Фильтры

Фильтры позволяют выбрать события на основе заданных вами условий.

В сервисе коллектора фильтры используются для того, чтобы отфильтровать события, которые вы не хотите передавать в KUMA. То есть если событие удовлетворяет условию фильтра, в KUMA событие не будет передано и будет отфильтровано.

Фильтры можно использовать в следующих сервисах и функциях KUMA:

Можно использовать отдельные фильтры или встроенные фильтры, которые хранятся в сервисе или ресурсе, где они были созданы.

Для этих ресурсов в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов.

Доступные параметры фильтра:

Формирование условий в режиме конструктора

Вы можете формировать критерии фильтрации в режиме конструктора используя следующие кнопки:

Для замены в сформированном условии оператора вам необходимо нажать на оператор, который вы хотите заменить, и в раскрывающемся списке выбрать новый оператор.

Для удаления в сформированном условии оператора необходимо нажать на оператор, который вы хотите удалить, и нажать на клавишу Backspace.

Для изменения последовательности условий фильтра вам необходимо нажать на кнопку DragIconи перетащить условие на новое место.

Условия, группы и фильтры можно удалить с помощью кнопки cross.

Параметры условий:

Доступные типы операндов зависят от того, является ли операнд левым (L) или правым (R).

Доступные типы операндов для левого (L) и правого (R) операндов

Оператор

Тип "поле события"

Тип "активный лист"

Тип "словарь"

Тип "контекстная таблица"

Тип "таблица"

Тип "TI"

Тип "константа"

Тип "список"

=

L,R

L,R

L,R

L,R

L,R

L,R

R

R

>

L,R

L,R

L,R

L,R (только при поиске значения таблицы по индексу)

L,R

L

R

нет значения

>=

L,R

L,R

L,R

L,R (только при поиске значения таблицы по индексу)

L,R

L

R

нет значения

<

L,R

L,R

L,R

L,R (только при поиске значения таблицы по индексу)

L,R

L

R

нет значения

<=

L,R

L,R

L,R

L,R (только при поиске значения таблицы по индексу)

L,R

L

R

нет значения

inSubnet

L,R

L,R

L,R

L,R

L,R

L,R

R

R

contains

L,R

L,R

L,R

L,R

L,R

L,R

R

R

startsWith

L,R

L,R

L,R

L,R

L,R

L,R

R

R

endsWith

L,R

L,R

L,R

L,R

L,R

L,R

R

R

match

L

L

L

L

L

L

R

R

hasVulnerability

L

L

L

L

L

нет значения

нет значения

нет значения

hasBit

L

L

L

L

L

нет значения

R

R

inActiveList

нет значения

нет значения

нет значения

нет значения

нет значения

нет значения

нет значения

нет значения

inDictionary

нет значения

нет значения

нет значения

нет значения

нет значения

нет значения

нет значения

нет значения

inCategory

L

L

L

L

L

нет значения

R

R

inContextTable

нет значения

нет значения

нет значения

нет значения

нет значения

нет значения

нет значения

нет значения

inActiveDirectoryGroup

L

L

L

L

L

нет значения

R

R

TIDetect

нет значения

нет значения

нет значения

нет значения

нет значения

нет значения

нет значения

нет значения

Вы можете использовать при работе с фильтрами горячие клавиши. Описание горячих клавиш приведено в таблице ниже.

Горячие клавиши и их функциональность

Клавиша

Функциональность

e

Вызывает фильтр по полю события

d

Вызывает фильтр по полю словаря

a

Вызывает фильтр по полю активного листа

c

Вызывает фильтр по полю контекстной таблицы

t

Вызывает фильтр по полю таблицы

f

Вызывает фильтр

t+i

Вызывает фильтр c использованием TI

Ctrl+Enter

Завершение редактирования условия

Работа с полями типа «строка», «число» и «число с плавающей точкой» расширенной схемы событий в фильтрах не отличается от работы с полями схемы событий KUMA.

При использовании фильтров с полями расширенной схемы событий с типами полей «Массив строк», «Массив целых чисел» и «Массив чисел с плавающей точкой» возможно использование следующих операций:

Формирование условий в режиме исходного кода

Режим редактора кода позволяет быстро редактировать условия, выделять и копировать блоки кода.

В правой части конструктора отображается навигатор, позволяющий переместиться ко коду фильтра.

Перенос строк выполняется автоматически по логическим операторам И, ИЛИ, НЕ или запятым, являющимися разделителем элементов списка значений.

Для ресурсов, использованных в фильтре, автоматически указывается их наименование. Поля, содержащие наименования связанных ресурсов, нельзя отредактировать. Названия категорий общих ресурсов не отображаются в фильтре, если вам не присвоена роль Доступ к общим ресурсам. Чтобы просмотреть список ресурсов для выбранного операнда внутри выражения, необходимо нажать сочетание клавиш Ctrl+Space. В результате будет отображаться список ресурсов.

В поставку KUMA включены перечисленные в таблице ниже фильтры.

Предустановленные фильтры

Название фильтра

Описание

[OOTB][AD] A member was added to a security-enabled global group (4728)

Выбирает события добавления пользователя в группу безопасности (security-enabled global group) Active Directory.

[OOTB][AD] A member was added to a security-enabled universal group (4756)

Выбирает события добавления пользователя в группу безопасности (security-enabled universal group) Active Directory.

[OOTB][AD] A member was removed from a security-enabled global group (4729)

Выбирает события удаления пользователя из группы безопасности (security-enabled global group) Active Directory.

[OOTB][AD] A member was removed from a security-enabled universal group (4757)

Выбирает события удаления пользователя из группы безопасности (security-enabled universal group) Active Directory.

[OOTB][AD] Account Created

Выбирает события создания учётной записи в ОС Windows.

[OOTB][AD] Account Deleted

Выбирает события удаления учётной записи в ОС Windows.

[OOTB][AD] An account failed to log on (4625)

Выбирает события неуспешной попытки входа в ОС Windows.

[OOTB][AD] Successful Kerberos authentication (4624, 4768, 4769, 4770)

Выбирает события успешной попытки входа в ОС Windows и события с идентификаторами 4769, 4770, регистрирующиеся на контроллерах домена.

[OOTB][AD][Technical] 4768. TGT Requested

Выбирает события Microsoft Windows c идентификатором 4768.

[OOTB][Net] Possible port scan

Выбирает события, которые могут говорить о проведении сканирования портов.

[OOTB][SSH] Accepted Password

Выбирает события успешного подключения с использование пароля по протоколу SSH.

[OOTB][SSH] Failed Password

Выбирает события попыток подключения с использование пароля по протоколу SSH.

В начало