Фильтры

Фильтры используются для выбора событий на основе определенных пользователем условий.

Это неверно только тогда, когда фильтры используются в сервисе коллектор, где они выбирают все события, которые НЕ удовлетворяют условиям фильтра.

Фильтры можно использовать в следующих сервисах и функциях KUMA:

• Коллектор.
• Коррелятор.
• Хранилище.
• Агенты KUMA.
• Правила корреляции.
• Правила обогащения.
• Правила агрегации.
• Точки назначения.
• Правила реагирования.
• Правила сегментации.

Можно использовать отдельные фильтры или встроенные фильтры, которые хранятся в сервисе или ресурсе, где они были созданы.

Для этих ресурсов в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов.

Доступные параметры фильтра:

• Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. Встроенные фильтры создаются в других ресурсах или сервисах и не имеют имен.
• Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
• Описание – вы можете добавить до 4000 символов в кодировке Unicode, описывающих фильтр.
• Блок параметров Условия – здесь вы можете сформулировать критерии фильтрации, создав условия фильтрации и группы фильтров, а также добавив существующие фильтры.

  С помощью кнопки Добавить группу можно добавить группу фильтров. Можно переключать групповые операторы между И, ИЛИ, НЕ. В группы фильтров можно добавить группы, условия и существующие фильтры. Условия, помещенные в подгруппу НЕ, объединяются оператором И.

  С помощью кнопки Добавить фильтр можно добавить существующий фильтр, который следует выбрать в раскрывающемся списке Выберите фильтр.

  С помощью кнопки Добавить условие можно добавить строку с полями для определения условия (см. ниже).

  Условия, группы и фильтры можно удалить с помощью кнопки .

Параметры условий:

• Если (обязательно) – в этом раскрывающемся списке можно указать, требуется ли использовать инвертированную функцию оператора
• Левый операнд и Правый операнд (обязательно) – используются для указания значений, которые будет обрабатывать оператор. Доступные типы зависят от выбранного оператора.

  Операнды фильтров

  • Поле события – используется для присвоения операнду значения поля события. Дополнительные параметры:
    • поле события (обязательно) – этот раскрывающийся список используется для выбора поля, из которого следует извлечь значение операнда.
  • Активный лист – используется для присвоения операнду значения записи активного листа. Дополнительные параметры:
    • название активного листа (обязательно) – этот раскрывающийся список используется для выбора активного листа.
    • ключевые поля (обязательно) – это список полей событий, используемых для создания записи активного листа и служащих ключом записи активного листа.
    • поле (требуется, если не выбран оператор inActiveList) – используется для ввода имени поля активного листа, из которого следует извлечь значение операнда.
  • Контекстная таблица – используется для присвоения операнду значения контекстной таблицы. Дополнительные параметры:
    • название контекстной таблицы (обязательно) – этот раскрывающийся список используется для выбора контекстной таблицы.
    • ключевые поля (обязательно) – это список полей событий или локальных переменных, используемых для создания записи контекстной таблицы и служащих ключом записи контекстной таблицы.
    • поле – используется для ввода имени поля контекстной таблицы, из которого следует извлечь значение операнда.
    • индекс – используется для ввода индекса списочного поля таблицы, из которого следует извлечь значение операнда.
  • Словарь – используется для присвоения значения операнду значения из ресурса словарь. Дополнительные параметры:
    • словарь (обязательно) – этот раскрывающийся список используется для выбора словаря.
    • ключевые поля (обязательно) – это список полей событий, используемых для формирования ключа значения словаря.
  • Константа – используется для присвоения операнду пользовательского значения. Дополнительные параметры:
    • значение (обязательно) – здесь вы вводите константу, которую хотите присвоить операнду.
  • Таблица – используется для присвоения операнду нескольких пользовательских значений. Дополнительные параметры:
    • словарь (обязательно) – этот раскрывающийся список используется для выбора словаря типа Таблица.
    • ключевые поля (обязательно) – это список полей событий, используемых для формирования ключа значения словаря.
  • Список – используется для присвоения операнду нескольких пользовательских значений. Дополнительные параметры:
    • значение (обязательно) – здесь вы вводите список констант, которые хотите назначить операнду. Когда вы вводите значение в поле и нажимаете ENTER, значение добавляется в список, и вы можете ввести новое значение.
  • TI – используется для чтения данных CyberTrace об угрозах (TI) из событий. Дополнительные параметры:
    • поток (обязательно) – в этом поле указывается категория угрозы CyberTrace.
    • ключевые поля (обязательно) – этот раскрывающийся список используется для выбора поля события с индикаторами угроз CyberTrace.
    • поле (обязательно) – в этом поле указывается поле фида CyberTrace с индикаторами угроз.
• Оператор (обязательно) – используется для выбора оператора условия.

  В этом же раскрывающемся списке можно установить флажок без учета регистра, если требуется, чтобы оператор игнорировал регистр значений. Флажок игнорируется, если выбраны операторы inSubnet, inActiveList, inCategory, InActiveDirectoryGroup, hasBit, inDictionary. По умолчанию флажок снят.

  Операторы фильтров

  • = – левый операнд равен правому операнду.
  • < – левый операнд меньше правого операнда.
  • <= – левый операнд меньше или равен правому операнду.
  • > – левый операнд больше правого операнда.
  • >= – левый операнд больше или равен правому операнду.
  • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
  • contains – левый операнд содержит значения правого операнда.
  • startsWith – левый операнд начинается с одного из значений правого операнда.
  • endsWith – левый операнд заканчивается одним из значений правого операнда.
  • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
  • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

    Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

    Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

  • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

    Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

  • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
  • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
  • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
  • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
  • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.

Доступные типы операндов зависят от того, является ли операнд левым (L) или правым (R).

Доступные типы операндов для левого (L) и правого (R) операндов

Оператор	Тип "поле события"	Тип "активный лист"	Тип "словарь"	Тип "контекстная таблица"	Тип "таблица"	Тип "TI"	Тип "константа"	Тип "список"
=	L,R	L,R	L,R	L,R	L,R	L,R	R	R
>	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
>=	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
<	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
<=	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
inSubnet	L,R	L,R	L,R	L,R	L,R	L,R	R	R
contains	L,R	L,R	L,R	L,R	L,R	L,R	R	R
startsWith	L,R	L,R	L,R	L,R	L,R	L,R	R	R
endsWith	L,R	L,R	L,R	L,R	L,R	L,R	R	R
match	L	L	L	L	L	L	R	R
hasVulnerability	L	L	L	L	L
hasBit	L	L	L	L	L		R	R
inActiveList
inDictionary
inCategory	L	L	L	L	L		R	R
inContextTable
inActiveDirectoryGroup	L	L	L	L	L		R	R
TIDetect

В поставку KUMA включены перечисленные в таблице ниже фильтры.

Предустановленные фильтры

Название фильтра	Описание
[OOTB][AD] A member was added to a security-enabled global group (4728)	Выбирает события добавления пользователя в группу безопасности (security-enabled global group) Active Directory.
[OOTB][AD] A member was added to a security-enabled universal group (4756)	Выбирает события добавления пользователя в группу безопасности (security-enabled universal group) Active Directory.
[OOTB][AD] A member was removed from a security-enabled global group (4729)	Выбирает события удаления пользователя из группы безопасности (security-enabled global group) Active Directory.
[OOTB][AD] A member was removed from a security-enabled universal group (4757)	Выбирает события удаления пользователя из группы безопасности (security-enabled universal group) Active Directory.
[OOTB][AD] Account Created	Выбирает события создания учетной записи в ОС Windows.
[OOTB][AD] Account Deleted	Выбирает события удаления учетной записи в ОС Windows.
[OOTB][AD] An account failed to log on (4625)	Выбирает события неуспешной попытки входа в ОС Windows.
[OOTB][AD] Successful Kerberos authentication (4624, 4768, 4769, 4770)	Выбирает события успешной попытки входа в ОС Windows и события с идентификаторами 4769, 4770, регистрирующиеся на контроллерах домена.
[OOTB][AD][Technical] 4768. TGT Requested	Выбирает события Microsoft Windows c идентификатором 4768.
[OOTB][Net] Possible port scan	Выбирает события, которые могут говорить о проведении сканирования портов.
[OOTB][SSH] Accepted Password	Выбирает события успешного подключения с использование пароля по протоколу SSH.
[OOTB][SSH] Failed Password	Выбирает события попыток подключения с использование пароля по протоколу SSH.

В начало