Фильтры

Фильтры используются для выбора событий на основе определенных пользователем условий.

Это неверно только тогда, когда фильтры используются в сервисе коллектор, где они выбирают все события, которые НЕ удовлетворяют условиям фильтра.

Фильтры можно использовать в следующих сервисах и функциях KUMA:

Можно использовать отдельные фильтры или встроенные фильтры, которые хранятся в сервисе или ресурсе, где они были созданы.

Для этих ресурсов в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов.

Доступные параметры фильтра:

Параметры условий:

Доступные типы операндов зависят от того, является ли операнд левым (L) или правым (R).

Доступные типы операндов для левого (L) и правого (R) операндов

Оператор

Тип "поле события"

Тип "активный лист"

Тип "словарь"

Тип "таблица"

Тип "TI"

Тип "константа"

Тип "список"

=

L,R

L,R

L,R

L,R

L,R

R

R

>

L,R

L,R

L,R

L,R

L

R

 

>=

L,R

L,R

L,R

L,R

L

R

 

<

L,R

L,R

L,R

L,R

L

R

 

<=

L,R

L,R

L,R

L,R

L

R

 

inSubnet

L,R

L,R

L,R

L,R

L,R

R

R

contains

L,R

L,R

L,R

L,R

L,R

R

R

startsWith

L,R

L,R

L,R

L,R

L,R

R

R

endsWith

L,R

L,R

L,R

L,R

L,R

R

R

match

L

L

L

L

L

R

R

hasVulnerability

L

L

L

L

 

 

 

hasBit

L

L

L

L

 

R

R

inActiveList

 

 

 

 

 

 

 

inDictionary

 

 

 

 

 

 

 

inCategory

L

L

L

L

 

R

R

inActiveDirectoryGroup

L

L

L

L

 

R

R

TIDetect

 

 

 

 

 

 

 

В поставку KUMA включены перечисленные в таблице ниже фильтры.

Предустановленные фильтры

Название фильтра

Описание

[OOTB][AD] A member was added to a security-enabled global group (4728)

Выбирает события добавления пользователя в группу безопасности (security-enabled global group) Active Directory.

[OOTB][AD] A member was added to a security-enabled universal group (4756)

Выбирает события добавления пользователя в группу безопасности (security-enabled universal group) Active Directory.

[OOTB][AD] A member was removed from a security-enabled global group (4729)

Выбирает события удаления пользователя из группы безопасности (security-enabled global group) Active Directory.

[OOTB][AD] A member was removed from a security-enabled universal group (4757)

Выбирает события удаления пользователя из группы безопасности (security-enabled universal group) Active Directory.

[OOTB][AD] Account Created

Выбирает события создания учётной записи в ОС Windows.

[OOTB][AD] Account Deleted

Выбирает события удаления учётной записи в ОС Windows.

[OOTB][AD] An account failed to log on (4625)

Выбирает события неуспешной попытки входа в ОС Windows.

[OOTB][AD] Successful Kerberos authentication (4624, 4768, 4769, 4770)

Выбирает события успешной попытки входа в ОС Windows и события с идентификаторами 4769, 4770, регистрирующиеся на контроллерах домена.

[OOTB][AD][Technical] 4768. TGT Requested

Выбирает события Microsoft Windows c идентификатором 4768.

[OOTB][Net] Possible port scan

Выбирает события, которые могут говорить о проведении сканирования портов.

[OOTB][SSH] Accepted Password

Выбирает события успешного подключения с использование пароля по протоколу SSH.

[OOTB][SSH] Failed Password

Выбирает события попыток подключения с использование пароля по протоколу SSH.

В начало