Правила агрегации

Правила агрегации позволяют объединить однотипные повторяющиеся события и заменить их одним общим событием. В правилах агрегации поддерживается работа с полями стандартной схемы событий KUMA и с полями расширенной схемы событий. Таким образом вы можете уменьшить количество схожих событий, передаваемых в хранилище и/или коррелятор, снизить нагрузку на сервисы, сэкономить место для хранения данных и сэкономить лицензионную квоту (EPS). Агрегационное событие создается по достижении порога по времени или порога по числу событий, смотря что произойдет раньше.

Для правил агрегации можно настроить фильтр и применять его только к событиям, которые соответствуют заданным условиям.

Вы можете настроить правила агрегации в разделе Ресурсы → Правила агрегации, а затем выбрать созданное правило агрегации в раскрывающемся списке в параметрах коллектора. Правила агрегации также можно настроить напрямую в параметрах коллектора. Доступные параметры правила агрегации описаны в таблице ниже.

Доступные параметры правила агрегации

Параметр		Описание

Название	Уникальное имя ресурса. Максимальная длина имени: до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Предел событий	Ограничение по количеству событий. После накопления заданного количества событий с идентичными полями коллектор создает агрегационное событие и начинает накопление событий для следующего агрегированного события. Значение по умолчанию: `100`.
Время ожидания событий	Ограничение по времени в секундах. По истечении указанного срока накопление базовых событий прекращается, коллектор создает агрегированное событие и начинает сбор событий для следующего агрегированного события. Значение по умолчанию: `60`. Обязательный параметр.
Описание	Описание ресурса. Максимальная длина описания: 4000 символов в кодировке Unicode.
Группирующие поля	Поля нормализованных событий, значения которых должны совпадать. Например, для сетевых событий могут использоваться поля нормализованных событий `SourceAddress`, `DestinationAddress` и `DestinationPort`. В итоговом агрегационном событии поля нормализованных событий будут заполнены значениями базовых событий. Обязательный параметр.
Уникальные поля	Поля, диапазон значений которых требуется сохранить в агрегированном событии. Например, если поле `DestinationPort` указать не в Группирующие поля, а в Уникальные поля, агрегированное событие объединит базовые события подключения к разным портам, а поле `DestinationPort` агрегированного события будет содержать список всех портов, к которым выполнялись подключения.
Поля суммы	Поля, значения которых при агрегации будут просуммированы и записаны в одноименные поля агрегированного события. Существуют следующие особенности поведения полей: значения полей с типами «Число» и «Число с плавающей точкой» суммируются; значения полей с типом «Строка» конкатенируются через запятую; значения полей с типами «Массив строк», «Массив чисел» и «Массив чисел с плавающей точкой» добавляются в конец массива.
Фильтр	Условия определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать в раскрывающемся списке существующий фильтр или Создать, чтобы создать новый фильтр. Не используйте в правилах агрегации фильтры с операндом TI или операторами TIDetect, inActiveDirectoryGroup и hasVulnerability. Поля `Active Directory`, для которых используется оператор inActiveDirectoryGroup, появляются на этапе обогащения, то есть после выполнения правил агрегации. Создание фильтра в ресурсах Чтобы создать фильтр: В раскрывающемся списке Фильтр выберите Создать. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode. В блоке параметров Условия укажите условия, которым должны соответствовать события: Нажмите на кнопку Добавить условие. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи. В раскрывающемся списке оператор выберите оператор. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает `False`. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не. Вы можете добавить несколько условий или группу условий. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

В поставку KUMA включены перечисленные в таблице ниже правила агрегации.

Предустановленные правила агрегации

Название правила агрегации

Описание

[OOTB] Netflow 9

Правило сработает при достижении 100 событий или по истечении 10 секунд.

Агрегация событий выполняется по следующим полям:

DestinationAddress
DestinationPort
SourceAddress
TransportProtocol
DeviceVendor
DeviceProduct

Поля DeviceCustomString1 и BytesIn суммируются.

В начало