Kaspersky Unified Monitoring and Analysis Platform

Правила корреляции типа operational

Правила корреляции типа operational используются для работы с активными листами.

Окно ресурса правила корреляции содержит следующие закладки:

• Общие – используется для указания основных параметров ресурса правила корреляции. На этой закладке можно выбрать тип правила корреляции.
• Селекторы – используется для определения условий, которым должны удовлетворять обрабатываемые события для срабатывания правила корреляции. Доступные параметры зависят от выбранного типа ресурса.
• Действия – используется для установки триггеров, срабатывающих при выполнении условий, заданных в группе настроек Селекторы. У ресурса правила корреляции должен быть хотя бы один триггер. Доступные параметры зависят от выбранного типа ресурса.

Закладка Общие

• Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
• Тенант (обязательно) – тенант, которому принадлежит правило корреляции.
• Тип (обязательно) – раскрывающийся список для выбора типа правила корреляции. Выберите operational, если хотите создать правило корреляции типа operational.
• Частота срабатываний – максимальное количество срабатываний правила корреляции в секунду. Значение по умолчанию: 100.

  Если правила корреляции, в которых реализована сложная логика обнаружения закономерностей, не срабатывают, причиной могут быть особенности подсчета срабатываний правила в KUMA. Попробуйте увеличить значение Частота срабатываний, например, до 1000000.

• Описание – описание ресурса. До 256 символов Юникода.

Закладка Селекторы

В ресурсе типа operational может быть только один селектор, для которого доступны закладки Параметры и Локальные переменные.

Закладка Параметры содержит параметры с блоком параметров Фильтр:

• Фильтр (обязательно) – используется для установки критериев определения событий, из-за которых будет срабатывать селектор. В раскрывающемся списке можно выбрать существующий ресурс фильтра или выбрать Создать, чтобы создать новый фильтр.

  Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

     В этом случае вы сможете использовать созданный фильтр в разных сервисах.

     По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
     1. Нажмите на кнопку Добавить условие.
     2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

        В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

     3. В раскрывающемся списке оператор выберите нужный вам оператор.

        Операторы фильтров

        • = – левый операнд равен правому операнду.
        • < – левый операнд меньше правого операнда.
        • <= – левый операнд меньше или равен правому операнду.
        • > – левый операнд больше правого операнда.
        • >= – левый операнд больше или равен правому операнду.
        • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
        • contains – левый операнд содержит значения правого операнда.
        • startsWith – левый операнд начинается с одного из значений правого операнда.
        • endsWith – левый операнд заканчивается одним из значений правого операнда.
        • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
        • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
        • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
        • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
        • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
        • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
        • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
        • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.

     4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

        Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

        По умолчанию флажок снят.

     5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
     6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

     Параметры вложенного фильтра можно просмотреть, нажав на кнопку .

  Фильтрация по данным из поля события Extra

  Условия для фильтров по данным из поля события Extra:

  • Условие – Если.
  • Левый операнд – поле события.
  • В поле события вы можете указать одно из следующих значений:
    • Поле Extra.
    • Значение из поля Extra в следующем формате:

      Extra.<название поля>

      Например, Extra.app.

      Значение этого типа указывается вручную.

    • Значение из массива, записанного в поле Extra, в следующем формате:

      Extra.<название поля>.<элемент массива>

      Например, Extra.array.0.

      Нумерация значений в массиве начинается с 0.

      Значение этого типа указывается вручную.

  • Оператор – =.
  • Правый операнд – константа.
  • Значение – значение, по которому требуется фильтровать события.

На закладке Локальные переменные с помощью кнопки Добавить переменную можно объявлять переменные, которые будут действовать в пределах этого правила корреляции.

Закладка Действия

В ресурсе типа operational может быть только один триггер: На каждом событии. Он активируется каждый раз, когда срабатывает селектор.

Доступные параметры триггера:

• Группа параметров Обновление активных листов – используется для назначения триггера на одну или несколько операций с активными листами. С помощью кнопок Добавить действие с активным листом и Удалить действие с активным листом можно добавлять и удалять операции с активными листами.

  Доступные параметры:

  • Название (обязательно) – этот раскрывающийся список используется для выбора ресурсов активного листа.
  • Операция (обязательно) – этот раскрывающийся список используется для выбора операции, которую необходимо выполнить:
    • Получить – получить запись активного листа и записать значения указанных полей в корреляционное событие.
    • Установить – записать значения указанных полей корреляционного события в активный лист, создав новую или обновив существующую запись активного листа. При обновлении записи активного листа данные объединяются, и только указанные поля перезаписываются.
    • Удалить – удалить запись из активного листа.
  • Ключевые поля (обязательно) – это список полей события, используемые для создания записи активного листа. Этот список также используется в качестве ключа записи активного листа.

    Ключ записи активного листа зависит только от состава полей и не зависит от порядка их отображения в веб-интерфейсе KUMA.

  • Сопоставление (требуется для операций Получить и Установить) – используется для сопоставления полей активного листа с полями событий. Можно установить более одного правила сопоставления.
    • Левое поле используется для указания поля активного листа.

      Поле не должно содержать специальные символы или только цифры.

    • Средний раскрывающийся список используется для выбора полей событий.
    • Правое поле можно использовать для назначения константы полю активного листа, если была выбрана операция Установить.