Правила корреляции типа operational

Правила корреляции типа operational используются для работы с активными листами.

Окно правила корреляции содержит следующие вкладки:

• Общие – используется для указания основных параметров правила корреляции. На этой вкладке можно выбрать тип правила корреляции.
• Селекторы – используется для определения условий, которым должны удовлетворять обрабатываемые события для срабатывания правила корреляции. Доступные параметры зависят от выбранного типа правил.
• Действия – используется для установки триггеров, срабатывающих при выполнении условий, заданных в группе настроек Селекторы. У правила корреляции должен быть хотя бы один триггер. Доступные параметры зависят от выбранного типа правил.
• Корреляторы - используется для привязки корреляторов. Доступна только для созданных правил корреляции, открытых на редактирование.

Вкладка Общие

• Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
• Тенант (обязательно) – тенант, которому принадлежит правило корреляции.
• Тип (обязательно) – раскрывающийся список для выбора типа правила корреляции. Выберите operational, если хотите создать правило корреляции типа operational.
• Частота срабатываний – максимальное количество срабатываний правила корреляции в секунду. Значение по умолчанию: 100.

  Если правила корреляции, в которых реализована сложная логика обнаружения закономерностей, не срабатывают, причиной могут быть особенности подсчета срабатываний правила в KUMA. Попробуйте увеличить значение Частота срабатываний, например, до 1000000.

• Описание – описание ресурса. До 4000 символов в кодировке Unicode.

Вкладка Селекторы

В правиле типа operational может быть только один селектор, для которого доступны вкладки Параметры и Локальные переменные.

Вкладка Параметры содержит параметры с блоком параметров Фильтр:

• Фильтр (обязательно) – используется для установки критериев определения событий, из-за которых будет срабатывать селектор. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

  Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

     В этом случае вы сможете использовать созданный фильтр в разных сервисах.

     По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
     1. Нажмите на кнопку Добавить условие.
     2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

        В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

     3. В раскрывающемся списке оператор выберите нужный вам оператор.

        Операторы фильтров

        • = – левый операнд равен правому операнду.
        • < – левый операнд меньше правого операнда.
        • <= – левый операнд меньше или равен правому операнду.
        • > – левый операнд больше правого операнда.
        • >= – левый операнд больше или равен правому операнду.
        • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
        • contains – левый операнд содержит значения правого операнда.
        • startsWith – левый операнд начинается с одного из значений правого операнда.
        • endsWith – левый операнд заканчивается одним из значений правого операнда.
        • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
        • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

          Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

          Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

        • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

          Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

        • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
        • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
        • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
        • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
        • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
        • inContextTable – присутствует ли в указанной контекстной таблице запись.
        • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
     4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

        Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

        По умолчанию флажок снят.

     5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
     6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

     Параметры вложенного фильтра можно просмотреть, нажав на кнопку .

  Фильтрация по данным из поля события Extra

  Условия для фильтров по данным из поля события Extra:

  • Условие – Если.
  • Левый операнд – поле события.
  • В поле события вы можете указать одно из следующих значений:
    • Поле Extra.
    • Значение из поля Extra в следующем формате:

      Extra.<название поля>

      Например, Extra.app.

      Значение этого типа указывается вручную.

    • Значение из массива, записанного в поле Extra, в следующем формате:

      Extra.<название поля>.<элемент массива>

      Например, Extra.array.0.

      Нумерация значений в массиве начинается с 0.

      Значение этого типа указывается вручную.

      Чтобы работать со значением из поля Extra на глубине 3 и ниже, следует использовать кавычки ``. Например, `Extra.lev1.lev2.lev3`.

  • Оператор – =.
  • Правый операнд – константа.
  • Значение – значение, по которому требуется фильтровать события.

На вкладке Локальные переменные с помощью кнопки Добавить переменную можно объявлять переменные, которые будут действовать в пределах этого правила корреляции.

Вкладка Действия

В правиле типа operational может быть только один триггер: На каждом событии. Он активируется каждый раз, когда срабатывает селектор.

Доступные параметры триггера:

• Группа параметров Обновление активных листов – используется для назначения триггера на одну или несколько операций с активными листами. С помощью кнопок Добавить действие с активным листом и Удалить действие с активным листом можно добавлять и удалять операции с активными листами.

  Доступные параметры:

  • Название (обязательно) – этот раскрывающийся список используется для выбора активного листа.
  • Операция (обязательно) – этот раскрывающийся список используется для выбора операции, которую необходимо выполнить:
    • Сложить – прибавить константу, значение поля корреляционного события или значение локальной переменной к значению активного листа.
    • Установить – записать значения указанных полей корреляционного события в активный лист, создав новую или обновив существующую запись активного листа. При обновлении записи активного листа данные объединяются, и только указанные поля перезаписываются.
    • Удалить – удалить запись из активного листа.
  • Ключевые поля (обязательно) – это список полей события, используемые для создания записи активного листа. Этот список также используется в качестве ключа записи активного листа.

    Ключ записи активного листа зависит только от состава полей и не зависит от порядка их отображения в веб-интерфейсе KUMA.

  • Сопоставление (требуется для операции Установить) – используется для сопоставления полей активного листа с полями событий. Можно установить более одного правила сопоставления.
    • Левое поле используется для указания поля активного листа.

      Поле не должно содержать специальные символы или только цифры.

    • Средний раскрывающийся список используется для выбора полей событий.
    • Правое поле можно использовать для назначения константы полю активного листа, если была выбрана операция Установить.
• Группа параметров Обновление контекстных таблиц  – используется для назначения триггера на одну или несколько операций с контекстными таблицами. С помощью кнопок Добавить действие с контекстной таблицей и Удалить действие с контекстной таблицей можно добавлять и удалять операции с контекстными таблицами.

  Доступные параметры:

  • Название (обязательно) – этот раскрывающийся список используется для выбора ресурсов контекстной таблицы.
  • Операция (обязательно) – этот раскрывающийся список используется для выбора операции, которую необходимо выполнить.
    • Сложить – прибавить константу, значение поля корреляционного события или значение локальной переменной к значению указанного поля контекстной таблицы. Операция используется только для полей типа число и число с плавающей точкой.
    • Установить – записать значения указанных полей корреляционного события в контекстную таблицу, создав новую или обновив существующую запись контекстной таблицы. При обновлении записи контекстной таблицы данные объединяются, и только указанные поля перезаписываются.
    • Объединить – дописать значение поля корреляционного события, локальной переменной или константы к существующему значению поля контекстной таблицы.
    • Удалить – удалить запись из контекстной таблицы.
  • Ключевые поля (обязательно) – это список полей события, используемых для создания записи контекстной таблицы. Этот список также используется в качестве ключа записи контекстной таблицы. В качестве значения ключевого поля можно указать поле события или локальную переменную, объявленную на вкладке Селекторы.

    Составной ключ записи контекстной таблицы зависит только от значения полей и не зависит от порядка их отображения в веб-интерфейсе KUMA.

  • Сопоставление (требуется для всех операций, кроме Удалить) – используется для сопоставления полей контекстной таблицы с полями событий или переменными. Можно установить более одного правила сопоставления. Одно поле контекстной таблицы можно указать несколько раз.
    • Левое поле используется для указания поля контекстной таблицы.

      Поле не должно содержать название поля, которое уже используется в сопоставлении, табуляцию, специальные символы или только цифры. Максимальное количество символов – 128. Название не может начинаться с символа нижнего подчеркивания.

    • Средний раскрывающийся список используется для выбора полей событий или локальной переменной.
    • Правое поле можно использовать для назначения константы полю контекстной таблицы. Максимальное количество символов – 1024.

Вкладка Корреляторы

• Добавить – Используется при редактировании созданного корреляционного правила. С помощью кнопки Добавить вы можете выбрать коррелятор из списка в открывшемся окне Корреляторы. После того, как вы нажмете ОК, правило будет привязано к выбранному коррелятору. Вы можете выбрать одновременно несколько корреляторов. Правило будет добавлено последним в очередь для выполнения. Если вы хотите поднять правило в очереди выполнения, перейдите в Ресурсы - Коррелятор - <выбранный коррелятор> - Редактирование коррелятора - Корреляция, установите флажок рядом с нужным правилом и воспользуйтесь кнопками Поднять или Опустить, чтобы установить желаемый порядок выполнения правил.
• Удалить – Используется, чтобы отвязать корреляционное правило от коррелятора.