Kaspersky Unified Monitoring and Analysis Platform
3.0.3
Русский

Содержание

Параметры правил сегментации

Правила сегментации создаются в разделе РесурсыПравила сегментации веб-интерфейса KUMA.

Доступные параметры:

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Тип (обязательно) – тип правила сегментации. Доступные значения:
    • По фильтру – алерты создаются, если корреляционные события соответствуют условиям фильтра, заданным в блоке параметров Фильтр.

      С помощью кнопки Добавить условие можно добавить строку с полями для определения условия. С помощью кнопки Добавить группу можно добавить группу фильтров. Можно переключать групповые операторы между И, ИЛИ, НЕ. В группы фильтров можно добавить другие группы условий и отдельные условия. Условия и группы можно менять местами, перетягивая их за значок DragIcon, а также удалять с помощью значка X..

      • Левый операнд и Правый операнд – используются для указания значений, которые будет обрабатывать оператор.

        В левом операнде указываются названия полей событий, которые обрабатывает фильтр.

        В правом операнде можно выбрать тип значения – константа или список, – а также указать само значение.

      • Доступные операторы
        • = – левый операнд равен правому операнду.
        • < – левый операнд меньше правого операнда.
        • <= – левый операнд меньше или равен правому операнду.
        • > – левый операнд больше правого операнда.
        • >= – левый операнд больше или равен правому операнду.
        • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
        • contains – левый операнд содержит значения правого операнда.
        • startsWith – левый операнд начинается с одного из значений правого операнда.
        • endsWith – левый операнд заканчивается одним из значений правого операнда.
        • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
        • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    • По группирующим полям – алерт создается, если корреляционное событие содержит поля событий, указанные в блоке параметров Группирующие поля правила корреляции.

      Поля добавляются с помощью кнопки Добавить поле. Добавленные поля можно удалить, нажав на значок креста или на кнопку Сбросить.

      Пример использования группирующих полей

      Правило, детектирующее сканирование сети, создаст только один алерт, даже если в сети есть несколько устройств, сканирующих сеть. Если создать правило сегментации обнаружений по группирующему полю событий SourceAddress, а затем привязать это правило сегментации к правилу корреляции, при срабатывании правила будут созданы алерты для каждого адреса, с которого происходит сканирование.

      В этом примере, если правило корреляции называется "Network. Possible port scan", а в ресурсе правила сегментации в качестве шаблона именования обнаружений указано "from {{.SourceAddress}}", будут созданы алерты такого вида:

      • Network. Possible port scan (from 10.20.20.20 <Дата создания алерта>)
      • Network. Possible port scan (from 10.10.10.10 <Дата создания алерта>)
    • По количеству событий – алерт создается, если количество корреляционных событий в предыдущем алерте превысило значение, указанное в поле Количество корреляционных событий.
  • Шаблон именование алертов (обязательно) – шаблон, по которому будут получать название алерты, создаваемые по этому правилу сегментации. Значение по умолчанию: {{.Timestamp}}.

    В поле шаблона можно указывать текст, а также поля события в формате {{.<название поля события>}}. При формировании названия алерта вместо названия поля события будет подставляться содержащееся в нем значение.

    Название алерта, созданного с помощью правил сегментации, имеет следующий формат: "<Название правила корреляции, создавшего алерт> (<текст из поля шаблона именования алертов> <дата создания алерта>)".

  • Описание – описание ресурса: до 4000 символов в кодировке Unicode.

В начало
[Topic 243124]