Фильтры

Фильтры позволяют выбрать события на основе заданных вами условий. В сервисе коллектора фильтры используются для того, чтобы отобрать события, которые вы хотите передавать в KUMA. Если событие удовлетворяет условию фильтра, в KUMA событие будет передано для обработки.

Вы можете использовать фильтры в следующих сервисах и функциях KUMA:

Вы можете использовать отдельные фильтры или встроенные фильтры, которые хранятся в сервисе или ресурсе, где они были созданы. Для ресурсов в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов. Доступные параметры фильтра описаны в таблице ниже.

Доступные параметры фильтра

Параметр	Описание
Название	Уникальное имя для типа ресурса. Максимальная длина имени: до 128 символов в кодировке Unicode. Встроенные фильтры создаются в других ресурсах или сервисах и не имеют имен. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Описание	Описание фильтра. Максимальная длина описания: до 4000 символов в кодировке Unicode.
Условия	Критерии фильтрации. Вы можете создать условия фильтрации и группы фильтров, а также добавить существующие фильтры. Для формирования критериев фильтрации вы можете использовать режим конструктора или режим исходного кода. В режиме конструктора вы можете создавать или изменять критерии фильтрации с помощью раскрывающихся списков с вариантами условий фильтра и операторов. В режиме исходного кода вы можете создавать и изменять поисковые запросы с помощью текстовых команд. По умолчанию используется режим конструктора. Вы можете переключаться между режимами при формировании критериев фильтрации. Для переключения в режим исходного кода нажмите на кнопку Код. При переключении между режимами сформированные фильтры условий сохраняются. Если после привязки созданного фильтра к ресурсу на вкладке Код не отображается код фильтра, выберите на вкладку Конструктор, после чего снова выберите вкладку Код для отображения кода фильтра.

Формирование условий в режиме конструктора

Вы можете формировать критерии фильтрации в режиме конструктора используя следующие кнопки:

Добавить условие – добавление строки с полями для определения условия.
Добавить группу – добавление группы фильтров. Вы можете переключать групповые операторы между И, ИЛИ, НЕ. В группы фильтров можно добавить группы, условия и существующие фильтры. Условия, помещенные в подгруппу НЕ, объединяются оператором И.

Вы можете выполнить следующие действия:

Заменить и удалить оператор в сформированном условии. Для замены оператора вам нужно нажать на оператор, который вы хотите заменить, и в раскрывающемся списке выбрать новый оператор. Для удаления оператора вам нужно нажать на оператор, который вы хотите удалить, и нажать на клавишу Backspace.
Изменить последовательность условий. Для этого вам нужно нажать на кнопку и перетащить условие фильтра на новое место.
Удалить условия, группы и фильтры с помощью кнопки .

Доступные параметры условия описаны в таблице ниже.

Доступные параметры условия

Параметр	Описание
Если	Использование инвертированной функции оператора. Обязательный параметр.
Левый операнд и Правый операнд	Значения, которые будет обрабатывать оператор. Доступные типы значений зависят от выбранного оператора. Операнды фильтров Поле события – значение поля события, которое требуется присвоить операнду. Дополнительные параметры: поле события (обязательно) – поле, из которого требуется извлечь значение операнда. Активный лист – значение записи активного листа, которое требуется присвоить операнду. Дополнительные параметры: название активного листа (обязательно) – активный лист, который требуется использовать. ключевые поля (обязательно) – поля событий, которые используются для создания записи активного листа и выступают ключом записи активного листа. поле (требуется, если не выбран оператор inActiveList) – имя поля активного листа, из которого требуется извлечь значение операнда. Контекстная таблица – значение контекстной таблицы, которое требуется присвоить операнду. Дополнительные параметры: название контекстной таблицы (обязательно) – контекстная таблица, которую требуется использовать. ключевые поля (обязательно) – поля событий или локальные переменные, которые используются для создания записи контекстной таблицы и выступают ключом записи контекстной таблицы. поле – имя поля контекстной таблицы, из которого требуется извлечь значение операнда. индекс – индекс списочного поля таблицы, из которого требуется извлечь значение операнда. Словарь – значение из ресурса словарь, которое требуется присвоить операнду. Дополнительные параметры: словарь (обязательно) – словарь, который требуется использовать. ключевые поля (обязательно) – поля событий, которые используются для формирования ключа значения словаря. Константа – пользовательское значение, которое требуется присвоить операнду. Дополнительные параметры: значение (обязательно) – константа, которую требуется присвоить операнду. Таблица – пользовательские значения, которые требуется присвоить операнду. Дополнительные параметры: словарь (обязательно) – тип словаря. Вам нужно выбрать тип словаря Таблица. ключевые поля (обязательно) – поля событий, которые используются для формирования ключа значения словаря. Список – пользовательские значения, которые требуется присвоить операнду. Дополнительные параметры: значение (обязательно) – константы, которые требуется присвоить операнду. Когда вы вводите значение в поле и нажимаете `ENTER`, значение добавляется в список, и вы можете ввести новое значение. TI – параметры чтения данных CyberTrace об угрозах (TI) из событий. Дополнительные параметры: поток (обязательно) – категория угрозы CyberTrace. ключевые поля (обязательно) – поле события с индикаторами угроз CyberTrace. поле (обязательно) – поле фида CyberTrace с индикаторами угроз. Обязательные параметры.
Оператор	Оператор условия. В этом раскрывающемся списке вы можете установить флажок без учета регистра, чтобы оператор игнорировал регистр значений. Флажок игнорируется, если выбраны операторы inSubnet, inActiveList, inCategory, InActiveDirectoryGroup, hasBit и inDictionary. По умолчанию флажок снят. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает `False`. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.

Параметр

Описание

Если

Использование инвертированной функции оператора.

Обязательный параметр.

Левый операнд и Правый операнд

Значения, которые будет обрабатывать оператор. Доступные типы значений зависят от выбранного оператора.

Операнды фильтров

Поле события – значение поля события, которое требуется присвоить операнду. Дополнительные параметры:
- поле события (обязательно) – поле, из которого требуется извлечь значение операнда.
Активный лист – значение записи активного листа, которое требуется присвоить операнду. Дополнительные параметры:
- название активного листа (обязательно) – активный лист, который требуется использовать.
- ключевые поля (обязательно) – поля событий, которые используются для создания записи активного листа и выступают ключом записи активного листа.
- поле (требуется, если не выбран оператор inActiveList) – имя поля активного листа, из которого требуется извлечь значение операнда.
Контекстная таблица – значение контекстной таблицы, которое требуется присвоить операнду. Дополнительные параметры:
- название контекстной таблицы (обязательно) – контекстная таблица, которую требуется использовать.
- ключевые поля (обязательно) – поля событий или локальные переменные, которые используются для создания записи контекстной таблицы и выступают ключом записи контекстной таблицы.
- поле – имя поля контекстной таблицы, из которого требуется извлечь значение операнда.
- индекс – индекс списочного поля таблицы, из которого требуется извлечь значение операнда.
Словарь – значение из ресурса словарь, которое требуется присвоить операнду. Дополнительные параметры:
- словарь (обязательно) – словарь, который требуется использовать.
- ключевые поля (обязательно) – поля событий, которые используются для формирования ключа значения словаря.
Константа – пользовательское значение, которое требуется присвоить операнду. Дополнительные параметры:
- значение (обязательно) – константа, которую требуется присвоить операнду.
Таблица – пользовательские значения, которые требуется присвоить операнду. Дополнительные параметры:
- словарь (обязательно) – тип словаря. Вам нужно выбрать тип словаря Таблица.
- ключевые поля (обязательно) – поля событий, которые используются для формирования ключа значения словаря.
Список – пользовательские значения, которые требуется присвоить операнду. Дополнительные параметры:
- значение (обязательно) – константы, которые требуется присвоить операнду. Когда вы вводите значение в поле и нажимаете ENTER, значение добавляется в список, и вы можете ввести новое значение.
TI – параметры чтения данных CyberTrace об угрозах (TI) из событий. Дополнительные параметры:
- поток (обязательно) – категория угрозы CyberTrace.
- ключевые поля (обязательно) – поле события с индикаторами угроз CyberTrace.
- поле (обязательно) – поле фида CyberTrace с индикаторами угроз.

Обязательные параметры.

Оператор

Оператор условия. В этом раскрывающемся списке вы можете установить флажок без учета регистра, чтобы оператор игнорировал регистр значений. Флажок игнорируется, если выбраны операторы inSubnet, inActiveList, inCategory, InActiveDirectoryGroup, hasBit и inDictionary. По умолчанию флажок снят.

Операторы фильтров

= – левый операнд равен правому операнду.
< – левый операнд меньше правого операнда.
<= – левый операнд меньше или равен правому операнду.
> – левый операнд больше правого операнда.
>= – левый операнд больше или равен правому операнду.
inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
contains – левый операнд содержит значения правого операнда.
startsWith – левый операнд начинается с одного из значений правого операнда.
endsWith – левый операнд заканчивается одним из значений правого операнда.
match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.
hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.
inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
inContextTable – присутствует ли в указанной контекстной таблице запись.
intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.

Доступные типы операндов зависят от того, является ли операнд левым (L) или правым (R).

Доступные типы операндов для левого (L) и правого (R) операндов

Оператор	Тип "поле события"	Тип "активный лист"	Тип "словарь"	Тип "контекстная таблица"	Тип "таблица"	Тип "TI"	Тип "константа"	Тип "список"
=	L,R	L,R	L,R	L,R	L,R	L,R	R	R
>	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
>=	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
<	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
<=	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
inSubnet	L,R	L,R	L,R	L,R	L,R	L,R	R	R
contains	L,R	L,R	L,R	L,R	L,R	L,R	R	R
startsWith	L,R	L,R	L,R	L,R	L,R	L,R	R	R
endsWith	L,R	L,R	L,R	L,R	L,R	L,R	R	R
match	L	L	L	L	L	L	R	R
hasVulnerability	L	L	L	L	L
hasBit	L	L	L	L	L		R	R
inActiveList
inDictionary
inCategory	L	L	L	L	L		R	R
inContextTable
inActiveDirectoryGroup	L	L	L	L	L		R	R
TIDetect

При работе с фильтрами вы можете использовать горячие клавиши. Описание горячих клавиш приведено в таблице ниже.

Горячие клавиши и их функциональность

Клавиша	Функциональность
`e`	Вызывает фильтр по полю события
`d`	Вызывает фильтр по полю словаря
`a`	Вызывает фильтр по полю активного листа
`c`	Вызывает фильтр по полю контекстной таблицы
`t`	Вызывает фильтр по полю таблицы
`f`	Вызывает фильтр
`t+i`	Вызывает фильтр c использованием TI
`Ctrl+Enter`	Завершение редактирования условия

Работа с полями типа «Строка», «Число» и «Число с плавающей точкой» расширенной схемы событий в фильтрах не отличается от работы с полями схемы событий KUMA.

При использовании фильтров с полями расширенной схемы событий с типами полей «Массив строк», «Массив целых чисел» и «Массив чисел с плавающей точкой» вы можете использовать следующие операции:

Операция contains вернет значение True, если указанная подстрока присутствует в массиве, иначе вернет False.
Операция match – поиск в строке по регулярному выражению.
Операция intersec.

Формирование условий в режиме исходного кода

Режим редактора кода позволяет быстро редактировать условия, выделять и копировать блоки кода. В правой части конструктора отображается навигатор, позволяющий переместиться по коду фильтра. Перенос строк выполняется автоматически по логическим операторам И, ИЛИ, НЕ или запятым, являющимися разделителем элементов списка значений.

Для ресурсов, использованных в фильтре, автоматически указывается их наименование. Поля, содержащие наименования связанных ресурсов, нельзя отредактировать. Названия категорий общих ресурсов не отображаются в фильтре, если вам не присвоена роль Доступ к общим ресурсам. Для просмотра списка ресурсов для выбранного операнда внутри выражения вам нужно нажать на комбинацию клавиш Ctrl+Space. В результате будет отображаться список ресурсов.

В поставку KUMA включены перечисленные в таблице ниже фильтры.

Предустановленные фильтры

Название фильтра	Описание
[OOTB][AD] A member was added to a security-enabled global group (4728)	Выбирает события добавления пользователя в группу безопасности (security-enabled global group) Active Directory.
[OOTB][AD] A member was added to a security-enabled universal group (4756)	Выбирает события добавления пользователя в группу безопасности (security-enabled universal group) Active Directory.
[OOTB][AD] A member was removed from a security-enabled global group (4729)	Выбирает события удаления пользователя из группы безопасности (security-enabled global group) Active Directory.
[OOTB][AD] A member was removed from a security-enabled universal group (4757)	Выбирает события удаления пользователя из группы безопасности (security-enabled universal group) Active Directory.
[OOTB][AD] Account Created	Выбирает события создания учётной записи в ОС Windows.
[OOTB][AD] Account Deleted	Выбирает события удаления учётной записи в ОС Windows.
[OOTB][AD] An account failed to log on (4625)	Выбирает события безуспешной попытки входа в ОС Windows.
[OOTB][AD] Successful Kerberos authentication (4624, 4768, 4769, 4770)	Выбирает события успешной попытки входа в ОС Windows и события с идентификаторами 4769, 4770, регистрирующиеся на контроллерах домена.
[OOTB][AD][Technical] 4768. TGT Requested	Выбирает события Microsoft Windows c идентификатором 4768.
[OOTB][Net] Possible port scan	Выбирает события, которые могут говорить о проведении сканирования портов.
[OOTB][SSH] Accepted Password	Выбирает события успешного подключения с использованием пароля по протоколу SSH.
[OOTB][SSH] Failed Password	Выбирает события попыток подключения с использованием пароля по протоколу SSH.

В начало