Фильтры

Развернуть все | Свернуть все

Фильтры позволяют выбрать события на основе заданных вами условий.

В сервисе коллектора фильтры используются для того, чтобы выбрать события, которые вы хотите передавать в KUMA. То есть если событие удовлетворяет условию фильтра, событие будет передано в KUMA для дальнейшей обработки.

Фильтры можно использовать в следующих сервисах и функциях KUMA:

• Коллектор.
• Коррелятор.
• Хранилище.
• Агенты KUMA.
• Правила корреляции.
• Правила обогащения.
• Правила агрегации.
• Точки назначения.
• Правила реагирования.
• Правила сегментации.

Можно использовать отдельные фильтры или встроенные фильтры, которые хранятся в сервисе или ресурсе, где они были созданы.

Для этих ресурсов в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов.

Доступные параметры фильтра:

• Название (обязательно) – уникальное имя для этого типа ресурса. Имя должно содержать от 1 до 128 символов Юникода. Встроенные фильтры создаются в других ресурсах или сервисах и не имеют имен.
• Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
• Описание – вы можете добавить до 4000 символов Юникода, описывающих фильтр.
• Блок параметров Условия – здесь вы можете сформулировать критерии фильтрации, создав условия фильтрации и группы фильтров, а также добавив существующие фильтры.

  Для формирования критериев фильтрации вы можете использовать режим конструктора или режим исходного кода. По умолчанию используется режим конструктора.

  В режиме конструктора вы можете создавать или изменять критерии фильтрации с помощью раскрывающихся списков с вариантами условий фильтра и операторов.

  В режиме исходного кода вы можете создавать и изменять поисковые запросы с помощью текстовых команд.

  Вы можете переключаться между режимами при формировании критериев фильтрации. Чтобы переключиться в режим исходного кода, нажмите на кнопку Код. При переключении между режимами созданные фильтры условий сохраняются. Если после привязки созданного фильтра к ресурсу на вкладке Код не отображается код фильтра, перейдите на вкладку Конструктор и вернитесь снова на вкладку Код. Отобразится код фильтра.

Формирование условий в режиме конструктора

Вы можете формировать критерии фильтрации в режиме конструктора с помощью следующих кнопки:

• Добавить условие – добавление строки с полями для определения условия.
• Добавить группу – добавление группы фильтров. Можно переключать групповые операторы между И, ИЛИ, НЕ. В группы фильтров можно добавить группы, условия и существующие фильтры. Условия, помещенные в подгруппу НЕ, объединяются оператором И.

Для замены в сформированном условии оператора вам необходимо нажать на оператор, который вы хотите заменить, и в раскрывающемся списке выбрать новый оператор.

Для удаления в сформированном условии оператора необходимо нажать на оператор, который вы хотите удалить, и нажать на клавишу Backspace.

Для изменения последовательности условий фильтра вам необходимо нажать на кнопку и перетащить условие на новое место.

Условия, группы и фильтры можно удалить, нажав на кнопку .

Параметры условий:

• Если (обязательно) – в этом раскрывающемся списке можно указать, требуется ли использовать инвертированную функцию оператора
• Левый операнд и Правый операнд (обязательно) – используются для указания значений, которые будет обрабатывать оператор. Доступные типы зависят от выбранного оператора.

  Операнды фильтров

  • Поле события – используется для присвоения операнду значения поля события. Дополнительные параметры:
    • поле события (обязательно) – этот раскрывающийся список используется для выбора поля, из которого следует извлечь значение операнда.
  • Активный лист – используется для присвоения операнду значения записи активного листа. Дополнительные параметры:
    • название активного листа (обязательно) – этот раскрывающийся список используется для выбора активного листа.
    • ключевые поля (обязательно) – это список полей событий, используемых для создания записи активного листа и служащих ключом записи активного листа.
    • поле (требуется, если не выбран оператор inActiveList) – используется для ввода имени поля активного листа, из которого следует извлечь значение операнда.
  • Контекстная таблица – используется для присвоения операнду значения контекстной таблицы. Дополнительные параметры:
    • название контекстной таблицы (обязательно) – этот раскрывающийся список используется для выбора контекстной таблицы.
    • ключевые поля (обязательно) – это список полей событий или локальных переменных, используемых для создания записи контекстной таблицы и служащих ключом записи контекстной таблицы.
    • поле – используется для ввода имени поля контекстной таблицы, из которого следует извлечь значение операнда.
    • индекс – используется для ввода индекса списочного поля таблицы, из которого следует извлечь значение операнда.
  • Словарь – используется для присвоения значения операнду значения из ресурса словарь. Дополнительные параметры:
    • словарь (обязательно) – этот раскрывающийся список используется для выбора словаря.
    • ключевые поля (обязательно) – это список полей событий, используемых для формирования ключа значения словаря.
  • Константа – используется для присвоения операнду пользовательского значения. Дополнительные параметры:
    • значение (обязательно) – здесь вы вводите константу, которую хотите присвоить операнду.
  • Таблица – используется для присвоения операнду нескольких пользовательских значений. Дополнительные параметры:
    • словарь (обязательно) – этот раскрывающийся список используется для выбора словаря типа Таблица.
    • ключевые поля (обязательно) – это список полей событий, используемых для формирования ключа значения словаря.
  • Список – используется для присвоения операнду нескольких пользовательских значений. Дополнительные параметры:
    • значение (обязательно) – здесь вы вводите список констант, которые хотите назначить операнду. Когда вы вводите значение в поле и нажимаете ENTER, значение добавляется в список, и вы можете ввести новое значение.
  • TI – используется для чтения данных CyberTrace об угрозах (TI) из событий. Дополнительные параметры:
    • поток (обязательно) – в этом поле указывается категория угрозы CyberTrace.
    • ключевые поля (обязательно) – этот раскрывающийся список используется для выбора поля события с индикаторами угроз CyberTrace.
    • поле (обязательно) – в этом поле указывается поле фида CyberTrace с индикаторами угроз.
• Оператор (обязательно) – используется для выбора оператора условия.

  В этом же раскрывающемся списке можно установить флажок без учета регистра, если требуется, чтобы оператор игнорировал регистр значений. Флажок игнорируется, если выбраны операторы inSubnet, inActiveList, inCategory, InActiveDirectoryGroup, hasBit, inDictionary. По умолчанию флажок снят.

  Операторы фильтров

  • = – левый операнд равен правому операнду.
  • < – левый операнд меньше правого операнда.
  • <= – левый операнд меньше или равен правому операнду.
  • > – левый операнд больше правого операнда.
  • >= – левый операнд больше или равен правому операнду.
  • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
  • contains – левый операнд содержит значения правого операнда.
  • startsWith – левый операнд начинается с одного из значений правого операнда.
  • endsWith – левый операнд заканчивается одним из значений правого операнда.
  • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
  • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

    Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

    Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

  • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

    Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

  • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
  • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
  • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
  • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
  • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
  • inContextTable – присутствует ли в указанной контекстной таблице запись.
  • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.

Доступные типы операндов зависят от того, является ли операнд левым (L) или правым (R).

Доступные типы операндов для левого (L) и правого (R) операндов

Оператор	Тип "поле события"	Тип "активный лист"	Тип "словарь"	Тип "контекстная таблица"	Тип "таблица"	Тип "TI"	Тип "константа"	Тип "список"
=	L,R	L,R	L,R	L,R	L,R	L,R	R	R
>	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
>=	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
<	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
<=	L,R	L,R	L,R	L,R (только при поиске значения таблицы по индексу)	L,R	L	R
inSubnet	L,R	L,R	L,R	L,R	L,R	L,R	R	R
contains	L,R	L,R	L,R	L,R	L,R	L,R	R	R
startsWith	L,R	L,R	L,R	L,R	L,R	L,R	R	R
endsWith	L,R	L,R	L,R	L,R	L,R	L,R	R	R
match	L	L	L	L	L	L	R	R
hasVulnerability	L	L	L	L	L
hasBit	L	L	L	L	L		R	R
inActiveList
inDictionary
inCategory	L	L	L	L	L		R	R
inContextTable
inActiveDirectoryGroup	L	L	L	L	L		R	R
TIDetect

Вы можете использовать при работе с фильтрами горячие клавиши. Описание горячих клавиш приведено в таблице ниже.

Горячие клавиши и их функциональность

Клавиша	Функциональность
e	Вызывает фильтр по полю события
d	Вызывает фильтр по полю словаря
a	Вызывает фильтр по полю активного листа
c	Вызывает фильтр по полю контекстной таблицы
t	Вызывает фильтр по полю таблицы
f	Вызывает фильтр
t+i	Вызывает фильтр c использованием TI
Ctrl+Enter	Завершение редактирования условия

Работа с полями типа строка, число и число с плавающей точкой расширенной схемы событий в фильтрах не отличается от работы с полями схемы событий KUMA.

При использовании фильтров с полями расширенной схемы событий с типами полей Массив строк, Массив целых чисел и Массив чисел с плавающей точкой возможно использование следующих операций:

• Операция contains вернет значение True, если указанная подстрока присутствует в массиве, иначе вернет False.
• Операция match – поиск в строке по регулярному выражению.
• Операция intersec.

При использовании фильтров с полями расширенной схемы событий с типами полей Массив целых чисел и Массив чисел с плавающей точкой возможно использование следующих операций сравнения чисел: <, >, =, >=, <=.

Для обращения к конкретному элементу массива в фильтре необходимо использовать следующий синтаксис: NA.<имя массива>.<номер элемента>

Нумерация элементов массива начинается с 0.

Пример:

NA.ArrayOne.0 – обращение к первому элементу массива чисел ArrayOne.

FA.ArrayTwo.2 – обращение к третьему элементу массива чисел с плавающей точкой ArrayTwo.

Формирование условий в режиме исходного кода

Режим редактора кода позволяет быстро редактировать условия, выделять и копировать блоки кода.

В правой части конструктора отображается навигатор, позволяющий переместиться ко коду фильтра.

Перенос строк выполняется автоматически по логическим операторам И, ИЛИ, НЕ или запятым, являющимися разделителем элементов списка значений.

Для ресурсов, использованных в фильтре, автоматически указывается их наименование. Поля, содержащие наименования связанных ресурсов, нельзя отредактировать. Имена категорий общих ресурсов не отображаются в фильтре, если у вас нет роли Доступ к общим ресурсам.

В поставку OSMP включены перечисленные в таблице ниже фильтры.

Предустановленные фильтры

Название фильтра	Описание
[OOTB][AD] A member was added to a security-enabled global group (4728)	Выбирает события добавления пользователя в группу безопасности (security-enabled global group) Active Directory.
[OOTB][AD] A member was added to a security-enabled universal group (4756)	Выбирает события добавления пользователя в группу безопасности (security-enabled universal group) Active Directory.
[OOTB][AD] A member was removed from a security-enabled global group (4729)	Выбирает события удаления пользователя из группы безопасности (security-enabled global group) Active Directory.
[OOTB][AD] A member was removed from a security-enabled universal group (4757)	Выбирает события удаления пользователя из группы безопасности (security-enabled universal group) Active Directory.
[OOTB][AD] Account Created	Выбирает события создания учетной записи в ОС Windows.
[OOTB][AD] Account Deleted	Выбирает события удаления учетной записи в ОС Windows.
[OOTB][AD] An account failed to log on (4625)	Выбирает события неуспешной попытки входа в ОС Windows.
[OOTB][AD] Successful Kerberos authentication (4624, 4768, 4769, 4770)	Выбирает события успешной попытки входа в ОС Windows и события с идентификаторами 4769, 4770, регистрирующиеся на контроллерах домена.
[OOTB][AD][Technical] 4768. TGT Requested	Выбирает события Microsoft Windows c идентификатором 4768.
[OOTB][Net] Possible port scan	Выбирает события, которые могут говорить о проведении сканирования портов.
[OOTB][SSH] Accepted Password	Выбирает события успешного подключения с использование пароля по протоколу SSH.
[OOTB][SSH] Failed Password	Выбирает события попыток подключения с использование пароля по протоколу SSH.

В начало