Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода. Встроенные фильтры создаются в других ресурсах или сервисах и не имеют имен.
Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
Блок параметров Условия – здесь вы можете сформулировать критерии фильтрации, создав условия фильтрации и группы фильтров, а также добавив существующие ресурсы фильтров.
С помощью кнопки Добавить группу можно добавить группу фильтров. Можно переключать групповые операторы между И, ИЛИ, НЕ. В группы фильтров можно добавить группы, условия и существующие ресурсы фильтров.
С помощью кнопки Добавить фильтр можно добавить существующий ресурс фильтра, который следует выбрать в раскрывающемся списке Выберите фильтр.
С помощью кнопки Добавить условие можно добавить строку с полями для определения условия (см. ниже).
Условия, группы и фильтры можно удалить с помощью кнопки .
Параметры условий:
Если (обязательно) – в этом раскрывающемся списке можно указать, требуется ли использовать инвертированную функцию оператора
Левый операнд и Правый операнд (обязательно) – используются для указания значений, которые будет обрабатывать оператор. Доступные типы зависят от выбранного оператора.
Поле события – используется для присвоения операнду значения поля события. Дополнительные параметры:
поле события (обязательно) – этот раскрывающийся список используется для выбора поля, из которого следует извлечь значение операнда.
Активный лист – используется для присвоения операнду значения записи активного листа. Дополнительные параметры:
название активного листа (обязательно) – этот раскрывающийся список используется для выбора активного листа.
ключевые поля (обязательно) – это список полей событий, используемых для создания записи активного листа и служащих ключом записи активного листа.
поле (требуется, если не выбран оператор inActiveList) – используется для ввода имени поля активного листа, из которого следует извлечь значение операнда.
Словарь – используется для присвоения значения операнду значения из ресурса словарь. Дополнительные параметры:
словарь (обязательно) – этот раскрывающийся список используется для выбора словаря.
ключевые поля (обязательно) – это список полей событий, используемых для формирования ключа значения словаря.
Константа – используется для присвоения операнду пользовательского значения. Дополнительные параметры:
значение (обязательно) – здесь вы вводите константу, которую хотите присвоить операнду.
Таблица – используется для присвоения операнду нескольких пользовательских значений. Дополнительные параметры:
словарь (обязательно) – этот раскрывающийся список используется для выбора словаря типа Таблица.
ключевые поля (обязательно) – это список полей событий, используемых для формирования ключа значения словаря.
Список – используется для присвоения операнду нескольких пользовательских значений. Дополнительные параметры:
значение (обязательно) – здесь вы вводите список констант, которые хотите назначить операнду. Когда вы вводите значение в поле и нажимаете ENTER, значение добавляется в список, и вы можете ввести новое значение.
TI – используется для чтения данных CyberTrace об угрозах (TI) из событий. Дополнительные параметры:
канал (обязательно) – в этом поле указывается категория угрозы CyberTrace.
ключевые поля (обязательно) – этот раскрывающийся список используется для выбора поля события с индикаторами угроз CyberTrace.
поле (обязательно) – в этом поле указывается поле фида CyberTrace с индикаторами угроз.
Оператор (обязательно) – используется для выбора оператора условия.
В этом же раскрывающемся списке можно установить флажок без учета регистра, если требуется, чтобы оператор игнорировал регистр значений. Флажок игнорируется, если выбраны операторы inSubnet, inActiveList, inCategory, InActiveDirectoryGroup, hasBit, inDictionary. По умолчанию флажок снят.
<= – левый операнд меньше или равен правому операнду.
> – левый операнд больше правого операнда.
>= – левый операнд больше или равен правому операнду.
inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
contains – левый операнд содержит значения правого операнда.
startsWith – левый операнд начинается с одного из значений правого операнда.
endsWith – левый операнд заканчивается одним из значений правого операнда.
match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
Доступные типы операндов зависят от того, является ли операнд левым (L) или правым (R).
Доступные типы операндов для левого (L) и правого (R) операндов
.