Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода. Встроенные фильтры создаются в других ресурсах или сервисах и не имеют имен.
Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
Блок параметров Условия – здесь вы можете сформулировать критерии фильтрации, создав условия фильтрации и группы фильтров, а также добавив существующие ресурсы фильтров.
С помощью кнопки Добавить группу можно добавить группу фильтров. Можно переключать групповые операторы между И, ИЛИ, НЕ. В группы фильтров можно добавить группы, условия и существующие ресурсы фильтров.
С помощью кнопки Добавить фильтр можно добавить существующий ресурс фильтра, который следует выбрать в раскрывающемся списке Выберите фильтр.
С помощью кнопки Добавить условие можно добавить строку с полями для определения условия (см. ниже).
Условия, группы и фильтры можно удалить с помощью кнопки .
Параметры условий:
Если (обязательно) – в этом раскрывающемся списке можно указать, требуется ли использовать инвертированную функцию оператора
Левый операнд и Правый операнд (обязательно) – используются для указания значений, которые будет обрабатывать оператор. Доступные типы зависят от выбранного оператора.
Поле события – используется для присвоения операнду значения поля события. Дополнительные параметры:
поле события (обязательно) – этот раскрывающийся список используется для выбора поля, из которого следует извлечь значение операнда.
Активный лист – используется для присвоения операнду значения записи активного листа. Дополнительные параметры:
название активного листа (обязательно) – этот раскрывающийся список используется для выбора активного листа.
ключевые поля (обязательно) – это список полей событий, используемых для создания записи активного листа и служащих ключом записи активного листа.
поле (требуется, если не выбран оператор inActiveList) – используется для ввода имени поля активного листа, из которого следует извлечь значение операнда.
Словарь – используется для присвоения значения операнду значения из ресурса словарь. Дополнительные параметры:
словарь (обязательно) – этот раскрывающийся список используется для выбора словаря.
ключевые поля (обязательно) – это список полей событий, используемых для формирования ключа значения словаря.
Константа – используется для присвоения операнду пользовательского значения. Дополнительные параметры:
значение (обязательно) – здесь вы вводите константу, которую хотите присвоить операнду.
Список – используется для присвоения операнду нескольких пользовательских значений. Дополнительные параметры:
значение (обязательно) – здесь вы вводите список констант, которые хотите назначить операнду. Когда вы вводите значение в поле и нажимаете ENTER, значение добавляется в список, и вы можете ввести новое значение.
TI – используется для чтения данных CyberTrace об угрозах (TI) из событий. Дополнительные параметры:
канал (обязательно) – в этом поле указывается категория угрозы CyberTrace.
ключевые поля (обязательно) – этот раскрывающийся список используется для выбора поля события с индикаторами угроз CyberTrace.
поле (обязательно) – в этом поле указывается поле фида CyberTrace с индикаторами угроз.
Оператор (обязательно) – используется для выбора оператора условия.
В этом же раскрывающемся списке можно установить флажок без учета регистра, если требуется, чтобы оператор игнорировал регистр значений. Флажок игнорируется, если выбраны операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
<= – левый операнд меньше или равен правому операнду.
> – левый операнд больше правого операнда.
>= – левый операнд больше или равен правому операнду.
inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
contains – левый операнд содержит значения правого операнда.
startsWith – левый операнд начинается с одного из значений правого операнда.
endsWith – левый операнд заканчивается одним из значений правого операнда.
match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
Доступные типы операндов зависят от того, является ли операнд левым (L) или правым (R).
Доступные типы операндов для левого (L) и правого (R) операндов
.