Создание правил обогащения событий

Чтобы создать правила обогащения событий:

Откройте раздел веб-интерфейса KUMA Ресурсы → Правила обогащения.
Отобразится список доступных правил обогащения.
Нажмите на кнопку Добавить, чтобы создать новое правило.
Откроется окно правила обогащения лучше.
Укажите параметры правила обогащения:
1. В поле Название введите уникальное имя правила. Название должно содержать от 1 до 128 символов в кодировке Unicode.
2. В раскрывающемся списке Тенант выберите, к какому тенанту относится этот ресурс.
3. В раскрывающемся списке Тип источника данных выберите cybertrace-http.
4. В поле URL укажите URL сервера CyberTrace, к которому вы хотите подключиться. Например, example.domain.com:9999.
5. В поле Секрет выберите или создайте секрет для подключения.
6. В раскрывающемся списке Ключевые поля выберите поля-массивы для правила.
7. При необходимости в поле Время ожидания укажите максимальное количество подключений к серверу CyberTrace, которые может одновременно установить KUMA. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
8. В поле Запросов в секунду введите количество запросов к серверу CyberTrace, которое сможет выполнять KUMA в секунду. Значение по умолчанию: 1000.
9. В поле Время ожидания укажите время в секундах, в течение которого KUMA должна ожидать ответа от сервера CyberTrace. Событие не будет отправлено в коррелятор, пока не истечет время ожидания или не будет получен ответ. Если ответ получен до истечения времени ожидания, он добавляется в поле события TI, и обработка события продолжается.
10. В поле Максимальное кол-во событий в очереди обогащения укажите максимальное количество событий, сохраняемое в очереди для переотправки. По умолчанию установлено значение 1000000.
11. С помощью переключателя Основная версия Cybertrace укажите версию CyberTrace. Доступные значения: < 5 и ≥ 5. При выборе версии ≥ 5.0 запросы будут выполняться в тенанте General в CyberTrace и будут использовать новую версию API, соответствующий версии CyberTrace 5.0 и выше, а также в CyberTrace появится возможность отображения данных статистики и ретроспективного анализа по запросам обогащения из KUMA, которые выполнены через http. При выборе значения <5 запросы будут использовать версию API, соответствующую Kaspersky CyberTrace 4.x. Значение по умолчанию: <5.
12. С помощью переключателя Отладка укажите, следует ли включить логирование операций сервиса. По умолчанию логирование выключено.
13. В раскарывающемся списке Теги выберите теги для правила обогащения событий.
14. При необходимости в поле Описание добавьте до 4000 символов в кодировке Unicode.
15. В блоке Параметры фильтра можно задать условия определения событий, которые будут обрабатываться с применением правила обогащения. В раскрывающемся списке Фильтр можно выбрать существующий фильтр или Создать новый фильтр.
  Создание фильтра в ресурсах
  Чтобы создать фильтр:
  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия укажите условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
    3. В раскрывающемся списке Оператор выберите оператор.
      Операторы фильтров
      
      = – левый операнд равен правому операнду.
      < – левый операнд меньше правого операнда.
      <= – левый операнд меньше или равен правому операнду.
      > – левый операнд больше правого операнда.
      >= – левый операнд больше или равен правому операнду.
      inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      contains – левый операнд содержит значения правого операнда.
      startsWith – левый операнд начинается с одного из значений правого операнда.
      endsWith – левый операнд заканчивается одним из значений правого операнда.
      match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
      Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.
      
      Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.
      
      hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
      Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.
      
      inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      inContextTable – присутствует ли в указанной контекстной таблице запись.
      intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
    4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .
Нажмите Создать.

Создано правило обогащения.

Интеграция поиска по индикаторам CyberTrace настроена. Созданное правило обогащения можно добавить к коллектору. Требуется перезапустить коллекторы KUMA, чтобы применить новые параметры.

Если какие-либо из полей CyberTrace в области деталей события содержат "[{" или "}]", это означает, что информация из потока данных об угрозах из CyberTrace была обработана некорректно и некоторые данные, возможно, не отображаются. Информацию из потока данных об угрозах можно получить, скопировав из события KUMA значение поля TI indicator событий и выполнив поиск по этому значению на портале CyberTrace в разделе Индикаторы. Вся информация о найденном индикаторе будет отображаться на странице Сведения об индикаторе.

В начало