Создание правила сегментации

Правила сегментации алертов используются для разделения однотипных корреляционных событий по разным алертам. Условия для корреляционных событий, по которым будут создаваться отдельные алерты, задаются в правилах сегментации.

Чтобы создать правило сегментации:

1. В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Правила сегментации, выберите нужный тенант и нажмите на кнопку Создать.

   Откроется окно Создание правила сегментации.

2. В поле Имя укажите имя правила сегментации. Имя должно быть уникальным и содержать от 1 до 128 символов в кодировке Unicode.
3. При необходимости в раскрывающемся списке Тенант измените тенант, которому принадлежит правило сегментации.
4. В раскрывающемся списке Тип укажите тип правила сегментации. Доступные значения:
   • По фильтру – алерт создается, если корреляционные события соответствуют условиям фильтра, заданным в блоке параметров Фильтр.

     С помощью кнопки Добавить условие можно добавить строку с полями для определения условия. С помощью кнопки Добавить группу можно добавить группу фильтров. Можно переключать групповые операторы между И, ИЛИ, НЕ. В группы фильтров можно добавить другие группы условий и отдельные условия. Условия и группы можно менять местами, перетаскивая их с помощью значка , а также удалять с помощью значка . Условия можно задать с помощью операндов и операторов:

     • Левый операнд и Правый операнд – используются для указания значений, которые будет обрабатывать оператор.

       В левом операнде указываются названия полей событий, которые обрабатывает фильтр.

       В правом операнде можно выбрать тип значения константа или список, а также указать само значение.

     • Доступные операторы
       • = – левый операнд равен правому операнду.
       • < – левый операнд меньше правого операнда.
       • <= – левый операнд меньше или равен правому операнду.
       • > – левый операнд больше правого операнда.
       • >= – левый операнд больше или равен правому операнду.
       • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
       • contains – левый операнд содержит значения правого операнда.
       • startsWith – левый операнд начинается с одного из значений правого операнда.
       • endsWith – левый операнд заканчивается одним из значений правого операнда.
       • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
   • По группирующим полям – алерт создается, если корреляционное событие содержит поля событий, указанные в раскрывающемся списке Группирующие поля правила корреляции.

     Группирующие поля можно выбрать в раскрывающемся списке Группирующие поля правила корреляции с помощью флажков. Добавленные поля можно удалить, нажав на значок крестика около названия группирующего поля.

     Пример использования группирующих полей

     Правило, детектирующее сканирование сети, создаст только один алерт, даже если в сети есть несколько устройств, сканирующих сеть. Если создать правило сегментации алертов по группирующему полю событий SourceAddress, а затем привязать это правило сегментации к правилу корреляции, при срабатывании правила будут созданы алерты для каждого адреса, с которого происходит сканирование.

     В этом примере, если правило корреляции называется "Network. Possible port scan", а в ресурсе правила сегментации в качестве шаблона именования алертов указано "from {{.SourceAddress}}", будут созданы алерты такого вида:

     • Network. Possible port scan (from 10.20.20.20)
     • Network. Possible port scan (from 10.10.10.10)
   • По количеству событий – алерт создается, если количество корреляционных событий в предыдущем алерте превысило значение, указанное в поле Количество корреляционных событий.
5. В поле Шаблон именования алертов укажите шаблон, в соответствии с которым алерты, создаваемые по этому правилу сегментации, будут получать название. Значение по умолчанию: {{.Timestamp}}. В поле шаблона можно указывать текст, а также поля события в формате {{.<название поля события>}}. При формировании названия алерта вместо названия поля события будет подставляться его значение. Название алерта, созданного с помощью правил сегментации, имеет следующий формат: <Название правила корреляции, создавшего алерт> <текст из поля шаблона именования алертов> <значение указанного поля события>. Например, если сработавшее правило корреляции называется "Connection. Insecure port usage" и в шаблоне наименования правила сегментации указано {{.Timestamp}}, будут созданы алерты вида:
   • Connection. Insecure port usage (Tue, 29 Jul 2025 07:56:43 UTC)
   • Connection. Insecure port usage (Tue, 29 Jul 2025 07:59:46 UTC)

   Если выполнится несколько правил сегментации с разными шаблонами именования алертов, в названии алерта они будут перечислены через разделительную черту " | ".

6. При необходимости в раскрывающемся списке Теги выберите теги для правила сегментации событий.
7. При необходимости в поле Описание укажите описание правила сегментации. Вы можете указать до 4000 символов в кодировке Unicode.

Правило сегментации будет создано. Далее созданное правило сегментации нужно связать с правилом корреляции.

В начало