Правила обогащения
Ресурсы правил обогащения используются для обновления полей событий.
Доступные параметры ресурсов правил обогащения:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип источника данных (обязательно) – выпадающий список для выбора типа входящих событий. В зависимости от выбранного типа отображаются дополнительные параметры:
- константа
Этот тип обогащения используется, если в поле события необходимо добавить константу.
При выборе этого типа необходимо указать в поле Константа значение, которое следует добавить в поле события. Значение должно состоять не более чем из 255 символов Юникода. Если оставить это поле пустым, существующее значение поля события будет удалено.
- словарь
Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря.
При выборе этого типа в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.
- событие
Этот тип обогащения используется, если в поле события необходимо записать значение другого поля события.
При выборе этого типа в раскрывающемся списке Исходное поле необходимо выбрать поле события, значение которого будет записано в целевое поле.
В блоке параметров Преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA. Тип преобразования можно выбрать в раскрывающемся списке. С помощью кнопок Добавить преобразование и Удалить можно добавить или удалить преобразование. Порядок преобразований имеет значение.
Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.
Доступные преобразования:
- lower – используется для перевода всех символов значения в нижний регистр
- upper – используется для перевода всех символов значения в верхний регистр
- regexp – используется для применения к значению регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
- substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
- replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
- Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
- Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
- trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения
Microsoft-Windows-Sismonвыполнить преобразование trim со значениемMicromon, то получается значениеsoft-Windows-Sys. - append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
- prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
- replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
- Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
- Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
- шаблон
Этот тип обогащения используется, если в поле события необходимо записать значение, полученное при обработке шаблонов Go.
При выборе этого типа в поле Шаблон требуется поместить шаблон Go.
Имена полей событий передаются в формате
{{.EventField}}, гдеEventField– это название поля события, значение которого должно быть передано в скрипт.Пример:
Атака на {{.DestinationAddress}} со стороны {{.SourceAddress}}. - dns
Этот тип обогащения используется для отправки запросов на DNS-сервер частной сети для преобразования IP-адресов в доменные имена или наоборот.
Доступные параметры:
- URL – в этом поле можно указать URL DNS-сервера, которому вы хотите отправлять запросы. С помощью кнопки Добавить URL можно указать несколько URL.
- Запросов в секунду – максимальное количество запросов к серверу в секунду. Значение по умолчанию:
1000. - Рабочие процессы – максимальное количество запросов в один момент времени. Значение по умолчанию:
1. - Количество задач – максимальное количество одновременно выполняемых запросов. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
- Срок жизни кеша – время жизни значений, хранящихся в кеше. Значение по умолчанию:
60. - Кеш отключен – с помощью этого раскрывающегося списка можно включить или отключить кеширование. По умолчанию кеширование включено.
- cybertrace
Этот тип обогащения используется для добавления в поля события сведений из потоков данных CyberTrace.
Доступные параметры:
- URL (обязательно) – в этом поле можно указать URL сервера CyberTrace, которому вы хотите отправлять запросы.
- Количество подключений – максимальное количество подключений к серверу CyberTrace, которые может одновременно установить KUMA. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
- Запросов в секунду – максимальное количество запросов к серверу в секунду. Значение по умолчанию:
1000. - Время ожидания – время ожидания отклика от сервера CyberTrace в секундах. Значение по умолчанию:
30. - Сопоставление (обязательно) – этот блок параметров содержит таблицу сопоставления полей событий KUMA с типами индикаторов CyberTrace. В столбце Поле KUMA указаны названия полей событий KUMA, а в столбце Индикатор CyberTrace указаны типы индикаторов CyberTrace.
Доступные типы индикаторов CyberTrace:
- ip
- url
- hash
В таблице сопоставления требуется указать как минимум одну строку. С помощью кнопки Добавить строку можно добавить строку, а с помощью кнопки
– удалить.
- константа
- Отладка – с помощью этого раскрывающегося списка можно включить логирование операций сервиса. По умолчанию логирование выключено.
- Описание – описание ресурса: до 256 символов Юникода.
- Фильтр – блок параметров, в котором можно задать условия определения событий, которые будут обрабатываться ресурсом правила агрегации. В раскрывающемся списке можно выбрать существующий ресурс фильтра или выбрать Создать, чтобы создать новый фильтр.
- В раскрывающемся списке Фильтр выберите Создать.
- Если вы хотите сохранить фильтр в качестве отдельного ресурса, включите переключатель Сохранить фильтр.
В этом случае вы сможете использовать созданный фильтр в разных сервисах.
По умолчанию переключатель выключен.
- Если вы включили переключатель Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
- В блоке параметров Условия задайте условия, которым должны соответствовать события:
- Нажмите на кнопку Добавить условие.
- В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.
В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.
- В раскрывающемся списке оператор выберите нужный вам оператор.
- = – левый операнд равен правому операнду.
- < – левый операнд меньше правого операнда.
- <= – левый операнд меньше или равен правому операнду.
- > – левый операнд больше правого операнда.
- >= – левый операнд больше или равен правому операнду.
- inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
- contains – левый операнд содержит значения правого операнда.
- startsWith – левый операнд начинается с одного из значений правого операнда.
- endsWith – левый операнд заканчивается одним из значений правого операнда.
- match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
- inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
- inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
- inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
- TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
- При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.
Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.
По умолчанию флажок снят.
- Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
- Вы можете добавить несколько условий или группу условий.
- Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
- Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.
Параметры вложенного фильтра можно просмотреть, нажав на кнопку
.