О критериях фильтрации для отправки событий в SIEM

В Kaspersky CyberTrace можно задавать правила фильтрации событий обнаружений киберугроз. Каждое правило фильтрации задается в разделе Matching > Event source filters. Имя атрибута индикатора задается из базы данных индикаторов, а условия фильтрации и значения фильтрации задаются в раскрывающемся списке Field name, в раскрывающемся списке Condition и в поле ввода Value соответственно. Обратите внимание, что если у обнаруженного индикатора нет атрибута, указанного в правиле фильтрации, считается, что этот индикатор удовлетворяет условиям фильтрации.

Kaspersky CyberTrace будет отправлять события обнаружения только в том случае, если для флага отправки событий обнаружений киберугроз в SIEM-систему (атрибут события ioc_supplier_send_match_event из базы данных индикаторов) установлено значение true, а все поля записи потока данных об угрозах, соответствующие индикатору, удовлетворяют критериям фильтрации.

Если отключить сохранение событий обнаружений киберугроз при применении критериев фильтрации для отправки событий в SIEM, события обнаружений киберугроз, содержащие индикаторы, не соответствующие указанным критериям, будут отбрасываться.

В таблице ниже перечислены условия фильтрации, которые можно применить к потокам данных о событиях обнаружений киберугроз:

Возможные условия фильтрации

Условие фильтрации

Описание

Равно определенному значению

Атрибут индикатора равен указанному значению.

Чтобы применить это условие, выберите value is equal to OR field is not present в раскрывающемся списке Condition, затем укажите единственное значение в поле ввода Value.

Равно хотя бы одному из нескольких значений

Атрибут индикатора должен содержать одно или несколько указанных значений.

Чтобы применить это условие, выберите value is one of (separated by a new line) OR field is not present в раскрывающемся списке Condition, затем укажите несколько значений в поле ввода Value.

Не указывайте пустые значения. Каждое следующее значение должно начинаться с новой строки.

Принадлежит к диапазону числовых значений

Атрибут индикатора должен содержать значение в указанном диапазоне.

Чтобы применить это условие, выберите value is equal to OR field is not present в раскрывающемся списке Condition, затем укажите диапазон значений в полях ввода Value. Обратите внимание, что граничные значения включаются в диапазон.

Значения должны быть целыми числами.

Принадлежит к диапазону числовых значений, которые больше или равны указанному значению

Атрибут индикатора должен содержать значение, которое больше или равно указанному значению.

Чтобы применить это условие, выберите value is more than (inclusive) OR field is not present в раскрывающемся списке Condition, затем укажите единственное значение в поле ввода Value.

Значение должно быть целым числом.

Принадлежит к диапазону числовых значений, которые меньше или равны указанному значению

Атрибут индикатора должен содержать значение, которое меньше или равно указанному значению.

Чтобы применить это условие, выберите value is less than (inclusive) OR field is not present в раскрывающемся списке Condition, затем укажите единственное значение в поле ввода Value.

Значение должно быть целым числом.

Принадлежит к диапазону дат

Атрибут индикатора должен содержать дату в указанном диапазоне.

Чтобы применить это условие, выберите date is in range (inclusive) OR field is not present в раскрывающемся списке Condition, затем укажите диапазон дат в полях ввода Value.

Для обеих границ диапазона можно использовать значение %NOW% (в этом шаблоне регистр не учитывается), содержащее текущее системное время. К этому значению можно прибавить или вычесть число (например, указать %NOW%-7 для левой границы и %NOW% для правой границы).

Кроме того, при указании границ в качестве относительных значений к шаблону %NOW% можно выбрать произвольное количество дней или одно из следующих предустановленных значений:

  • 1 day ago
  • 7 days ago
  • 30 days ago

Принадлежит к диапазону дат, которые больше или равны указанному значению

Атрибут индикатора должен содержать дату, равную указанному значению или превышающую его.

Чтобы применить это условие, выберите date is more than (inclusive) OR field is not present в раскрывающемся списке Condition, затем укажите дату в поле ввода Value.

Для левой границы диапазона можно использовать значение %NOW% (в этом шаблоне регистр не учитывается), содержащее текущее системное время. К этому значению можно прибавить или вычесть число.

Кроме того, для границы можно выбрать одно из следующих предустановленных значений (значение отсчитывается относительно %NOW%):

  • 1 day ago
  • 7 days ago
  • 30 days ago

Принадлежит к диапазону дат, которые меньше или равны указанному значению

Атрибут индикатора должен содержать дату, которая меньше или равна указанному значению.

Чтобы применить это условие, выберите date is less than (inclusive) OR field is not present в раскрывающемся списке Condition, затем укажите дату в поле ввода Value.

Для правой границы диапазона можно использовать значение %NOW% (в этом шаблоне регистр не учитывается), содержащее текущее системное время. К этому значению можно прибавить или вычесть число.

Кроме того, для границы можно выбрать одно из следующих предустановленных значений (значение отсчитывается относительно %NOW%):

  • 1 day ago
  • 7 days ago
  • 30 days ago

Равно непустому значению

Атрибут индикатора должен содержать любое непустое значение.

Чтобы применить это условие, выберите value is non-empty в раскрывающемся списке Condition.

В начало