Правило корреляции, тип operational

Правила корреляции с типом operational используются для работы с активными листами. Доступные параметры правила корреляции с типом operational описаны в таблицах ниже.

Вкладка Общие

Эта вкладка используется для указания основных параметров правила корреляции.

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип правила корреляции – operational. Обязательный параметр.
Теги
Частота срабатываний	Максимальное количество срабатываний правила корреляции в секунду. Значение по умолчанию: `0`. Если не срабатывают правила корреляции, в которых реализована сложная логика обнаружения закономерностей, причиной могут быть особенности подсчета срабатываний правила в KUMA. В этом случае мы рекомендуем увеличить значение в поле Частота срабатываний, например до `1000000`.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.
Техники MITRE	Загруженные техники MITRE ATT&CK для анализа состояния покрытия безопасности с помощью матрицы MITRE ATT&CK.

Вкладка Селекторы

Эта вкладка используется для определения условий, которым должны удовлетворять обрабатываемые события для срабатывания правила корреляции. Для селектора доступны вкладки Параметры и Локальные переменные.

Параметры, доступные на вкладке Параметры, описаны в таблице ниже.

Параметр	Описание
Фильтр	Фильтр, указывающий критерии определения событий, при получении которых будет срабатывать селектор. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать. Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша . Как создать фильтр? Чтобы создать фильтр: В раскрывающемся списке Фильтр выберите Создать. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode. В блоке параметров Условия укажите условия, которым должны соответствовать события: Нажмите на кнопку Добавить условие. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи. В раскрывающемся списке оператор выберите оператор. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает `False`. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не. Вы можете добавить несколько условий или группу условий. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку . Фильтрация по данным из поля события Extra Условия для фильтров по данным из поля события `Extra`: Условие – Если. Левый операнд – поле события. В поле события вы можете указать одно из следующих значений: Поле `Extra`. Значение из поля `Extra` в следующем формате: `Extra.<название поля>` Например, `Extra.app`. Вам нужно указать значение вручную. Значение из массива, записанного в поле `Extra`, в следующем формате: `Extra.<название поля>.<элемент массива>` Например, `Extra.array.0`. Нумерация значений в массиве начинается с 0. Вам нужно указать значение вручную. Для работы со значением из поля `Extra` на глубине 3 и ниже требуется использовать кавычки ``, например `Extra.lev1.lev2.lev3`. Оператор – =. Правый операнд – константа. Значение – значение, по которому требуется фильтровать события. Последовательность условий, указанных в фильтре селектора корреляционного правила, имеет значение и влияет на производительность системы. Мы рекомендуем на первое место в фильтре селектора ставить наиболее уникальный критерий отбора. Рассмотрим два примера фильтров селектора, осуществляющих выборку событий успешной аутентификации в Microsoft Windows. Фильтр селектора 1: Условие 1 – `DeviceProduct = Microsoft Windows`. Условие 2 – `DeviceEventClassID = 4624`. Фильтр селектора 2: Условие 1 – `DeviceEventClassID = 4624`. Условие 2 – `DeviceProduct = Microsoft Windows`. Последовательность условий, указанная в фильтре селектора 2, является более предпочтительной, так как показывает меньшую нагрузку на систему.

Параметр

Описание

Фильтр

Фильтр, указывающий критерии определения событий, при получении которых будет срабатывать селектор. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать.

Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша edit-pencil .

Как создать фильтр?

Чтобы создать фильтр:

В раскрывающемся списке Фильтр выберите Создать.
Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
В блоке параметров Условия укажите условия, которым должны соответствовать события:
1. Нажмите на кнопку Добавить условие.
2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
3. В раскрывающемся списке оператор выберите оператор.
  Операторы фильтров
  - = – левый операнд равен правому операнду.
  - < – левый операнд меньше правого операнда.
  - <= – левый операнд меньше или равен правому операнду.
  - > – левый операнд больше правого операнда.
  - >= – левый операнд больше или равен правому операнду.
  - inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
  - contains – левый операнд содержит значения правого операнда.
  - startsWith – левый операнд начинается с одного из значений правого операнда.
  - endsWith – левый операнд заканчивается одним из значений правого операнда.
  - match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
  - hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
    Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.
    
    Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.
  - hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
    Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.
  - inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
  - inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
  - inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
  - inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
  - TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
  - inContextTable – присутствует ли в указанной контекстной таблице запись.
  - intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
Вы можете добавить несколько условий или группу условий.
Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

Фильтрация по данным из поля события Extra

Последовательность условий, указанных в фильтре селектора корреляционного правила, имеет значение и влияет на производительность системы. Мы рекомендуем на первое место в фильтре селектора ставить наиболее уникальный критерий отбора.

Рассмотрим два примера фильтров селектора, осуществляющих выборку событий успешной аутентификации в Microsoft Windows.

Фильтр селектора 1:

Условие 1 – DeviceProduct = Microsoft Windows.

Условие 2 – DeviceEventClassID = 4624.

Фильтр селектора 2:

Условие 1 – DeviceEventClassID = 4624.

Условие 2 – DeviceProduct = Microsoft Windows.

Последовательность условий, указанная в фильтре селектора 2, является более предпочтительной, так как показывает меньшую нагрузку на систему.

На вкладке Локальные переменные вы можете добавить переменные, которые будут действовать в пределах правила корреляции. Для добавления переменной нажмите на кнопку + Добавить, после чего укажите переменную и ее значение. Вы можете добавить несколько переменных и удалить переменные. Для удаления переменной установите рядом с ней флажок и нажмите на кнопку Удалить.

Вкладка Действия

Эта вкладка используется для настройки триггера правила корреляции. В правиле корреляции с типом operational может быть только один триггер, который срабатывает каждый раз, когда контейнер регистрирует срабатывание селектора. Доступные параметры триггера описаны в таблице ниже.

Параметр	Описание
Обновление активных листов	Операции с активными листами. Для создания операции с активным листом нажмите на кнопку + Добавить действие с активным листом. Доступные параметры операции с активным листом: Название – активный лист, с которым выполняется операция. Если вы хотите изменить параметры активного листа, нажмите рядом с ним на значок карандаша . Обязательный параметр. Операция – операция, которая выполняется с активным листом: Сложить – прибавить константу, значение поля корреляционного события или значение локальной переменной к значению активного листа. Установить – записать значения указанных полей корреляционного события в активный лист, создав новую или обновив существующую запись активного листа. При обновлении записи активного листа данные объединяются, и только указанные поля перезаписываются. Получить – получить запись активного листа и записать значения указанных полей в корреляционное событие. Удалить – удалить запись из активного листа. Обязательный параметр. Ключевые поля – поля события, которые используются для создания записи активного листа. Указанные поля событий также используются в качестве ключа записи активного листа. Ключ записи активного листа зависит только от состава полей событий и не зависит от порядка их отображения в веб-интерфейсе KUMA. Обязательный параметр. Сопоставление – правила сопоставления полей активного листа с полями событий. Вы можете использовать правила сопоставления, если в раскрывающемся списке Операция вы выбрали значение Получить или Установить. Для создания правила сопоставления нажмите на кнопку + Добавить. Доступные параметры правила сопоставления: Поле активного листа – поле активного листа, которое сопоставляется с полем события. Поле не должно содержать специальные символы или только цифры. Поле KUMA – поле события, с которым сопоставляется поле активного листа. Константа – константа, которая назначается полю активного листа. Вам нужно указать консанту, если в раскрывающемся списке Операция вы выбрали значение Установить. Вы можете создать несколько правил сопоставления и удалить правила сопоставления. Для удаления правила сопоставления установите рядом с ним флажок и нажмите на кнопку Удалить. Вы можете создать несколько операций с активными листами, изменить порядок операций с активными листами и удалить операции с активными листами. Для изменения порядка операций с активными листами используйте значки изменения порядка . Для удаления операции с активным листом нажмите рядом с ней на значок удаления .
Обновление контекстных таблиц	Операции с контекстными таблицами. Для создания операции с контекстной таблицей нажмите на кнопку + Добавить действие с контекстной таблицей. Доступные параметры операции с контекстной таблицей: Название – контекстная таблица, с которой выполняется операция. Если вы хотите изменить параметры контекстной таблицы, нажмите рядом с ней на значок карандаша . Обязательный параметр. Операция – операция, которая выполняется с контекстной таблицей: Сложить – прибавить константу, значение поля корреляционного события или значение локальной переменной к значению указанного поля контекстной таблицы. Операция используется только для полей с типом «Число» и «Число с плавающей точкой». Установить – записать значения указанных полей корреляционного события в контекстную таблицу, создав новую или обновив существующую запись контекстной таблицы. При обновлении записи контекстной таблицы данные объединяются, и только указанные поля перезаписываются. Объединить – дописать значение поля корреляционного события, локальной переменной или константы к существующему значению поля контекстной таблицы. Получить – получить поля контекстной таблицы и записать значения указанных полей в корреляционное событие. Поля таблицы типа булево значение и список булевых значений исключаются из сопоставления, потому что в событии нет полей булева типа. Удалить – удалить запись из контекстной таблицы. Обязательный параметр. Сопоставление – правила сопоставления полей контекстной таблицы с полями событий или переменными. Вы можете использовать правила сопоставления, если в раскрывающемся списке Операция вы не выбрали значение Удалить. Для создания правила сопоставления нажмите на кнопку + Добавить. Доступные параметры правила сопоставления: Поле контекстной таблицы – поле контекстной таблицы, которое сопоставляется с полем события. Вы не можете указать поле контекстной таблицы, которое уже используется в сопоставлении. Вы можете указать табуляцию, специальные символы или только цифры. Максимальное длина названия поля контекстной таблицы составляет 128 символов. Название поля контекстной таблицы не может начинаться с нижнего подчеркивания. Поле KUMA – поле события или локальная переменная, с которой сопоставляется поле контекстной таблицы. Константа – константа, которая назначается полю контекстной таблицы. Вам нужно указать консанту, если в раскрывающемся списке Операция вы выбрали значение Установить, Объединить или Сложить. Максимальное длина константы составляет 1024 символа. Вы можете создать несколько правил сопоставления и удалить правила сопоставления. Для удаления правила сопоставления установите рядом с ним флажок и нажмите на кнопку Удалить. Вы можете создать несколько операций с контекстными таблицами, изменить порядок операций с контекстными таблицами и удалить операции с контекстными таблицами. Для изменения порядка операций с контекстными таблицами используйте значки изменения порядка . Для удаления операции с контекстной таблицей нажмите рядом с ней на значок удаления .

Параметр

Описание

Обновление активных листов

Операции с активными листами. Для создания операции с активным листом нажмите на кнопку + Добавить действие с активным листом.

Доступные параметры операции с активным листом:

Название – активный лист, с которым выполняется операция. Если вы хотите изменить параметры активного листа, нажмите рядом с ним на значок карандаша .
Обязательный параметр.
Операция – операция, которая выполняется с активным листом:
- Сложить – прибавить константу, значение поля корреляционного события или значение локальной переменной к значению активного листа.
- Установить – записать значения указанных полей корреляционного события в активный лист, создав новую или обновив существующую запись активного листа. При обновлении записи активного листа данные объединяются, и только указанные поля перезаписываются.
- Получить – получить запись активного листа и записать значения указанных полей в корреляционное событие.
- Удалить – удалить запись из активного листа.
Обязательный параметр.
Ключевые поля – поля события, которые используются для создания записи активного листа. Указанные поля событий также используются в качестве ключа записи активного листа.
Ключ записи активного листа зависит только от состава полей событий и не зависит от порядка их отображения в веб-интерфейсе KUMA.

Обязательный параметр.
Сопоставление – правила сопоставления полей активного листа с полями событий. Вы можете использовать правила сопоставления, если в раскрывающемся списке Операция вы выбрали значение Получить или Установить. Для создания правила сопоставления нажмите на кнопку + Добавить.
Доступные параметры правила сопоставления:
- Поле активного листа – поле активного листа, которое сопоставляется с полем события. Поле не должно содержать специальные символы или только цифры.
- Поле KUMA – поле события, с которым сопоставляется поле активного листа.
- Константа – константа, которая назначается полю активного листа. Вам нужно указать консанту, если в раскрывающемся списке Операция вы выбрали значение Установить.
Вы можете создать несколько правил сопоставления и удалить правила сопоставления. Для удаления правила сопоставления установите рядом с ним флажок и нажмите на кнопку Удалить.

Вы можете создать несколько операций с активными листами, изменить порядок операций с активными листами и удалить операции с активными листами. Для изменения порядка операций с активными листами используйте значки изменения порядка DragIcon . Для удаления операции с активным листом нажмите рядом с ней на значок удаления cross-black .

Обновление контекстных таблиц

Операции с контекстными таблицами. Для создания операции с контекстной таблицей нажмите на кнопку + Добавить действие с контекстной таблицей.

Доступные параметры операции с контекстной таблицей:

Название – контекстная таблица, с которой выполняется операция. Если вы хотите изменить параметры контекстной таблицы, нажмите рядом с ней на значок карандаша .
Обязательный параметр.
Операция – операция, которая выполняется с контекстной таблицей:
- Сложить – прибавить константу, значение поля корреляционного события или значение локальной переменной к значению указанного поля контекстной таблицы. Операция используется только для полей с типом «Число» и «Число с плавающей точкой».
- Установить – записать значения указанных полей корреляционного события в контекстную таблицу, создав новую или обновив существующую запись контекстной таблицы. При обновлении записи контекстной таблицы данные объединяются, и только указанные поля перезаписываются.
- Объединить – дописать значение поля корреляционного события, локальной переменной или константы к существующему значению поля контекстной таблицы.
- Получить – получить поля контекстной таблицы и записать значения указанных полей в корреляционное событие. Поля таблицы типа булево значение и список булевых значений исключаются из сопоставления, потому что в событии нет полей булева типа.
- Удалить – удалить запись из контекстной таблицы.
Обязательный параметр.
Сопоставление – правила сопоставления полей контекстной таблицы с полями событий или переменными. Вы можете использовать правила сопоставления, если в раскрывающемся списке Операция вы не выбрали значение Удалить. Для создания правила сопоставления нажмите на кнопку + Добавить.
Доступные параметры правила сопоставления:
- Поле контекстной таблицы – поле контекстной таблицы, которое сопоставляется с полем события. Вы не можете указать поле контекстной таблицы, которое уже используется в сопоставлении. Вы можете указать табуляцию, специальные символы или только цифры. Максимальное длина названия поля контекстной таблицы составляет 128 символов. Название поля контекстной таблицы не может начинаться с нижнего подчеркивания.
- Поле KUMA – поле события или локальная переменная, с которой сопоставляется поле контекстной таблицы.
- Константа – константа, которая назначается полю контекстной таблицы. Вам нужно указать консанту, если в раскрывающемся списке Операция вы выбрали значение Установить, Объединить или Сложить. Максимальное длина константы составляет 1024 символа.
Вы можете создать несколько правил сопоставления и удалить правила сопоставления. Для удаления правила сопоставления установите рядом с ним флажок и нажмите на кнопку Удалить.

Вы можете создать несколько операций с контекстными таблицами, изменить порядок операций с контекстными таблицами и удалить операции с контекстными таблицами. Для изменения порядка операций с контекстными таблицами используйте значки изменения порядка DragIcon . Для удаления операции с контекстной таблицей нажмите рядом с ней на значок удаления cross-black .

Вкладка Корреляторы

Эта вкладка отображается только при изменении параметров созданного правила корреляции и используется для привязки корреляторов к правилу корреляции.

Для добавления корреляторов нажмите на кнопку + Добавить, в открывшемся окне укажите один или несколько корреляторов и нажмите на кнопку ОК. Правило корреляции будет привязано к указанным корреляторам и добавлено последним в очередь для выполнения в параметрах корреляторов. Если вы хотите изменить позицию правила корреляции в очереди для выполнения, перейдите в раздел Ресурсы → Коррелятор, нажмите на коррелятор, в открывшемся окне перейдите в раздел Корреляция, установите флажок рядом с правилом корреляции и измените позицию правила корреляции, нажимая на кнопки Поднять и Опустить.

Вы можете добавить несколько корреляторов и удалить корреляторы. Для удаления коррелятора установите рядом с ним флажок и нажмите на кнопку Удалить.

В начало