Фильтры позволяют выбрать события на основе заданных вами условий.
В сервисе коллектора фильтры используются для того, чтобы отфильтровать события, которые вы не хотите передавать в KUMA. То есть если событие удовлетворяет условию фильтра, в KUMA событие не будет передано и будет отфильтровано.
Фильтры можно использовать в следующих сервисах и функциях KUMA:
Можно использовать отдельные фильтры или встроенные фильтры, которые хранятся в сервисе или ресурсе, где они были созданы.
Для этих ресурсов в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов.
Доступные параметры фильтра:
Для формирования критериев фильтрации вы можете использовать режим конструктора или режим исходного кода. По умолчанию используется режим конструктора.
В режиме конструктора вы можете создавать или изменять критерии фильтрации с помощью раскрывающихся списков с вариантами условий фильтра и операторов.
В режиме исходного кода вы можете создавать и изменять поисковые запросы с помощью текстовых команд.
Вы можете переключаться между режимами при формировании критериев фильтрации. Для переключения в режим исходного кода нажмите на кнопку Код. При переключении между режимами сформированные фильтры условий сохраняются. Если после привязки созданного фильтра к ресурсу на вкладке Код не отображается код фильтра, перейдите на вкладку Конструктор и вернитесь снова на вкладку Код. Код фильтра отобразится.
Формирование условий в режиме конструктора
Вы можете формировать критерии фильтрации в режиме конструктора используя следующие кнопки:
Для замены в сформированном условии оператора вам необходимо нажать на оператор, который вы хотите заменить, и в раскрывающемся списке выбрать новый оператор.
Для удаления в сформированном условии оператора необходимо нажать на оператор, который вы хотите удалить, и нажать на клавишу Backspace.
Для изменения последовательности условий фильтра вам необходимо нажать на кнопку и перетащить условие на новое место.
Условия, группы и фильтры можно удалить с помощью кнопки .
Параметры условий:
В этом же раскрывающемся списке можно установить флажок без учета регистра, если требуется, чтобы оператор игнорировал регистр значений. Флажок игнорируется, если выбраны операторы inSubnet, inActiveList, inCategory, InActiveDirectoryGroup, hasBit, inDictionary. По умолчанию флажок снят.
Доступные типы операндов зависят от того, является ли операнд левым (L) или правым (R).
Доступные типы операндов для левого (L) и правого (R) операндов
Оператор |
Тип "поле события" |
Тип "активный лист" |
Тип "словарь" |
Тип "контекстная таблица" |
Тип "таблица" |
Тип "TI" |
Тип "константа" |
Тип "список" |
= |
L,R |
L,R |
L,R |
L,R |
L,R |
L,R |
R |
R |
> |
L,R |
L,R |
L,R |
L,R (только при поиске значения таблицы по индексу) |
L,R |
L |
R |
|
>= |
L,R |
L,R |
L,R |
L,R (только при поиске значения таблицы по индексу) |
L,R |
L |
R |
|
< |
L,R |
L,R |
L,R |
L,R (только при поиске значения таблицы по индексу) |
L,R |
L |
R |
|
<= |
L,R |
L,R |
L,R |
L,R (только при поиске значения таблицы по индексу) |
L,R |
L |
R |
|
inSubnet |
L,R |
L,R |
L,R |
L,R |
L,R |
L,R |
R |
R |
contains |
L,R |
L,R |
L,R |
L,R |
L,R |
L,R |
R |
R |
startsWith |
L,R |
L,R |
L,R |
L,R |
L,R |
L,R |
R |
R |
endsWith |
L,R |
L,R |
L,R |
L,R |
L,R |
L,R |
R |
R |
match |
L |
L |
L |
L |
L |
L |
R |
R |
hasVulnerability |
L |
L |
L |
L |
L |
|||
hasBit |
L |
L |
L |
L |
L |
R |
R |
|
inActiveList |
||||||||
inDictionary |
||||||||
inCategory |
L |
L |
L |
L |
L |
R |
R |
|
inContextTable |
||||||||
inActiveDirectoryGroup |
L |
L |
L |
L |
L |
R |
R |
|
TIDetect |
Вы можете использовать при работе с фильтрами горячие клавиши. Описание горячих клавиш приведено в таблице ниже.
Горячие клавиши и их функциональность
Клавиша |
Функциональность |
---|---|
e |
Вызывает фильтр по полю события |
d |
Вызывает фильтр по полю словаря |
a |
Вызывает фильтр по полю активного листа |
c |
Вызывает фильтр по полю контекстной таблицы |
t |
Вызывает фильтр по полю таблицы |
f |
Вызывает фильтр |
t+i |
Вызывает фильтр c использованием TI |
Ctrl+Enter |
Завершение редактирования условия |
Работа с полями типа «строка», «число» и «число с плавающей точкой» расширенной схемы событий в фильтрах не отличается от работы с полями схемы событий KUMA.
При использовании фильтров с полями расширенной схемы событий с типами полей «Массив строк», «Массив целых чисел» и «Массив чисел с плавающей точкой» возможно использование следующих операций:
При использовании фильтров с полями расширенной схемы событий с типами полей «Массив целых чисел» и «Массив чисел с плавающей точкой» возможно использование следующих операций сравнения чисел: <,>, =, >=, <=.
Для обращения к конкретному элементу массива в фильтре необходимо использовать следующий синтаксис: NA.<Имя массива>.<номер элемента>
Нумерация элементов массива начинается с 0.
Пример:
NA.ArrayOne.0 – обращение к первому элементу массива чисел ArrayOne.
FA.ArrayTwo.2 – обращение к третьему элементу массива чисел с плавающей точкой ArrayTwo.
Формирование условий в режиме исходного кода
Режим редактора кода позволяет быстро редактировать условия, выделять и копировать блоки кода.
В правой части конструктора отображается навигатор, позволяющий переместиться ко коду фильтра.
Перенос строк выполняется автоматически по логическим операторам И, ИЛИ, НЕ или запятым, являющимися разделителем элементов списка значений.
Для ресурсов, использованных в фильтре, автоматически указывается их наименование. Поля, содержащие наименования связанных ресурсов, нельзя отредактировать. Названия категорий общих ресурсов не отображается в фильтре, если вам не присвоена роль Доступ к общим ресурсам.
В поставку KUMA включены перечисленные в таблице ниже фильтры.
Предустановленные фильтры
Название фильтра |
Описание |
[OOTB][AD] A member was added to a security-enabled global group (4728) |
Выбирает события добавления пользователя в группу безопасности (security-enabled global group) Active Directory. |
[OOTB][AD] A member was added to a security-enabled universal group (4756) |
Выбирает события добавления пользователя в группу безопасности (security-enabled universal group) Active Directory. |
[OOTB][AD] A member was removed from a security-enabled global group (4729) |
Выбирает события удаления пользователя из группы безопасности (security-enabled global group) Active Directory. |
[OOTB][AD] A member was removed from a security-enabled universal group (4757) |
Выбирает события удаления пользователя из группы безопасности (security-enabled universal group) Active Directory. |
[OOTB][AD] Account Created |
Выбирает события создания учётной записи в ОС Windows. |
[OOTB][AD] Account Deleted |
Выбирает события удаления учётной записи в ОС Windows. |
[OOTB][AD] An account failed to log on (4625) |
Выбирает события неуспешной попытки входа в ОС Windows. |
[OOTB][AD] Successful Kerberos authentication (4624, 4768, 4769, 4770) |
Выбирает события успешной попытки входа в ОС Windows и события с идентификаторами 4769, 4770, регистрирующиеся на контроллерах домена. |
[OOTB][AD][Technical] 4768. TGT Requested |
Выбирает события Microsoft Windows c идентификатором 4768. |
[OOTB][Net] Possible port scan |
Выбирает события, которые могут говорить о проведении сканирования портов. |
[OOTB][SSH] Accepted Password |
Выбирает события успешного подключения с использование пароля по протоколу SSH. |
[OOTB][SSH] Failed Password |
Выбирает события попыток подключения с использование пароля по протоколу SSH. |