Правила фильтрации

Правила фильтрации — это критерии, которые Feed Utility использует для фильтрации исходных файлов потока данных об угрозах.

Правила фильтрации для каждого потока данных об угрозах задаются в элементе Filters. Каждое правило фильтрации задается в элементе Field: имя поля указывается в атрибуте name, а критерии фильтрации указываются в атрибуте value. С полем может быть связано только одно правило фильтрации; для одного поля невозможно задать два параметра Field.

Потоки данных об угрозах типа «электронная почта» дополнительно фильтруются по теме письма и по отправителю. См. раздел «Правила фильтрации потоков данных об угрозах типа „электронная почта“» ниже.

Ниже приведен пример правил фильтрации для потока данных об угрозах. Эти правила определяют, что выходной поток данных об угрозах должен включать только записи со значением поля popularity, равным 4 или 5, и значением поля mask, содержащим .ru или .com.

<Feed>

...

<Filters>

<Field name="popularity" value="4;5"/>

<Field name="mask" value=".ru;.com"/>

</Filters>

...

<Feed>

Feed Utility игнорирует символы пробела и табуляции в начале и в конце значения атрибута value.

В выходной файл включаются только те записи, которые соответствуют всем указанным критериям. Если для поля указан критерий фильтрации и при этом поле отсутствует в записи, Feed Utility не включает такую запись в выходной файл.

Определение критериев фильтрации для числовых значений

Числовые значения могут быть только целыми. Десятичные дроби не поддерживаются.

Критерии фильтрации для числовых полей можно задать следующими способами:

Определение критериев фильтрации для строк

Критерии фильтрации для строк можно задать следующими способами:

Определение критериев фильтрации для дат

Значения дат в потоках данных об угрозах форматируются по шаблону "DD.MM.YYYY" (например, "26.04.2014"), по шаблону "YYYY-MM-DD" (например, "2014-04-26"), либо по шаблону "MM/DD/YYYY" (например, "04/26/2014").

Критерии фильтрации для дат можно задать следующими способами:

Исключение записей с пропущенными полями

В исходных файлах потоков данных об угрозах некоторые записи могут иметь дополнительные поля или не иметь некоторых полей. В случае записей с дополнительными полями Feed Utility включает только те поля, которые указаны в элементе RequiredFields правил потока данных об угрозах для указанного потока данных об угрозах. В случае записей, в которых отсутствуют некоторые поля, Feed Utility включает такие записи в вывод, если они содержат хотя бы одно из полей, указанных в элементе RequiredFields. Если некоторые поля, указанные в элементе RequiredFields, отсутствуют в записи исходного потока данных об угрозах, запись в обработанном потоке данных об угрозах также не будет их содержать.

Если требуется исключить из вывода записи с недостающими полями, необходимо создать правила фильтрации для всех обязательных полей.

В следующем примере Feed Utility будет включать записи, в которых есть поле popularity, поле mask либо поля popularity и mask одновременно.

<RequiredFields>popularity;mask</RequiredFields>

Если требуется, чтобы Feed Utility включала в вывод только те записи, у которых есть как поле popularity, так и поле mask, необходимо создать правило фильтрации для обоих полей. Можно указать критерии для значений полей или использовать звездочку (*), означающую любое значение.

В следующем примере в итоговый поток данных об угрозах включаются только записи, содержащие оба поля (mask и popularity).

<Filters>

<Field name="popularity" value="*"/>

<Field name="mask" value="*"/>

</Filters>

<RequiredFields>popularity;mask</RequiredFields>

Таким же образом можно указать точные критерии. В следующем примере Feed Utility должна включать только записи, в которых в поле popularity указано значение 5, а в поле mask указано любое значение.

<Filters>

<Field name="popularity" value="5"/>

<Field name="mask" value="*"/>

</Filters>

<RequiredFields>popularity;mask</RequiredFields>

Правила фильтрации потоков данных об угрозах типа «электронная почта»

В конфигурационном файле kl_feed_util укажите одно или несколько правил фильтрации в элементе MailboxConnection/Filters. Этот элемент не является обязательным.

Если добавлено хотя бы одно правило фильтрации, укажите следующие атрибуты в элементе MailboxConnection/Filters/Filter:

Ниже приведен пример правил фильтрации для потока данных об угроза типа «электронная почта»:

<Filters>

<Filter field="from" condition="not_match">techsupport@ya.ru</Filter>

<Filter field="subject" condition="contains">Best IoCs ever</Filter>

</Filters>

В начало