Фильтры позволяют выбрать события на основе заданных вами условий. В сервисе коллектора фильтры используются для того, чтобы отобрать события, которые вы хотите передавать в KUMA. Если событие удовлетворяет условию фильтра, в KUMA событие будет передано для обработки.
Вы можете использовать фильтры в следующих сервисах и функциях KUMA:
Вы можете использовать отдельные фильтры или встроенные фильтры, которые хранятся в сервисе или ресурсе, где они были созданы. Для ресурсов в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов. Доступные параметры фильтра описаны в таблице ниже.
Доступные параметры фильтра
Параметр |
Описание |
---|---|
Название |
Уникальное имя для типа ресурса. Максимальная длина имени: до 128 символов в кодировке Unicode. Встроенные фильтры создаются в других ресурсах или сервисах и не имеют имен. Обязательный параметр. |
Тенант |
Название тенанта, которому принадлежит ресурс. Обязательный параметр. |
Описание |
Описание фильтра. Максимальная длина описания: до 4000 символов в кодировке Unicode. |
Условия |
Критерии фильтрации. Вы можете создать условия фильтрации и группы фильтров, а также добавить существующие фильтры. Для формирования критериев фильтрации вы можете использовать режим конструктора или режим исходного кода. В режиме конструктора вы можете создавать или изменять критерии фильтрации с помощью раскрывающихся списков с вариантами условий фильтра и операторов. В режиме исходного кода вы можете создавать и изменять поисковые запросы с помощью текстовых команд. По умолчанию используется режим конструктора. Вы можете переключаться между режимами при формировании критериев фильтрации. Для переключения в режим исходного кода нажмите на кнопку Код. При переключении между режимами сформированные фильтры условий сохраняются. Если после привязки созданного фильтра к ресурсу на вкладке Код не отображается код фильтра, выберите на вкладку Конструктор, после чего снова выберите вкладку Код для отображения кода фильтра. |
Формирование условий в режиме конструктора
Вы можете формировать критерии фильтрации в режиме конструктора используя следующие кнопки:
Вы можете выполнить следующие действия:
Доступные параметры условия описаны в таблице ниже.
Доступные параметры условия
Параметр |
Описание |
---|---|
Если |
Использование инвертированной функции оператора. Обязательный параметр. |
Левый операнд и Правый операнд |
Значения, которые будет обрабатывать оператор. Доступные типы значений зависят от выбранного оператора. Обязательные параметры. |
Оператор |
Оператор условия. В этом раскрывающемся списке вы можете установить флажок без учета регистра, чтобы оператор игнорировал регистр значений. Флажок игнорируется, если выбраны операторы inSubnet, inActiveList, inCategory, InActiveDirectoryGroup, hasBit и inDictionary. По умолчанию флажок снят. |
Доступные типы операндов зависят от того, является ли операнд левым (L) или правым (R).
Доступные типы операндов для левого (L) и правого (R) операндов
Оператор |
Тип "поле события" |
Тип "активный лист" |
Тип "словарь" |
Тип "контекстная таблица" |
Тип "таблица" |
Тип "TI" |
Тип "константа" |
Тип "список" |
= |
L,R |
L,R |
L,R |
L,R |
L,R |
L,R |
R |
R |
> |
L,R |
L,R |
L,R |
L,R (только при поиске значения таблицы по индексу) |
L,R |
L |
R |
|
>= |
L,R |
L,R |
L,R |
L,R (только при поиске значения таблицы по индексу) |
L,R |
L |
R |
|
< |
L,R |
L,R |
L,R |
L,R (только при поиске значения таблицы по индексу) |
L,R |
L |
R |
|
<= |
L,R |
L,R |
L,R |
L,R (только при поиске значения таблицы по индексу) |
L,R |
L |
R |
|
inSubnet |
L,R |
L,R |
L,R |
L,R |
L,R |
L,R |
R |
R |
contains |
L,R |
L,R |
L,R |
L,R |
L,R |
L,R |
R |
R |
startsWith |
L,R |
L,R |
L,R |
L,R |
L,R |
L,R |
R |
R |
endsWith |
L,R |
L,R |
L,R |
L,R |
L,R |
L,R |
R |
R |
match |
L |
L |
L |
L |
L |
L |
R |
R |
hasVulnerability |
L |
L |
L |
L |
L |
|||
hasBit |
L |
L |
L |
L |
L |
R |
R |
|
inActiveList |
||||||||
inDictionary |
||||||||
inCategory |
L |
L |
L |
L |
L |
R |
R |
|
inContextTable |
||||||||
inActiveDirectoryGroup |
L |
L |
L |
L |
L |
R |
R |
|
TIDetect |
При работе с фильтрами вы можете использовать горячие клавиши. Описание горячих клавиш приведено в таблице ниже.
Горячие клавиши и их функциональность
Клавиша |
Функциональность |
---|---|
e |
Вызывает фильтр по полю события |
d |
Вызывает фильтр по полю словаря |
a |
Вызывает фильтр по полю активного листа |
c |
Вызывает фильтр по полю контекстной таблицы |
t |
Вызывает фильтр по полю таблицы |
f |
Вызывает фильтр |
t+i |
Вызывает фильтр c использованием TI |
Ctrl+Enter |
Завершение редактирования условия |
Работа с полями типа «Строка», «Число» и «Число с плавающей точкой» расширенной схемы событий в фильтрах не отличается от работы с полями схемы событий KUMA.
При использовании фильтров с полями расширенной схемы событий с типами полей «Массив строк», «Массив целых чисел» и «Массив чисел с плавающей точкой» вы можете использовать следующие операции:
contains
вернет значение True
, если указанная подстрока присутствует в массиве, иначе вернет False
.match
– поиск в строке по регулярному выражению.intersec
.Формирование условий в режиме исходного кода
Режим редактора кода
позволяет быстро редактировать условия, выделять и копировать блоки кода. В правой части конструктора отображается навигатор, позволяющий переместиться по коду фильтра. Перенос строк выполняется автоматически по логическим операторам И, ИЛИ, НЕ или запятым, являющимися разделителем элементов списка значений.
Для ресурсов, использованных в фильтре, автоматически указывается их наименование. Поля, содержащие наименования связанных ресурсов, нельзя отредактировать. Названия категорий общих ресурсов не отображаются в фильтре, если вам не присвоена роль Доступ к общим ресурсам. Для просмотра списка ресурсов для выбранного операнда внутри выражения вам нужно нажать на комбинацию клавиш Ctrl+Space. В результате будет отображаться список ресурсов.
В поставку KUMA включены перечисленные в таблице ниже фильтры.
Предустановленные фильтры
Название фильтра |
Описание |
[OOTB][AD] A member was added to a security-enabled global group (4728) |
Выбирает события добавления пользователя в группу безопасности (security-enabled global group) Active Directory. |
[OOTB][AD] A member was added to a security-enabled universal group (4756) |
Выбирает события добавления пользователя в группу безопасности (security-enabled universal group) Active Directory. |
[OOTB][AD] A member was removed from a security-enabled global group (4729) |
Выбирает события удаления пользователя из группы безопасности (security-enabled global group) Active Directory. |
[OOTB][AD] A member was removed from a security-enabled universal group (4757) |
Выбирает события удаления пользователя из группы безопасности (security-enabled universal group) Active Directory. |
[OOTB][AD] Account Created |
Выбирает события создания учётной записи в ОС Windows. |
[OOTB][AD] Account Deleted |
Выбирает события удаления учётной записи в ОС Windows. |
[OOTB][AD] An account failed to log on (4625) |
Выбирает события безуспешной попытки входа в ОС Windows. |
[OOTB][AD] Successful Kerberos authentication (4624, 4768, 4769, 4770) |
Выбирает события успешной попытки входа в ОС Windows и события с идентификаторами 4769, 4770, регистрирующиеся на контроллерах домена. |
[OOTB][AD][Technical] 4768. TGT Requested |
Выбирает события Microsoft Windows c идентификатором 4768. |
[OOTB][Net] Possible port scan |
Выбирает события, которые могут говорить о проведении сканирования портов. |
[OOTB][SSH] Accepted Password |
Выбирает события успешного подключения с использованием пароля по протоколу SSH. |
[OOTB][SSH] Failed Password |
Выбирает события попыток подключения с использованием пароля по протоколу SSH. |