Параметры правил сегментации

Правила сегментации создаются в разделе Ресурсы → Правила сегментации веб-интерфейса KUMA.

Доступные параметры:

Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
Тип (обязательно) – тип правила сегментации. Доступные значения:
- По фильтру – алерты создаются, если корреляционные события соответствуют условиям фильтра, заданным в блоке параметров Фильтр.
  С помощью кнопки Добавить условие можно добавить строку с полями для определения условия. С помощью кнопки Добавить группу можно добавить группу фильтров. Можно переключать групповые операторы между И, ИЛИ, НЕ. В группы фильтров можно добавить другие группы условий и отдельные условия. Условия и группы можно менять местами, перетягивая их за значок , а также удалять с помощью значка .
  - Левый операнд и Правый операнд – используются для указания значений, которые будет обрабатывать оператор.
    В левом операнде указываются названия полей событий, которые обрабатывает фильтр.
    
    В правом операнде можно выбрать тип значения – константа или список, – а также указать само значение.
  - Доступные операторы
    - = – левый операнд равен правому операнду.
    - < – левый операнд меньше правого операнда.
    - <= – левый операнд меньше или равен правому операнду.
    - > – левый операнд больше правого операнда.
    - >= – левый операнд больше или равен правому операнду.
    - inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
    - contains – левый операнд содержит значения правого операнда.
    - startsWith – левый операнд начинается с одного из значений правого операнда.
    - endsWith – левый операнд заканчивается одним из значений правого операнда.
    - match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
    - TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
- По группирующим полям – алерт создается, если корреляционное событие содержит поля событий, указанные в блоке параметров Группирующие поля правила корреляции.
  Поля добавляются с помощью кнопки Добавить поле. Добавленные поля можно удалить, нажав на значок креста или на кнопку Сбросить.
  
  Пример использования группирующих полей
  Правило, детектирующее сканирование сети, создаст только один алерт, даже если в сети есть несколько устройств, сканирующих сеть. Если создать правило сегментации обнаружений по группирующему полю событий SourceAddress, а затем привязать это правило сегментации к правилу корреляции, при срабатывании правила будут созданы алерты для каждого адреса, с которого происходит сканирование.
  
  В этом примере, если правило корреляции называется "Network. Possible port scan", а в ресурсе правила сегментации в качестве шаблона именования обнаружений указано "from {{.SourceAddress}}", будут созданы алерты такого вида:
  - Network. Possible port scan (from 10.20.20.20 <Дата создания алерта>)
  - Network. Possible port scan (from 10.10.10.10 <Дата создания алерта>)
- По количеству событий – алерт создается, если количество корреляционных событий в предыдущем алерте превысило значение, указанное в поле Количество корреляционных событий.
Шаблон именование алертов (обязательно) – шаблон, по которому будут получать название алерты, создаваемые по этому правилу сегментации. Значение по умолчанию: {{.Timestamp}}.
В поле шаблона можно указывать текст, а также поля события в формате {{.<название поля события>}}. При формировании названия алерта вместо названия поля события будет подставляться содержащееся в нем значение.

Название алерта, созданного с помощью правил сегментации, имеет следующий формат: "<Название правила корреляции, создавшего алерт> (<текст из поля шаблона именования алертов> <дата создания алерта>)".
Описание – описание ресурса: до 4000 символов в кодировке Unicode.

В начало