Правила реагирования для Kaspersky Security Center

В этом случае вы сможете использовать созданный фильтр в разных сервисах.

По умолчанию флажок снят.

1. Нажмите на кнопку Добавить условие.
2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

   В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

3. В раскрывающемся списке оператор выберите нужный вам оператор.

   Операторы фильтров

   • = – левый операнд равен правому операнду.
   • < – левый операнд меньше правого операнда.
   • <= – левый операнд меньше или равен правому операнду.
   • > – левый операнд больше правого операнда.
   • >= – левый операнд больше или равен правому операнду.
   • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
   • contains – левый операнд содержит значения правого операнда.
   • startsWith – левый операнд начинается с одного из значений правого операнда.
   • endsWith – левый операнд заканчивается одним из значений правого операнда.
   • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
   • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

     Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

     Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

   • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

     Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

   • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
   • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
   • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
   • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
   • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
   • inContextTable – присутствует ли в указанной контекстной таблице запись.
   • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

   Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

   По умолчанию флажок снят.

5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
6. Вы можете добавить несколько условий или группу условий.

Параметры вложенного фильтра можно просмотреть, нажав на кнопку .