов:

  1. В главном окне приложения перейдите в раздел Мониторинг и отчетыАлерты.

    Отобразится таблица алертов.

  2. При необходимости отфильтруйте тенанты. По умолчанию фильтр для тенантов выключен и в таблице алертов отображаются алерты, относящиеся ко всем тенантам, к которым у вас есть права доступа. Чтобы применить фильтр для тенантов:
    1. По ссылке рядом с параметром Фильтр тенантов откройте список тенантов.
    2. Установите флажки рядом с требуемыми тенантами.

      В таблице отображаются только алерты, зарегистрированные на выбранных тенантах.

В таблица алертов содержит следующие столбцы:

  • ID алерта – уникальный идентификатор алерта.
  • Зарегистрировано – дата и время, когда алерт был добавлен в таблицу алертов.
  • Время обновления – дата и время последнего изменения в истории алертов.
  • Статус – текущий статус алерта.
  • Аналитик – текущий исполнитель алерта.
  • Тенант – имя тенанта, в котором зарегистрирован алерт.
  • Технология – технология, зарегистрировавшая алерт.
  • Правила – IOC- или IOA-правила, сработавшие для регистрации алерта.
  • Затронутые активы – устройства и пользователи, затронутые алертом.
  • Наблюдаемые объекты – артефакты обнаружения, например IP-адреса или MD5-хеши файлов.
  • Тип ссылки инцидента – способ добавления алерта в инцидент, вручную или автоматически.
  • Критичность – важность алерта.
  • Статус изменен – дата и время последнего изменения статуса алерта.
  • Объект КИИ – наличие хотя бы одного актива, который включен в алерт и является объектом критической информационной инфраструктуры (КИИ).

    Принимает значение Да, если затронутый актив – это объект КИИ первой, второй, третьей категории значимости или объект КИИ без категории значимости. Столбец доступен для отображения, если лицензия приложения включает модуль ГосСОПКА.

    События, которые содержат объекты КИИ, должны образовывать отдельный алерт. Для этого вам нужно настроить правило агрегации.

См. также:

Об алертах

Просмотр деталей алерта

Назначение алертов аналитикам

Изменение статуса алерта

Связь алертов с инцидентами

Удаление связи алертов с инцидентами

В начало
[Topic 221571]

Просмотр деталей алерта

Развернуть все | Свернуть все

Детали алерта – это страница в интерфейсе, которая содержит всю информацию, относящуюся к алерту, включая свойства алерта.

Чтобы просмотреть детали алерта:

  1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты.
  2. В таблице алертов нажмите на идентификатор требуемого алерта.

Отображаются детали алерта.

Панель инструментов в верхней части деталей алерта позволяет выполнять следующие действия:

Детали алерта состоят из следующих разделов:

  • Сводная информация

    Раздел сводной информации содержит следующие свойства алерта:

    • Аналитик. Аналитик, которому назначен алерт.
    • Тенант. Имя тенанта, в котором зарегистрирован алерт.
    • Активы. Количество учетных записей пользователей и устройств, связанных с алертом.
    • Важность. Возможные значения: Низкий, Средний, Высокий или Критичный. Уровень важности алерта показывает, какое влияние этот алерт может оказать на безопасность устройства или корпоративную локальную сеть на основе опыта "Лаборатории Касперского".
    • Правила. Правила, которые сработали для регистрации алерта. Вы можете нажать на значок с многоточием рядом с названием правила, чтобы открыть контекстное меню. Используйте это меню, чтобы узнать больше о правиле, найти алерты или инциденты, которые были зарегистрированы этим же правилом, или выполнить поиск событий, инициировавших правило, в разделе Поиск угроз за период между первым и последним событием алерта.

      Когда в меню вы нажимаете на раздел Перейти в Поиск угроз, раздел Поиск угроз открывается в той же вкладке. Если вы хотите открыть раздел Поиск угроз в новой вкладке браузера, зажмите клавишу Ctrl и в меню нажмите на раздел Перейти в Поиск угроз.

    • Зарегистрировано. Дата и время, когда алерт был добавлен в таблицу алертов.
    • Первое событие. Дата и время первого события, связанного с алертом.
    • Последнее событие. Дата и время последнего события, связанного с алертом.
    • Внешняя ссылка. Ссылка на объект во внешней системе (например, ссылка на инцидент Jira). Вы можете нажать на кнопку Изменить, чтобы указать внешнюю ссылку.
    • Связанный с. Инцидент, к которому привязан алерт.
    • Технологии. Технология, зарегистрировавшая алерт.
    • Тактика MITRE. Тактика или несколько тактик, зарегистрированных в алерте. Тактика определена в базе знаний MITRE ATT&CK.
    • Техника MITRE. Техника или несколько техник, зарегистрированных в алерте. Методы определены в базе знаний MITRE ATT&CK.
    • Дополнительные данные. Дополнительная информация об алерте. Вы можете изменить значение в этом поле только с помощью плейбука. Поле отображается, если вы добавили значение.
  • Подробная информация

    В разделе Подробнее вы можете отслеживать события телеметрии, связанные с алертом.

    В таблице событий отображается результат поиска, который вы определяете с помощью SQL-запроса.

    Панель инструментов таблицы событий позволяет выполнить следующие действия:

    • Скачать события. Вы можете нажать на эту кнопку, чтобы загрузить информацию о связанных событиях в CSV-файл (в кодировке UTF-8).
    • Поиск в разделе Поиск угроз. Вы можете нажать на эту кнопку, чтобы открыть раздел Поиск угроз. Этот раздел позволяет выполнять поиск по всем событиям, связанным с тенантами, к которым у вас есть доступ, а не только по событиям, связанным с текущим алертом. По умолчанию открытая таблица событий содержит все события, произошедшие в период между первым и последним событием в алерте. Например, вы можете запустить поисковый запрос, чтобы найти все события, в которых было задействовано устройство.

      В разделе Поиск угроз вы можете вручную связать события с алертами. Это может быть полезно, если вы выясните, что некоторые события относятся к алерту, но не были связаны с алертом автоматически. Дополнительные сведения см. в инструкциях по связыванию или удалению связи событий с алертами.

      Вы можете вернуться к деталям инцидента, нажав на кнопку Исследование алерта или нажав на кнопку Назад в вашем браузере.

    • Удалить связь с алертом. Вы можете выбрать событие или несколько событий в таблице и нажать на эту кнопку, чтобы удалить связь выбранных событий с алертом.
  • Активы

    В разделе Активы можно просмотреть устройства и пользователей, затронутых алертом или участвующих в нем.

    Таблица активов содержит следующие столбцы:

    • Тип актива.

      Возможные значения: устройство или пользователь.

    • Имя актива.
    • Идентификатор актива.
    • Имеет признаки.

      Возможные значения: атакующий или атакуемый.

    • Статус авторизации.

      Этот параметр применяется только к типу актива – устройство. Статус авторизации устройства определяется KICS for Networks. Вы можете изменить статус авторизации, применив соответствующие действия по реагированию к устройству.

    • Сервер администрирования.

      Сервер администрирования, который управляет устройством.

    • Группа администрирования.

      Группа администрирования, к которой принадлежит пользователь.

    • Категории.

      Категории активов, в которые входит актив.

    • Категория КИИ.

      Информация о том, является ли актив объектом критической информационной инфраструктуры (КИИ). Столбец доступен для отображения, если лицензия приложения включает модуль ГосСОПКА и если вам назначена одна из следующих ролей XDR: Доступ к объектам КИИ, Главный администратор.

      Возможные значения:

      • Объект КИИ первой категории значимости.
      • Объект КИИ второй категории значимости.
      • Объект КИИ третьей категории значимости.
      • Объект КИИ без категории значимости.
      • Информационный ресурс не является объектом КИИ.

    Нажав на имя пользователя или устройства, вы можете:

    • Выполнить поиск по имени пользователя или идентификатору устройства в разделе Поиск угроз за период между первым и последним событием алерта.
    • Выполнить поиск по имени пользователя или идентификатору устройства в других алертах.
    • Выполнить поиск по имени пользователя или идентификатору устройства в других инцидентах.
    • Скопировать имя пользователя или имя устройства в буфер обмена.

    Вы также можете нажать на имя устройства, чтобы открыть свойства устройства.

    Нажав на идентификатор пользователя или идентификатор устройства, вы можете:

    • Выполнить поиск по идентификатору пользователя или идентификатору устройства в разделе Поиск угроз за период между первым и последним событием алерта.
    • Выполнить поиск по идентификатору пользователя или идентификатору устройства в других алертах.
    • Выполнить поиск по идентификатору пользователя или идентификатору устройства в других инцидентах.
    • Скопировать идентификатор пользователя или идентификатор устройства в буфер обмена.

    Вы также можете нажать на идентификатор устройства, чтобы открыть его свойства.

  • Наблюдаемые объекты

    В разделе Наблюдаемые объекты вы можете просмотреть наблюдаемые объекты, связанные с алертом. Наблюдаемые объекты могут включать:

    • MD5-хеш
    • IP-адрес
    • URL
    • Имя домена
    • SHA256
    • UserName
    • HostName

    Нажав на ссылку в столбце Значение, вы можете:

    • Поиск наблюдаемого значения в разделе Поиск угроз за период между первым и последним событием алерта.

      Если после перехода по ссылке в столбце Значение вы выбираете в меню раздел Перейти в Поиск угроз, раздел Поиск угроз открывается на той же вкладке. Если вы хотите открыть раздел Поиск угроз в новой вкладке браузера, зажмите клавишу Ctrl и в меню нажмите на раздел Перейти в Поиск угроз.

    • Выполнить поиск по значению наблюдаемого объекта в других алертах.
    • Выполнить поиск по значению наблюдаемого объекта в других инцидентах.
    • Скопировать значение наблюдаемого объекта в буфер обмена.

    Панель инструментов этого раздела содержит следующие кнопки:

    • Запросить статусы Kaspersky TIP. Используйте эту кнопку, чтобы получить подробную информацию о выбранном наблюдаемом объекте в Kaspersky Threat Intelligence Portal (Kaspersky TIP). В результате информация обновляется в столбце Статус обновления. Требуется интеграция с Kaspersky Threat Intelligence Portal (премиум-доступ).
    • Обогатить данные Kaspersky TIP. Используйте эту кнопку, чтобы получить подробную информацию обо всех перечисленных наблюдаемых объектах из Kaspersky TIP. В результате информация обновляется в столбце Обогащение. Используйте ссылку в столбце Обогащение, чтобы открыть полученные сведения об обогащении наблюдаемого объекта. Требуется интеграция с Kaspersky Threat Intelligence Portal (премиум-доступ).
    • Поместить на карантин. Используйте эту кнопку, чтобы переместить устройство, на котором находится файл, на карантин. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
    • Добавить правило запрета. Используйте эту кнопку, чтобы добавить правило, запрещающее запуск файла. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
    • Удалить правило запрета. Используйте эту кнопку, чтобы удалить правило, запрещающее запуск файла. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
    • Прервать процесс. Используйте эту кнопку, чтобы прервать процессы, связанные с файлом. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
  • Похожие закрытые алерты

    В разделе Похожие закрытые алерты вы можете просмотреть список закрытых алертов, которые имеют те же затронутые артефакты, что и текущий алерт. Затронутые артефакты включают наблюдаемые объекты и затронутые устройства. Похожие закрытые алерты могут помочь вам изучить текущий алерт.

    С помощью списка вы можете оценить степень сходства текущего алерта и других алертов. Сходство рассчитывается следующим образом:

    Сходство = M / T * 100

    Здесь "M" – количество артефактов, совпадающих в текущем и аналогичном алерте, "T" – общее количество артефактов в текущем алерте.

    Если сходство составляет 100%, в текущем алерте нет ничего нового по сравнению с аналогичным алертом. Если сходство равно 0%, текущий и аналогичный алерт полностью различаются. Алерты, имеющие сходство 0%, не включаются в список.

    Расчетное значение округляется до ближайшего целого числа. Если сходство равно значению от 0% до 1%, приложение не округляет это значение до 0%. В этом случае значение отображается меньше 1%.

    При нажатии на идентификатор алерта открываются детали алерта.

    Настройка списка похожих закрытых алертов

    Вы можете настроить таблицу, используя следующие параметры:

    • Отфильтруйте алерты, выбрав период, за который были обновлены алерты. По умолчанию список содержит алерты, которые обновлялись за последние 30 дней.
    • Нажмите на значок Параметры столбцов (icon_columns) и выберите, какие столбцы отображать и в каком порядке.
    • Нажмите на значок Фильтр (icon_filter), выберите и настройте фильтры, которые хотите применить. Если вы выбрали несколько фильтров, они применяются одновременно с помощью логического оператора И.
    • Нажмите на заголовок столбца и выберите параметры сортировки. Вы можете отсортировать алерты в порядке возрастания или убывания.

  • Подобные инциденты

    В разделе Подобные инциденты вы можете просмотреть список инцидентов, которые имеют те же затронутые артефакты, что и текущий алерт. Затронутые артефакты включают наблюдаемые объекты и затронутые устройства. Подобные инциденты могут помочь вам решить, может ли текущий алерт быть связан с существующим инцидентом.

    С помощью списка вы можете оценить степень сходства текущего алерта и инцидентов. Сходство рассчитывается следующим образом:

    Сходство = M / T * 100

    Здесь "M" – количество артефактов, совпадающих в текущем и аналогичном инциденте, "T" – общее количество артефактов в текущем алерте.

    Если сходство составляет 100%, в текущем алерте нет ничего нового по сравнению с аналогичным инцидентом. Если сходство равно 0%, текущий алерт и схожий инцидент полностью различаются. Инциденты, имеющие сходство 0%, не включаются в список.

    Расчетное значение округляется до ближайшего целого числа. Если сходство равно значению от 0% до 1%, приложение не округляет это значение до 0%. В этом случае значение отображается меньше 1%.

    При нажатии на идентификатор инцидента открывается подробная информация об инциденте.

    Настройка списка похожих инцидентов

    Вы можете настроить таблицу, используя следующие параметры:

    • Отфильтруйте инциденты, выбрав период, за который были обновлены инциденты. По умолчанию список содержит инциденты, которые обновлялись за последние 30 дней.
    • Нажмите на значок Параметры столбцов (icon_columns) и выберите, какие столбцы отображать и в каком порядке.
    • Нажмите на значок Фильтр (icon_filter), выберите и настройте фильтры, которые хотите применить. Если вы выбрали несколько фильтров, они применяются одновременно с помощью логического оператора И.
    • Нажмите на заголовок столбца и выберите параметры сортировки. Вы можете отсортировать инциденты в порядке возрастания или убывания.
  • Комментарии

    В разделе Комментарии вы можете оставлять комментарии, связанные с алертом. Например, вы можете написать комментарий о результатах расследования или при изменении свойств алерта, таких как исполнитель или статус алерта.

    Вы можете изменять или удалять свои комментарии. Комментарии других пользователей невозможно изменить или удалить.

    Чтобы сохранить комментарий, нажмите на клавишу Enter. Чтобы начать новую строку, нажмите на клавиши Shift + Enter. Чтобы изменить или удалить свой комментарий, используйте кнопки в правом верхнем углу.

    Для возможности оставлять комментарии требуется право на Запись в функциональной области Алерты и инциденты.

  • История

    В разделе Журнал событий алертов вы можете отслеживать изменения, внесенные в алерт как в объект:

    • изменение статуса алерта;
    • изменение исполнителя алерта;
    • связь алерта с инцидентом;
    • удаление связи между алертом и инцидентом;
    • загрузка файла в алерт;
    • удаление файла из алерта.

    В разделе История реагирований вы можете просмотреть действия по реагированию, выполненные вручную, а также действия, выполненные в рамках плейбука. Таблица содержит следующие столбцы:

    • Время. Время возникновения события.
    • Запущено. Имя пользователя, запустившего действие по реагированию.
    • События. Описание события.
    • Параметры реагирования. Параметры действия по реагированию, указанные в действии по реагированию.
    • Актив. Количество активов, для которых было запущено действие по реагированию. Вы можете перейти по ссылке с номером актива, чтобы просмотреть подробную информацию об активе.
    • Статус действия. Статус выполнения действия по реагированию. В этом столбце могут отображаться следующие значения:
      • Ожидание подтверждения – действие по реагированию ожидает подтверждения для запуска.
      • В обработке – действие по реагированию выполняется.
      • Успешно – действие по реагированию завершено без ошибок или предупреждений.
      • Предупреждение – действие по реагированию завершено с предупреждениями.
      • Ошибка – действие по реагированию завершено с ошибками.
      • Прервано – действие по реагированию завершено, так как пользователь прервал выполнение.
      • Истекло время подтверждения – действие по реагированию завершено, так как время подтверждения для запуска истекло.
      • Отклонено – действие по реагированию завершено, так как пользователь отклонил запуск.
    • Плейбук. Название плейбука, в котором было запущено действие по реагированию. Вы можете перейти по ссылке, чтобы просмотреть подробную информацию о плейбуке.
    • Действие по реагированию. Имя выполненного действия по реагированию.
    • Тип актива. Тип актива, для которого запускается действие по реагированию. Возможные значения: Устройство или Пользователь.
    • Активы тенанта. Тенант, являющийся владельцем актива, для которого было запущено действие по реагированию.

См. также:

Об алертах

Назначение алертов аналитикам

Изменение статуса алерта

Связь алертов с инцидентами

В начало
[Topic 221315]

Назначение алертов аналитикам

Как объект, алерт может быть назначен аналитику SOC для проверки и возможного расследования. Вы можете изменить исполнителя активного алерта в любое время. Вы не можете изменить исполнителя закрытого алерта.

Алерты могут быть назначены только аналитикам, имеющим право читать и изменять алерты и инциденты.

Чтобы назначить аналитику алерты:

  1. В главном окне приложения перейдите в раздел Мониторинг и отчеты Алерты.
  2. Установите флажки рядом с алертами, которые вы хотите назначить аналитику.

    Вам нужно выбрать только алерты, обнаруженные в одном тенанте. Иначе кнопка Назначить будет неактивна.

    Также вы можете назначить алерт аналитику из деталей алерта. Чтобы открыть детали алерта, перейдите по ссылке с нужным идентификатором алерта.

  3. Нажмите на кнопку Назначить.
  4. В открывшемся окне Назначить аналитику начните вводить имя аналитика или электронную почту, а затем выберите аналитика из списка.

    Вы также можете выбрать вариант Не назначен для всех алертов, кроме алертов со статусом Закрыт.

  5. Нажмите на кнопку Назначить.

Алерты назначены аналитику.

Также аналитику можно назначить алерт с помощью плейбуков.

См. также:

Об алертах

Просмотр таблицы алертов

Изменение статуса алерта

В начало
[Topic 221564]

Изменение статуса алерта

Развернуть все | Свернуть все

Как объект, алерт имеет статус, который показывает текущий статус алерта в его жизненном цикле.

Вы можете изменять статусы алертов для своих алертов или алертов других аналитиков, только если у вас есть право доступа для чтения и изменения алертов и инцидентов.

Если статус алерта изменен вручную, плейбуки не будут запускаться автоматически. Вы можете запустить плейбук для такого алерта вручную.

Алерт может иметь один из следующих статусов:

  • Новое.

    Когда Open Single Management Platform регистрирует новый алерт, он имеет статус Новый. Вы можете изменить статус инцидента на В обработке или Закрыт. Когда вы меняете статус Новый на Закрыт и у алерта нет исполнителя, оно автоматически назначается вам.

  • В обработке.

    Этот статус означает, что аналитик начал работу над инцидентом или возобновил работу, изменив статус Отложен. Когда вы устанавливаете статус В обработке, инцидент назначается вам автоматически. Изменить статус В обработке можно на любой другой.

  • Закрыто.

    Истинно положительные алерты должны быть связаны с инцидентами и расследоваться в рамках инцидентов. Когда вы закрываете инцидент, связанные алерты также переходят в статус Закрыт. Вы закрываете несвязанный алерт только как ложное срабатывание или как алерт с низким приоритетом. Когда вы закрываете алерт, вам нужно выбрать решение.

    Статус Закрыт можно изменить только на статус Новый. Если вы хотите вернуть закрытый алерт в работу, измените его статус следующим образом: Закрыт Новый В обработке.

    Когда вы закрываете алерт, связанное с инцидентом, автоматически удаляется связь с инцидентом. Если алерт, который вы собираетесь закрыть, никому не назначен, он автоматически назначается аналитику, который закрывает алерт.

  • В инциденте.

    Этот статус означает, что аналитик приостановил работу над инцидентом. Обычно вы меняете статус Отложен на В обработке, когда работа возобновляется, но также можно изменить статус Отложен на другие статусы.

Чтобы изменить статус одного или нескольких алертов:

  1. В главном окне приложения перейдите в раздел Мониторинг и отчеты Алерты.
  2. Выполните одно из следующих действий:
    • Установите флажки напротив алертов, статус которых вы хотите изменить.
    • Перейдите по ссылке с идентификатором алерта, статус которого вы хотите изменить.

      Откроется окно Детали алерта.

  3. Нажмите на кнопку Изменить статус.
  4. В панели Изменить статус выберите статус, который нужно установить.

    Если вы выбрали статус Закрыт, вам нужно выбрать решение.

    Если вы измените статус алерта на Закрыт и этот алерт содержит незавершенные плейбуки или действия по реагированию, все связанные плейбуки и действия по реагированию будут прекращены.

  5. Нажмите на кнопку Сохранить.

Статусы выбранных алертов будут изменены.

Если алерт добавлен на граф расследования, вы также можете изменить статус алерта на графе.

Также статус алерта можно изменить с помощью плейбуков.

См. также:

Об алертах

Просмотр таблицы алертов

Назначение алертов аналитикам

В начало
[Topic 221565]

Создание алертов вручную

Вы можете создать алерт вручную из набора событий. Вы можете использовать эту функцию для проверки гипотетического инцидента, который не был обнаружен автоматически.

Если алерт создан вручную, плейбуки не запускаются автоматически. Вы можете запустить плейбук для такого алерта вручную.

Чтобы создать алерт вручную:

  1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Поиск угроз.
  2. Выберите события, для которых вы хотите создать алерт. События должны принадлежать одному тенанту.
  3. Нажмите на кнопку Создать алерт.

    Откроется окно с созданным алертом. Значение поля Критичность соответствует максимальной критичности среди выбранных событий.

Алерты, созданные вручную, имеют пустое значение Правила в таблице Мониторинг и отчеты → Алерты.

В начало
[Topic 262431]

Связь алертов с инцидентами

Вы можете связать один или несколько алертов с инцидентом, по следующим причинам:

  • Несколько алертов можно интерпретировать как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае алерты в инциденте можно исследовать как отдельную проблему. Вы можете связать с инцидентом до 200 алертов.
  • Один алерт может быть связан с инцидентом, если он определен как истинно положительный.

Вы можете связать алерт с инцидентом, если он имеет любой статус отличный от Закрыт. Алерт теряет свой текущий статус и приобретает статус В инциденте при связывании с инцидентом. Если вы связываете алерты, которые в настоящее время связаны с другими инцидентами, удаляется связь алертов с текущими инцидентами, так как алерт может быть связан только с одним инцидентом.

Алерты могут быть связаны только с инцидентом, принадлежащим тому же тенанту.

Алерты могут быть связаны с инцидентом вручную или автоматически.

Связывание алертов вручную

Чтобы связать алерты с существующим или новым инцидентом:

  1. В главном окне приложения перейдите в раздел Мониторинг и отчеты Алерты.
  2. Установите флажки рядом с событиями, которые требуется связать с инцидентом.
  3. Если вы хотите связать алерты с существующим инцидентом:
    1. Нажмите на кнопку Связать с инцидентом.
    2. Выберите инцидент, с которым нужно связать алерты.

    Вы также можете нажать на алерт, чтобы отобразить сведения алерта, и нажать на кнопку Связать с инцидентом в панели инструментов.

  4. Если вы хотите связать алерты с новым инцидентом:
    1. Нажмите на кнопку Создать инцидент.
    2. Заполните свойства нового инцидента: имя, исполнитель, приоритет и описание.

    Вы также можете нажать на алерт, чтобы отобразить сведения алерта, и нажать на кнопку Создать инцидент в панели инструментов.

  5. Нажмите на кнопку Сохранить.

Выбранные алерты связаны с существующим или новым инцидентом.

Автоматическая привязка алертов

Если вы хотите, чтобы алерты автоматически связывались с инцидентом, вам нужно настроить правила сегментации.

См. также:

Об алертах

Просмотр таблицы алертов

Удаление связи алертов с инцидентами

Об инцидентах

В начало
[Topic 221566]

Удаление связи алертов с инцидентами

Вам может потребоваться удалить связь между алертом и инцидентом, например, если анализ и расследование алертов показали, что алерт не связан с другими алертами в инциденте. При удалении связи алерта с инцидентом Open Single Management Platform выполняет следующие действия:

  • Обновляет все данные, связанные с инцидентом, чтобы отразить, что алерт больше не относится к инциденту. Например, вы можете просмотреть изменения в деталях инцидента.
  • Сбрасывает статус несвязанных алертов на Новый.

Чтобы удалить связь алерта с инцидентом:

  1. Откройте детали алерта.
  2. Нажмите на кнопку Удалить связь с инцидентом в панели инструментов.

    Откроется окно Удалить связь с алертами.

  3. Если вы хотите сменить исполнителя, выберите Назначить алерты и укажите нового исполнителя.
  4. Если вы хотите добавить комментарий, укажите его в разделе Комментарий. Указанный вами комментарий отображается в столбце Сведения в разделе История.

Для выбранных алертов удалена связь с инцидентом.

См. также:

Об алертах

Изменение статуса алерта

Связь алертов с инцидентами

Об инцидентах

В начало
[Topic 221568]

Связывание событий с алертами

Если во время расследования вы обнаружили событие, связанное с исследуемым алертом, вы можете связать это событие с алертом вручную.

Вы можете связать событие с алертом, если он имеет любой статус отличный от Закрыт.

Чтобы привязать событие к алерту:

  1. В главном окне приложения перейдите в раздел Мониторинг и отчетыАлерты.
  2. В списке алертов перейдите по ссылке с идентификатором алерта, с которым вы хотите связать событие.

    Откроется окно Детали алерта.

  3. Перейдите в раздел Подробнее и нажмите на кнопку Найти в разделе Поиск угроз.

    Откроется раздел Поиск угроз. По умолчанию таблица событий содержит события, связанные с выбранным алертом.

    Таблица событий содержит только события, связанные с тенантами, к которым у вас есть доступ.

  4. В верхней части окна откройте первый раскрывающийся список и выберите Хранилище.
  5. Откройте третий раскрывающийся список и укажите период.

    Вы можете выбрать предопределенные периоды относительно текущей даты и времени и указать необходимый период, используя поля Начало периода и Окончание периода или выбрав даты в календаре.

  6. Нажмите на кнопку Выполнить запрос.
  7. В обновленном списке событий выберите событие, которое вы хотите связать с алертом и нажмите на Связать с алертом.

Выбранные события привязаны к алерту.

В начало
[Topic 270448]

Удаление связи событий с алертами

Вам может потребоваться удалить связь между событием и алертом, например, если анализ и расследование событий показали, что событие не связано с алертами.

Чтобы удалить связь события с алертом:

  1. В главном окне приложения перейдите в раздел Мониторинг и отчетыАлерты.
  2. В списке алертов перейдите по ссылке с идентификатором алерта, для которого вы хотите удалить связь с событием.

    Откроется окно Детали алерта.

  3. В разделе Подробнее выберите события, для которых вы хотите удалить связь, а затем нажмите на кнопку Удалить связь с алертом.

Для выбранных событий удалена связь с алертом.

В начало
[Topic 270564]

Изменение алертов с использованием плейбуков

Развернуть все | Свернуть все

Open Single Management Platform позволяет изменять инциденты вручную или с использованием плейбуков. При создании плейбука, вы можете настроить алгоритм плейбука для изменения свойств алерта.

Чтобы изменить алерт с помощью плейбука, вам должна быть присвоена одна из следующих XDR-ролей: Главный администратор, Администратор SOC, Аналитик 1-го уровня, Аналитик 2-го уровня или Администратор тенанта.

Вы не можете изменять алерты, которые имеют статус Закрыт.

Вы можете изменить следующие свойства алерта с помощью плейбука:

  • Исполнитель.
  • Статус алерта.
  • Комментарий.
  • Атрибут ExternalReference.
  • Дополнительный атрибут данных.

Примеры выражений, которые вы можете использовать в алгоритме плейбука для изменения свойств алерта:

  • Назначение алерта пользователю
    { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "assignAlert", "params": { "assignee": { "id": "user_ID" } } } } } ] }

    Во время изменения исполнителя в алгоритме плейбука отображаются подсказки. Для удобства подсказки содержат строку поиска, где вы можете выполнить поиск по имени. Если вы хотите указать исполнителя инцидента, вы можете выполнить поиск соответствующей записи по имени пользователя, и этот идентификатор будет указан в алгоритме.

  • Отмена назначения алерта пользователю
    { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "assignAlert", "params": { "assignee": { "id": "nobody" } } } } } ] }
  • Изменение статуса алерта

    Чтобы изменить статус алерта на В обработке:

    { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setAlertStatus", "params": { "status": "inProgress" } } } } ] }

    Чтобы изменить статус алерта на Закрыт:

    { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setAlertStatus", "params": { "status": "closed", "statusResolution": "truePositive" } } } } ] }

    Вы также можете указать следующие значения для параметра statusResolution: falsePositive и lowPriority.

    Когда вы изменяете статус алерта в алгоритме плейбука, могут отображаться следующие подсказки: new, inProgress, closed.

  • Добавление комментария к алерту
    "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "addCommentToAlert", "params": { "text": "${ \"New comment for alert with ID: \" + alert.InternalID }" } } } } ] }
  • Изменение атрибута ExternalReference.
    { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setAlertExternalRef", "params": { "externalRef": "${ \"Appended externalRef for alert with ID: \" + alert.InternalID }", "mode": "append" } } } } ] }

    Чтобы заменить текущее значение атрибута ExternalReference в алерте значением из плейбука, укажите значение replace для параметра mode.

  • Изменение Дополнительного атрибута данных.
    { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "addAlertAdditionalData", "params": { "data": "${ {\"customKey_1 (alert.InternalID)\": (\"customValue_1 (\" + alert.InternalID + \")\" )} }", "mode": "append" } } } } ] }

    Чтобы заменить текущее значение атрибута AdditionalData в алерте значением из плейбука, укажите значение replace для параметра mode.

В начало
[Topic 295288]

Работа с алертами на графе расследования

На графе расследования вы можете выполнять следующие действия с алертами:

  • Добавлять алерт на граф.
  • Скрывать алерт с графа.
  • Просматривать детали алерта, выбрав соответствующий элемент из контекстного меню узла алерта.
  • Изменять статус алерта.
  • Просматривать события, связанные с алертом.
  • Просматривать активы, связанные с алертом.
  • Просматривать наблюдаемые объекты, связанные с алертом.

Добавление алертов на граф расследования

Вы можете добавить алерт на граф расследования одним из следующих способов:

  • Из общей таблицы алертов, которая открывается при нажатии на кнопку Добавить алерт на графе расследования. Вам нужно установить флажки рядом с алертами, которые вы хотите отобразить на графе расследования, и нажать на кнопку Показать на графе.
  • Из таблицы похожих алертов.

Чтобы добавить алерты на граф расследования из таблицы похожих алертов:

  1. Выполните одно из следующих действий:
    • Если на графе расследования у вас есть актив, наблюдаемый объект или правило сегментации, нажмите на его узел, а затем в контекстном меню выберите пункт Найти похожие алерты.
    • Если на графе расследования у вас есть событие, нажмите на его узел, а затем в контекстном меню выберите пункт Просмотреть информацию. В открывшемся окне нажмите на кнопку Показать на графе.
    • Если на графе расследования у вас есть алерт, нажмите на его узел и в контекстном меню выберите пункт События. В таблице событий нажмите на событие, детали которого вы хотите открыть. Если детали события содержат наблюдаемый объект, актив или правило сегментации, нажмите на ссылку в соответствующем поле, а затем в контекстном меню выберите пункт Найти похожие алерты.
    • На графе расследования нажмите на кнопку Поиск угроз, а затем в общей таблице событий нажмите на событие, детали которого вы хотите открыть. Если детали события содержат наблюдаемый объект, актив или правило сегментации, нажмите на ссылку в соответствующем поле, а затем в контекстном меню выберите пункт Найти похожие алерты.

    Отобразится таблица похожих алертов.

  2. Установите флажки рядом с алертами, которые вы хотите отобразить на графе расследования, и нажмите на кнопку Показать на графе.

Выбранные алерты будут добавлены на граф расследования.

Скрытие алертов на графе расследования

Вы можете скрыть алерты на графе расследования одним из следующих способов:

Чтобы скрыть алерты на графе с помощью таблицы алертов:

  1. Выполните одно из следующих действий:
    • В панели инструментов в верхней части графа расследования нажмите на кнопку Добавить алерт.
    • Если на графе отображаются узлы наблюдаемых объектов, активов или событий, нажмите на узел, для которого вы хотите добавить алерт, а затем в контекстном меню выберите пункт Найти похожие алерты.

    Отобразится таблица алертов.

  2. Установите флажки рядом с алертами, которые вы хотите скрыть на графе расследования, и нажмите на кнопку Показать на графе.

Выбранные алерты и их ссылки будут скрыты на графе расследования. Связанные узлы останутся на графе расследования.

Изменение статуса алерта

Чтобы изменить статус алерта:

  1. Нажмите на узел алерта и в контекстном меню выберите пункт Изменить статус.
  2. В открывшейся панели Смена статуса, выберите статус и нажмите на кнопку Сохранить.

    Если вы выбрали статус Закрыт, вам нужно выбрать решение.

Статусы выбранных алертов будут изменены.

Просмотр событий, связанных с алертом

Чтобы просмотреть события, связанные с алертом, выполните одно из следующих действий:

  • Нажмите на цифру рядом с узлом алерта, события которого вы хотите отобразить. Цифра показывает количество событий, связанных с алертом.
  • Нажмите на узел алерта, события которого вы хотите отобразить, и в контекстном меню выберите пункт События.

Если вы хотите добавить события из таблицы на граф расследования, установите флажки рядом с событиями и нажмите на кнопку Показать на графе.

Если вы хотите скрыть события на графе расследования, установите флажки рядом с событиями и нажмите на кнопку Скрыть на графе.

Просмотр активов, связанных с алертом

Чтобы просмотреть активы, связанные с алертом, нажмите на узел алерта.

В контекстном меню цифры рядом с элементами Устройства и Пользователи показывают количество устройств и пользователей, связанных с алертом.

Если вы хотите добавить устройства или пользователей на граф расследования, выберите соответствующий пункт меню.

Просмотр наблюдаемых объектов, связанных с алертом

Чтобы просмотреть наблюдаемые объекты, связанные с алертом, нажмите на узел алерта и в контекстном меню выберите пункт События.

В открывшемся меню цифры рядом с элементами показывают количество наблюдаемых объектов, связанных с алертом.

Если вы хотите добавить наблюдаемый объект (например, Хеш, Домен, IP-адрес) на граф расследования, выберите соответствующий пункт меню.

В начало
[Topic 292792]

Правила агрегации

Вы можете использовать правила агрегации для объединения корреляционных событий в алертах. Рекомендуется использовать правила сегментации вместе с правилами агрегации для определения более точных правил создания инцидентов.

Стандартное поведение Open Single Management Platform заключается в объединении событий, имеющих один и тот же идентификатор правила, со следующими ограничениями:

  • по времени (в течение 30 секунд);
  • по количеству событий (100 событий);
  • по количеству активов (100 активов);
  • по количеству наблюдаемых объектов (200 наблюдаемых объектов);
  • по общему объему событий, 4 МБ.

Вы можете использовать REST API для настройки правил агрегации.

Правила агрегации. Пример

В таблице ниже описано, как проводить тестирование на проникновение для проверки системы защиты с предопределенными IP и учетными записями пользователей.

Правило 1. Тестирование на проникновение для проверки системы защиты

Атрибут

Value

Описание.

Приоритет.

0

Наивысший приоритет.

Триггер

any(.Observables[]? | select(.Type == "ip") | .Value; . == "10.10.10.10" or . == "10.20.20.20")

Правило срабатывает, если алерт включает наблюдаемый IP с любым из следующих значений:

  • 10.10.10.10
  • 10.20.20.20

Идентификатор правила агрегации

"Pentest"

Правило указывает идентификатор, с помощью которого события объединяются в алерт.

Название алерта

"[Pentest] " + ([.Rules[]?.Name] | join(","))

Правило добавляет тег "[Pentest]" и имя правила к названию алерта. Название правила берется из первого агрегированного алерта, последующие алерты не влияют на итоговое название алерта, даже если они были созданы по другому правилу.

Интервал агрегации

30 seconds

 

Правило 2. Тестирование на проникновение для проверки системы защиты с помощью учетной записи пользователя

Атрибут

Value

Описание.

Приоритет.

1

 

Триггер

any(.Observables[]? | select(.Type | ascii_downcase == "username") | .Value; . == "Pentester-1" or . == "Pentester-2")

Правило срабатывает, если алерт включает наблюдаемое имя учетной записи пользователя с любым из следующих значений:

  • Pentester-1
  • Pentester-2

Идентификатор правила агрегации

"Pentest"

Правило указывает идентификатор, с помощью которого события объединяются в алерт.

Название алерта

"[Pentest] " + ([.Rules[]?.Name] | join(","))

Правило добавляет тег "[Pentest]" и имя правила к названию алерта. Название правила берется из первого агрегированного события, последующие агрегированные события не влияют на итоговое название алерта.

Интервал агрегации

30 seconds

 

Правило 3. Правило агрегации

Атрибут

Value

Описание.

Приоритет.

2

 

Триггер

.Rules | length > 0

Правило срабатывает, если список правил не пуст.

Идентификатор правила агрегации

([.Rules[].ID // empty] | sort | join(";"))

Правило объединяет идентификаторы правил.

Название алерта

([.Rules[]?.Name // empty] | sort | join(",")) + " " + (.SourceCreatedAt)

Правило объединяет названия правил и добавляет дату создания алерта.

Интервал агрегации

30 seconds

 

Правила агрегации и сегментации. Пример

В таблица ниже описано, как объединить алерты, имеющие одинаковый идентификатор правила, в двух инцидентах на основе префикса имени пользователя.

Правило агрегации

Атрибут

Value

Описание.

Триггер

any(.Rules[]?; .ID == "123")

Поиск алертов с идентификатором правила "123".

Идентификатор правила агрегации

if any(.OriginalEvents[]?.BaseEvents[]?.DestinationUserName // empty; startswith("adm_")) then "rule123_DestinationUserName_adm" else "rule123_DestinationUserName_not_adm" end

Поиск имен пользователей с префиксом "adm_".

Название алерта

if any(.OriginalEvents[]?.BaseEvents[]?.DestinationUserName // empty; startswith("adm_")) then "Rule123 admin" else "Rule123 not admin" end

Устанавливает название алерта в зависимости от префикса имени пользователя.

Правило сегментации

Атрибут

Value

Триггер

.AggregationID | startswith("rule123_DestinationUserName")

Группы

[.AggregationID]

Название инцидента

.Name

В начало
[Topic 295755]