Правила корреляции типа standard

Правила корреляции типа standard используются для определения сложных закономерностей в обрабатываемых событиях.

Поиск закономерностей происходит с помощью контейнеров

Контейнеры правила корреляции – это временные хранилища данных, которые используются ресурсами правила корреляции при определении необходимости создания корреляционных событий. Эти контейнеры выполняет следующие функции:

Группируют события, которые были отобраны фильтрами в группе настроек Селекторы ресурса правила корреляции. События группируются по полям, которые указываются пользователем в поле Группирующие поля.
Определяют момент, когда должно сработать правило корреляции, меняя соответствующим образом события, сгруппированные в контейнере.
Выполняют действия, указанные в группе настроек Действия.
Создают корреляционные события.

Доступные состояния контейнера:

Пусто – в контейнере нет событий. Это может произойти только в момент своего создания при срабатывании правила корреляции.
Частичное совпадение – в контейнере есть некоторые из ожидаемых событий (события восстановления не учитываются).
Полное совпадение – в корзине есть все ожидаемые события (события восстановления не учитываются). При достижении этого состояния:
- Срабатывает правило корреляции
- События удаляются из контейнера
- Счетчик срабатываний контейнера обновляется
- Контейнера переводится в состояние Пусто
Ложное совпадение – такое состояние контейнера возможно в следующих случаях:
- когда было достигнуто состояние Полное совпадение, но объединяющий фильтр возвратил значение false.
- когда при установленном флажке Обнуление были получены события восстановления.
Когда это условие достигается, правило корреляции не срабатывает. События удаляются из контейнера, счетчик срабатываний обновляется, контейнер переводится в состояния Пусто.

Окно правила корреляции содержит следующие закладки параметров:

Общие – используется для указания основных параметров правила корреляции. На этой закладке можно выбрать тип правила корреляции.
Селекторы – используется для определения условий, которым должны удовлетворять обрабатываемые события для срабатывания правила корреляции. Доступные параметры зависят от выбранного типа правил.
Действия – используется для установки триггеров, срабатывающих при выполнении условий, заданных в группе настроек Селекторы. У ресурса правила корреляции должен быть хотя бы один триггер. Доступные параметры зависят от выбранного типа правил.

Закладка Общие

Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
Тенант (обязательно) – тенант, которому принадлежит правило корреляции.
Тип (обязательно) – раскрывающийся список для выбора типа правила корреляции. Выберите standard, если хотите создать правило корреляции типа standard.
Группирующие поля (обязательно) – поля событий, которые должны быть сгруппированы в контейнере. Хеш-код значений выбранных полей используется в качестве ключа контейнера. Если срабатывает селектор (см. ниже), отобранные поля копируются в корреляционное событие.
Если в разных селекторах корреляционного правила используются поля, которые имеют разные значения в событиях, эти поля не нужно указывать в разделе Группирующие поля.
Уникальные поля – поля событий, которые должны быть отправлены в контейнер. Если задан этот параметр, в контейнер будут отправляться только уникальные поля. Хеш-код значений отобранных полей используется в качестве ключа контейнера.
Вы можете использовать локальные переменные в разделах Группирующие поля и Уникальные поля. Для обращения к переменной необходимо перед ее именем указать символ "$".
Для ознакомления с примерами использования локальных переменных в этих разделах используйте правило, поставляемое с KUMA: R403_Обращение на вредоносные ресурсы с хоста с отключенной защитой или устаревшей антивирусной базой.
Частота срабатываний – максимальное количество срабатываний правила корреляции в секунду. Значение по умолчанию: 100.
Если правила корреляции, в которых реализована сложная логика обнаружения закономерностей, не срабатывают, причиной могут быть особенности подсчета срабатываний правила в KUMA. Попробуйте увеличить значение Частота срабатываний, например, до 1000000.
Время жизни контейнера, сек. (обязательно) – время жизни контейнера в секундах. Значение по умолчанию: 86400 секунд (24 часа). Этот таймер запускается при создании контейнера (когда он получает первое событие). Время жизни не обновляется, и когда оно истекает, срабатывает триггер По истечении времени жизни контейнера из группы настроек Действия, а контейнер удаляется. Триггеры На каждом срабатывании правила и На последующих срабатываниях правила могут срабатывать более одного раза в течение времени жизни контейнера.
Политика хранения базовых событий – этот раскрывающийся список используется, чтобы определить, какие базовые события должны быть сохранены в корреляционном событии:
- first (значение по умолчанию) – поместить в корреляционное событие первое базовое событие из коллекции событий, инициировавшей создание корреляционного события.
- last – поместить в корреляционное событие последнее базовое событие из коллекции событий, инициировавшей создание корреляционного события.
- all – поместить в корреляционное событие все базовые события из коллекции событий, инициировавшей создание корреляционного события.
Уровень важности – базовый коэффициент, используемый для определения уровня важности правила корреляции. Значение по умолчанию: Низкий.
Сортировать по – в этом раскрывающемся списке можно выбрать поле события, по которому селекторы правила корреляции будут отслеживать изменение ситуации. Это может пригодиться, если, например, вы захотите настроить правило корреляции на срабатывание при последовательном возникновении нескольких типов событий.
Описание – описание ресурса. До 4000 символов в кодировке Unicode.

Закладка Селекторы

В правиле типа standard может быть несколько селекторов. Селекторы можно добавлять с помощью кнопки Добавить селектор и удалять с помощью кнопки Удалить селектор. Селекторы можно перемещать с помощью кнопки DragIcon .

Последовательность условий, заданных в селекторе корреляционного правила, имеет значение и влияет на производительность системы. Мы рекомендуем на первое место в селекторе ставить наиболее уникальный критерий отбора.

Рассмотрим два примера селекторов, осуществляющих выборку событий успешной аутентификации в Microsoft Windows.

Селектор 1:

Условие 1. DeviceProduct = Microsoft Windows

Условие 2. DeviceEventClassID = 4624

Селектор 2:

Условие 1. DeviceEventClassID = 4624

Условие 2. DeviceProduct = Microsoft Windows

Последовательность условий, заданная в Селекторе 2, более предпочтительна, поскольку оказывает меньшую нагрузку на систему.

В селекторе корреляционного правила могут быть использованы регулярные выражения, соответствующие стандарту RE2.

Применение регулярных выражений в корреляционных правилах создаёт большую нагрузку в сравнении с другими операциями. Поэтому при разработке корреляционных правил мы рекомендуем ограничить использование регулярных выражений до необходимого минимума и применять другие доступные операции.

Для использования регулярного выражения необходимо применить оператор сравнения match. Регулярное выражение должно быть размещено в константе. Применение capture-групп в регулярных выражениях не обязательно. Для срабатывания корреляционного правила текст поля, сопоставляемый с regexp, должен полностью совпасть с регулярным выражением.

Для ознакомления с синтаксисом и примерами корреляционных правил, в селекторах которых есть регулярные выражения, используйте следующие правила, поставляемые с KUMA:

R105_04_Подозрительные PowerShell команды. Подозрение на обфускацию.
R333_Подозрительное создание файлов в директории автозапуска.

Для каждого селектора доступны две закладки Параметры и Локальные переменные.

Закладка Параметры содержит следующие параметры:

Название (обязательно) – уникальное имя группы событий, удовлетворяющих условиям селектора. Должно содержать от 1 до 128 символов в кодировке Unicode.
Порог срабатывания селектора (количество событий) (обязательно) – количество событий, которое необходимо получить для срабатывания селектора.
Фильтр (обязательно) – используется для установки критериев определения событий, из-за которых будет срабатывать селектор. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.
Создание фильтра в ресурсах
1. В раскрывающемся списке Фильтр выберите Создать.
2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.
  В этом случае вы сможете использовать созданный фильтр в разных сервисах.
  
  По умолчанию флажок снят.
3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
  1. Нажмите на кнопку Добавить условие.
  2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.
    В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.
  3. В раскрывающемся списке оператор выберите нужный вам оператор.
    Операторы фильтров
    = – левый операнд равен правому операнду.
    < – левый операнд меньше правого операнда.
    <= – левый операнд меньше или равен правому операнду.
    > – левый операнд больше правого операнда.
    >= – левый операнд больше или равен правому операнду.
    inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
    contains – левый операнд содержит значения правого операнда.
    startsWith – левый операнд начинается с одного из значений правого операнда.
    endsWith – левый операнд заканчивается одним из значений правого операнда.
    match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
    hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
    Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.
    
    Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.
    
    hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
    Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.
    
    inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
    inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
    inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
    inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
    inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
    TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
  4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.
    Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.
    
    По умолчанию флажок снят.
  5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
  6. Вы можете добавить несколько условий или группу условий.
5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.
  Параметры вложенного фильтра можно просмотреть, нажав на кнопку .
Фильтрация по данным из поля события Extra
Условия для фильтров по данным из поля события Extra:
- Условие – Если.
- Левый операнд – поле события.
- В поле события вы можете указать одно из следующих значений:
  - Поле Extra.
  - Значение из поля Extra в следующем формате:
    Extra.<название поля>
    
    Например, Extra.app.
    
    Значение этого типа указывается вручную.
  - Значение из массива, записанного в поле Extra, в следующем формате:
    Extra.<название поля>.<элемент массива>
    
    Например, Extra.array.0.
    
    Нумерация значений в массиве начинается с 0.
    
    Значение этого типа указывается вручную.
    
    Чтобы работать со значением из поля Extra на глубине 3 и ниже, следует использовать кавычки ``. Например, `Extra.lev1.lev2.lev3`.
- Оператор – =.
- Правый операнд – константа.
- Значение – значение, по которому требуется фильтровать события.
Обнуление – этот флажок должен быть установлен, если правило корреляции НЕ должно срабатывать при получении селектором определенного количества событий. По умолчанию этот флажок снят.

На закладке Локальные переменные с помощью кнопки Добавить переменную можно объявлять переменные, которые будут действовать в пределах этого правила корреляции.

Закладка Действия

В правиле типа standard может быть несколько триггеров.

На первом срабатывании правила – этот триггер срабатывает, когда контейнер регистрирует первое в течение срока своей жизни срабатывание селектора.
На последующих срабатываниях правила – этот триггер срабатывает, когда контейнер регистрирует в течение срока своей жизни второе и последующие срабатывания селектора.
На каждом срабатывании правила – этот триггер срабатывает каждый раз, когда контейнер регистрирует срабатывание селектора.
По истечении времени жизни контейнера – этот триггер срабатывает по истечении времени жизни контейнера и используется в связке с селектором с установленным флажком Обнуление. То есть триггер срабатывает, если в течение заданного времени ситуация, обнаруженная правилом корреляции, не разрешается.

Каждый триггер представлен в виде группы настроек со следующими доступными параметрами:

Отправить событие на дальнейшую обработку – если этот флажок установлен, корреляционное событие будет отправлено на пост-обработку: на внешнее обогащение вне корреляционного правила, для реагирования и в точки назначения.
Отправить событие снова в коррелятор – если этот флажок установлен, созданное корреляционное событие будет обрабатываться цепочкой правил текущего коррелятора. Это позволяет достичь иерархической корреляции.
Если установлены оба флажка, правило корреляции будет отправлено сначала на пост-обработку, а затем в селекторы текущего правила корреляции.
Не создавать алерт – если этот флажок установлен, алерт не будет создаваться при срабатывании этого правила корреляции.
Группа параметров Обновление активных листов – используется для назначения триггера на одну или несколько операций с активными листами. С помощью кнопок Добавить действие с активным листом и Удалить действие с активным листом можно добавлять и удалять операции с активными листами.
Доступные параметры:
- Название (обязательно) – этот раскрывающийся список используется для выбора ресурсов активного листа.
- Операция (обязательно) – этот раскрывающийся список используется для выбора операции, которую необходимо выполнить:
  - Получить – получить запись активного листа и записать значения указанных полей в корреляционное событие.
  - Установить – записать значения указанных полей корреляционного события в активный лист, создав новую или обновив существующую запись активного листа. При обновлении записи активного листа данные объединяются, и только указанные поля перезаписываются.
  - Удалить – удалить запись из активного листа.
- Ключевые поля (обязательно) – это список полей события, используемых для создания записи активного листа. Этот список также используется в качестве ключа записи активного листа.
  Ключ записи активного листа зависит только от состава полей и не зависит от порядка их отображения в веб-интерфейсе KUMA.
- Сопоставление (требуется для операций Получить и Установить) – используется для сопоставления полей активного листа с полями событий. Можно установить более одного правила сопоставления.
  - Левое поле используется для указания поля активного листа.
    Поле не должно содержать специальные символы или только цифры.
  - Средний раскрывающийся список используется для выбора полей событий.
  - Правое поле можно использовать для назначения константы полю активного листа, если была выбрана операция Установить.
Группа параметров Обогащение – вы можете менять значения полей корреляционных событий, используя правила обогащения. Эти правила обогащения хранятся в правиле корреляции, в котором они были созданы. Можно создать несколько правил обогащения. Правила обогащения можно добавлять или удалять с помощью кнопок Добавить обогащение и Удалить обогащение.
- Тип источника – в этом раскрывающемся списке можно выбрать тип обогащения. В зависимости от выбранного типа отобразятся дополнительные параметры, которые также потребуется заполнить.
  Доступные типы обогащения:
  - константа
    Этот тип обогащения используется, если в поле события необходимо добавить константу. Параметры этого типа обогащения:
    - В поле Константа укажите значение, которое следует добавить в поле события. Значение должно состоять не более чем из 255 символов в кодировке Unicode. Если оставить это поле пустым, существующее значение поля события будет удалено.
    - В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
  - словарь
    Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Словарь.
    
    При выборе этого типа в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.
  - таблица
    Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Таблица.
    
    При выборе этого типа обогащения в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.
    
    Также в таблице Сопоставление необходимо настроить, из каких полей словаря и в какие поля события будут передаваться данные:
    - В столбце Поле словаря необходимо выбрать поле словаря. Доступные поля зависят от выбранного ресурса словаря.
    - В столбце Поле KUMA необходимо выбрать поле события, в которое следует записать значение. Для некоторых выбранных полей (*custom* и *flex*) в столбце Подпись можно задать название для помещаемых в них данных.
    Новые строки в таблицу можно добавлять с помощью кнопки Добавить элемент. Столбцы можно удалить с помощью кнопки .
  - событие
    Этот тип обогащения используется, если в поле события необходимо записать значение другого поля события. Параметры этого типа обогащения:
    - В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
    - В раскрывающемся списке Исходное поле выберите поле события, значение которого будет записано в целевое поле.
    - Если нажать на кнопку , откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA.
      Доступные преобразования
      
      Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.
      
      Доступные преобразования:
      
      lower – используется для перевода всех символов значения в нижний регистр
      upper – используется для перевода всех символов значения в верхний регистр
      regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
      substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
      replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
      Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
      Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
      trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
      append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
      prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
      replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
      Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
      Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
      Конвертация закодированных строк в текст:
      decodeHexString – используется для конвертации HEX-строки в текст.
      decodeBase64String – используется для конвертации Base64-строки в текст.
      decodeBase64URLString – используется для конвертации Base64url-строки в текст.
      При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.
      
      При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, такая строка будет обрезана и не будет раскодирована.
      
      Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, такая строка будет обрезана до размера этого поля события.
  - шаблон
    Этот тип обогащения используется, если в поле события необходимо записать значение, полученное при обработке шаблонов Go. Параметры этого типа обогащения:
    - В поле Шаблон поместите шаблон Go.
      Имена полей событий передаются в формате {{.EventField}}, где EventField – это название поля события, значение которого должно быть передано в скрипт.
      
      Пример: Атака на {{.DestinationAddress}} со стороны {{.SourceAddress}}.
    - В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
- Отладка – с помощью этого раскрывающегося списка можно включить логирование операций сервиса.
- Описание – описание ресурса. До 4000 символов в кодировке Unicode.
Группа параметров Изменение категорий – используется для изменения категорий активов, указанных в событии. Правил категоризации может быть несколько: их можно добавить или удалить с помощью кнопок Добавить категоризацию или Удалить категоризацию. Активам можно добавлять или удалять только реактивные категории.
- Действие – этот раскрывающийся список используется для выбора операции над категорией:
  - Добавить – присвоить категорию активу.
  - Удалить – отвязать актив от категории.
- Поле события – поле события, в котором указан актив, над которым будет совершена операция.
- Идентификатор категории – с помощью кнопки можно выбрать категорию, над которой будет совершена операция. При нажатии на нее открывается окно Выбор категорий, где отображается дерево категорий. Можно выбрать только категорию со способом наполнения Реактивно.

В начало