Фильтры

Фильтры позволяют отбирать события на основании указанных условий. В сервисе коллектора фильтры используются для отображения событий, которые вы хотите передавать в KUMA. События, удовлетворяющие условия фильтра, будут переданы в KUMA для дальнейшей обработки.

Вы можете использовать фильтры в следующих сервисах и функциях KUMA:

Вы можете использовать отдельные фильтры или встроенные фильтры, которые хранятся в сервисе или ресурсе, в котором они были созданы. Для ресурсов в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов. Доступные параметры фильтра описаны в таблице ниже.

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр. Встроенные фильтры создаются в других ресурсах или сервисах и не имеют имен.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Теги
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вы можете создавать условия фильтрации и группы фильтров, а также добавлять в фильтр существующие фильтры.

Для формирования критериев фильтрации вы можете использовать режим конструктора или режим исходного кода. В режиме конструктора вы можете создавать или изменять критерии фильтрации с помощью раскрывающихся списков с вариантами условий фильтра и операторов. В режиме исходного кода вы можете создавать и изменять поисковые запросы с помощью текстовых команд. По умолчанию используется режим конструктора.

Вы можете переключаться между режимами при формировании критериев фильтрации. Для переключения в режим исходного кода выберите вкладку Код. При переключении между режимами сформированные фильтры условий сохраняются. Если после привязки созданного фильтра к ресурсу на вкладке Код не отображается код фильтра, выберите вкладку Конструктор, после чего снова выберите вкладку Код для отображения кода фильтра.

Формирование критериев фильтрации в режиме конструктора

Для формирования критериев фильтрации в режиме конструктора вам нужно выбрать один из следующих операторов в раскрывающемся списке:

И – фильтр отбирает события, которые соответствуют всем указанным условиям.
ИЛИ – фильтр отбирает события, которые соответствуют одному из указанных условий.
НЕ – фильтр отбирает события, которые не соответствуют всем указанным условиям.

Критерии фильтрации можно добавить одним из следующих способов:

Если вы хотите добавить условие, нажмите на кнопку + Добавить условие.
Если вы хотите добавить группу условий, нажмите на кнопку + Добавить группу. При добавлении групп условий вы также можете выбирать операторы И, ИЛИ и НЕ. В группу условий в свою очередь можно добавить условия и группы условий.

Вы можете добавить несколько критериев фильтрации, изменить порядок критериев фильтрации и удалить критерии фильтрации. Для изменения порядка критериев фильтрации используйте значки изменения порядка DragIcon . Для удаления критерия фильтрации нажмите рядом с ним на значок удаления cross-black .

Доступные параметры условия описаны в таблице ниже.

Параметр	Описание
<Тип условия>	Тип условия. По умолчанию выбрано значение Если. Вы можете нажать значение по умолчанию и выбрать в отобразившемся раскрывающемся списке значение Если не. Обязательный параметр.
<Левый операнд> и <Правый операнд>	Значения, которые будет обрабатывать оператор. Доступные типы значений для правого операнда зависят от выбранного оператора. Операнды фильтров Поля событий – в этом разделе вы можете указать поле событие, которое требуется использовать как операнд фильтра. Активные листы – в этом разделе вы можете указать активный лист или поле активного листа, которое требуется использовать как операнд фильтра. При выборе активного листа вам нужно указать одно или несколько полей событий, которые используются для создания записи активного листа и выступают ключом записи активного листа. Для завершения указания полей событий нажмите комбинацию клавиш `Ctrl`/`Command`+`F1`. Если вы не указали оператор inActiveList, вам нужно указать имя поля активного листа, которое требуется использовать как операнд фильтра. Контекстные таблицы – в этом разделе вы можете указать значение контекстной таблицы, которое требуется использовать как операнд фильтра. При выборе контекстной таблицы вам нужно указать поле события, которое название контекстной таблицы (обязательно) – контекстная таблица, которую требуется использовать. ключевые поля (обязательно) – поля событий или локальные переменные, которые используются для создания записи контекстной таблицы и выступают ключом записи контекстной таблицы. поле – имя поля контекстной таблицы, из которого требуется извлечь значение операнда. индекс – индекс списочного поля таблицы, из которого требуется извлечь значение операнда. Словарь – значение из ресурса словарь, которое требуется присвоить операнду. Дополнительные параметры: словарь (обязательно) – словарь, который требуется использовать. ключевые поля (обязательно) – поля событий, которые используются для формирования ключа значения словаря. Константа – пользовательское значение, которое требуется присвоить операнду. Дополнительные параметры: значение (обязательно) – константа, которую требуется присвоить операнду. Таблица – пользовательские значения, которые требуется присвоить операнду. Дополнительные параметры: словарь (обязательно) – тип словаря. Вам нужно выбрать тип словаря Таблица. ключевые поля (обязательно) – поля событий, которые используются для формирования ключа значения словаря. Список – пользовательские значения, которые требуется присвоить операнду. Дополнительные параметры: значение (обязательно) – константы, которые требуется присвоить операнду. Когда вы вводите значение в поле и нажимаете `ENTER`, значение добавляется в список, и вы можете ввести новое значение. TI – параметры чтения данных CyberTrace об угрозах (TI) из событий. Дополнительные параметры: поток (обязательно) – категория угрозы CyberTrace. ключевые поля (обязательно) – поле события с индикаторами угроз CyberTrace. поле (обязательно) – поле фида CyberTrace с индикаторами угроз. Обязательные параметры.
<Оператор>	Оператор условия. При выборе оператора условия в раскрывающемся списке вы можете установить флажок без учета регистра, чтобы оператор игнорировал регистр значений. Флажок игнорируется, если выбраны операторы inSubnet, inActiveList, inCategory, InActiveDirectoryGroup, hasBit и inDictionary. По умолчанию этот флажок снят. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает `False`. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде. Вы можете изменить и удалить указанный оператор. Для изменения оператора нажмите на него и укажите новый оператор. Для удаления оператора нажмите на него, после чего нажмите на клавишу `Backspace`.

Параметр

Описание

<Тип условия>

Тип условия. По умолчанию выбрано значение Если. Вы можете нажать значение по умолчанию и выбрать в отобразившемся раскрывающемся списке значение Если не.

Обязательный параметр.

<Левый операнд> и <Правый операнд>

Значения, которые будет обрабатывать оператор. Доступные типы значений для правого операнда зависят от выбранного оператора.

Операнды фильтров

Поля событий – в этом разделе вы можете указать поле событие, которое требуется использовать как операнд фильтра.
Активные листы – в этом разделе вы можете указать активный лист или поле активного листа, которое требуется использовать как операнд фильтра. При выборе активного листа вам нужно указать одно или несколько полей событий, которые используются для создания записи активного листа и выступают ключом записи активного листа. Для завершения указания полей событий нажмите комбинацию клавиш Ctrl/Command+F1.
Если вы не указали оператор inActiveList, вам нужно указать имя поля активного листа, которое требуется использовать как операнд фильтра.
Контекстные таблицы – в этом разделе вы можете указать значение контекстной таблицы, которое требуется использовать как операнд фильтра. При выборе контекстной таблицы вам нужно указать поле события, которое
- название контекстной таблицы (обязательно) – контекстная таблица, которую требуется использовать.
- ключевые поля (обязательно) – поля событий или локальные переменные, которые используются для создания записи контекстной таблицы и выступают ключом записи контекстной таблицы.
- поле – имя поля контекстной таблицы, из которого требуется извлечь значение операнда.
- индекс – индекс списочного поля таблицы, из которого требуется извлечь значение операнда.
Словарь – значение из ресурса словарь, которое требуется присвоить операнду. Дополнительные параметры:
- словарь (обязательно) – словарь, который требуется использовать.
- ключевые поля (обязательно) – поля событий, которые используются для формирования ключа значения словаря.
Константа – пользовательское значение, которое требуется присвоить операнду. Дополнительные параметры:
- значение (обязательно) – константа, которую требуется присвоить операнду.
Таблица – пользовательские значения, которые требуется присвоить операнду. Дополнительные параметры:
- словарь (обязательно) – тип словаря. Вам нужно выбрать тип словаря Таблица.
- ключевые поля (обязательно) – поля событий, которые используются для формирования ключа значения словаря.
Список – пользовательские значения, которые требуется присвоить операнду. Дополнительные параметры:
- значение (обязательно) – константы, которые требуется присвоить операнду. Когда вы вводите значение в поле и нажимаете ENTER, значение добавляется в список, и вы можете ввести новое значение.
TI – параметры чтения данных CyberTrace об угрозах (TI) из событий. Дополнительные параметры:
- поток (обязательно) – категория угрозы CyberTrace.
- ключевые поля (обязательно) – поле события с индикаторами угроз CyberTrace.
- поле (обязательно) – поле фида CyberTrace с индикаторами угроз.

Обязательные параметры.

<Оператор>

Оператор условия. При выборе оператора условия в раскрывающемся списке вы можете установить флажок без учета регистра, чтобы оператор игнорировал регистр значений. Флажок игнорируется, если выбраны операторы inSubnet, inActiveList, inCategory, InActiveDirectoryGroup, hasBit и inDictionary. По умолчанию этот флажок снят.

Операторы фильтров

= – левый операнд равен правому операнду.
< – левый операнд меньше правого операнда.
<= – левый операнд меньше или равен правому операнду.
> – левый операнд больше правого операнда.
>= – левый операнд больше или равен правому операнду.
inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
contains – левый операнд содержит значения правого операнда.
startsWith – левый операнд начинается с одного из значений правого операнда.
endsWith – левый операнд заканчивается одним из значений правого операнда.
match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.
hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.
inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
inContextTable – присутствует ли в указанной контекстной таблице запись.
intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.

Вы можете изменить и удалить указанный оператор. Для изменения оператора нажмите на него и укажите новый оператор. Для удаления оператора нажмите на него, после чего нажмите на клавишу Backspace.

Доступные типы операндов зависят от того, является ли операнд левым (L) или правым (R).

Доступные типы операндов для левого (L) и правого (R) операндов

Оператор	Тип "поле события"	Тип "активный лист"	Тип "словарь"	Тип "контекстная таблица"	Тип "таблица"	Тип "TI"	Тип "константа"	Тип "список"
=	L,R	L,R	L,R	L,R	L,R	L,R	R	R
>	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
>=	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
<	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
<=	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
inSubnet	L,R	L,R	L,R	L,R	L,R	L,R	R	R
contains	L,R	L,R	L,R	L,R	L,R	L,R	R	R
startsWith	L,R	L,R	L,R	L,R	L,R	L,R	R	R
endsWith	L,R	L,R	L,R	L,R	L,R	L,R	R	R
match	L	L	L	L	L	L	R	R
hasVulnerability	L	L	L	L	L
hasBit	L	L	L	L	L		R	R
inActiveList
inDictionary
inCategory	L	L	L	L	L		R	R
inContextTable
inActiveDirectoryGroup	L	L	L	L	L		R	R
TIDetect

При работе с фильтрами вы можете использовать горячие клавиши. Описание горячих клавиш приведено в таблице ниже.

Горячие клавиши и их функциональность

Клавиша	Функциональность
`e`	Вызывает фильтр по полю события
`d`	Вызывает фильтр по полю словаря
`a`	Вызывает фильтр по полю активного листа
`c`	Вызывает фильтр по полю контекстной таблицы
`t`	Вызывает фильтр по полю таблицы
`f`	Вызывает фильтр
`t+i`	Вызывает фильтр c использованием TI
`Ctrl+Enter`	Завершение редактирования условия

Работа с полями типа «Строка», «Число» и «Число с плавающей точкой» расширенной схемы событий в фильтрах не отличается от работы с полями схемы событий KUMA.

При использовании фильтров с полями расширенной схемы событий с типами полей «Массив строк», «Массив целых чисел» и «Массив чисел с плавающей точкой» вы можете использовать следующие операции:

Операция contains вернет значение True, если указанная подстрока присутствует в массиве, иначе вернет False.
Операция match – поиск в строке по регулярному выражению.
Операция intersec.

Формирование критериев фильтрации в режиме исходного кода

Режим исходного кода позволяет быстро изменять условия, выделять и копировать блоки кода. В правой части конструктора отображается навигатор для перемещения по коду фильтра. Перенос строк выполняется автоматически по логическим операторам И, ИЛИ, НЕ или запятым, являющимися разделителем элементов списка значений.

Для ресурсов, использованных в фильтре, автоматически указывается их наименование. Поля, содержащие наименования связанных ресурсов, невозможно изменить. Названия категорий общих ресурсов не отображаются в фильтре, если вам не назначена роль Доступ к общим ресурсам. Для просмотра списка ресурсов для выбранного операнда внутри выражения вам нужно нажать на комбинацию клавиш Ctrl+Space. В результате отобразится список ресурсов.

В поставку KUMA включены перечисленные в таблице ниже фильтры.

Предустановленные фильтры

Название фильтра	Описание
[OOTB][AD] A member was added to a security-enabled global group (4728)	Выбирает события добавления пользователя в группу безопасности (security-enabled global group) Active Directory.
[OOTB][AD] A member was added to a security-enabled universal group (4756)	Выбирает события добавления пользователя в группу безопасности (security-enabled universal group) Active Directory.
[OOTB][AD] A member was removed from a security-enabled global group (4729)	Выбирает события удаления пользователя из группы безопасности (security-enabled global group) Active Directory.
[OOTB][AD] A member was removed from a security-enabled universal group (4757)	Выбирает события удаления пользователя из группы безопасности (security-enabled universal group) Active Directory.
[OOTB][AD] Account Created	Выбирает события создания учётной записи в ОС Windows.
[OOTB][AD] Account Deleted	Выбирает события удаления учётной записи в ОС Windows.
[OOTB][AD] An account failed to log on (4625)	Выбирает события безуспешной попытки входа в ОС Windows.
[OOTB][AD] Successful Kerberos authentication (4624, 4768, 4769, 4770)	Выбирает события успешной попытки входа в ОС Windows и события с идентификаторами 4769, 4770, регистрирующиеся на контроллерах домена.
[OOTB][AD][Technical] 4768. TGT Requested	Выбирает события Microsoft Windows c идентификатором 4768.
[OOTB][Net] Possible port scan	Выбирает события, которые могут говорить о проведении сканирования портов.
[OOTB][SSH] Accepted Password	Выбирает события успешного подключения с использованием пароля по протоколу SSH.
[OOTB][SSH] Failed Password	Выбирает события попыток подключения с использованием пароля по протоколу SSH.

В начало