Такие события существуют только в рамках коррелятора (служебные события) и не сохраняются в сторадже, их можно поймать только правилом корреляции.
### Сравнение переменной с числовым значением Из строки с REGEX вырезается число и кладется его в переменную, например, для получения SID пользователя из "SID: 1-21-1231-500", получаем "500", кладем в переменную $temp, чтобы сделать сравнение необходимо $temp привести к числовому типу это можно сделать новой переменной `$usersid = $temp + 0` и далее сравнивать, например, `$usersid > 1000` ### Условие с полем TI, сравнение с категорией [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/yRdimage.png) Значение feed это именование фидов из CyberTrace, например для фидов Kaspersky бывают такие значения (зависит какие фиды приобретены/подключены): [](https://kb.kuma-community.ru/uploads/images/gallery/2023-12/uj3image.png) ### Работа с группами AD Необходимо указывать полный DN, пример: [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/vhnimage.png) Условие фильтра: [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/Mk2image.png) ### Актив находится в определенной категории [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/8SNimage.png) ### Работа с полем Extra в селекторе [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/ZJfimage.png) ### Работа с полями типа SA (массив строк) KUMA 3.0+ При операции **match** к полям типа SA применяется как к строке, т.е. массив представляется в виде строки **\["a1", "b2", "c3"\]** и т.д. Т.е. ко всему массиву сразу, а не к отдельным его элементам по очереди. При операции **contains** применяется именно к элементам массива. Т.е. **contains \[** для массива вернет false, как и **contains "** или **'**. Но при этом же, если в массиве есть элемент abc, то contains abc вернет true и contains ab тоже вернет true ## Работа с переменными (KUMA 2.1+) ### Вход в рабочее время [**Документация**](https://support.kaspersky.com/help/KUMA/2.1/ru-RU/234740.htm) по функциям переменных (локальные переменные). Сначала извлекается час из таймштемпа, с помощью функции: *extract\_from\_timestamp(Timestamp, ‘h’, ‘Europe/Moscow’)* [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/0IBimage.png) Условие в селекторе: [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/rytimage.png) Переменные необходимо указывать в группирующих полях: [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/ldsimage.png) ### Работа с Extra Здесь вместо *Event.System.Channel* нужно указать интересующее вас поле экстра. Регулярка: `."Event\.System\.Channel":"([^"]+)".` [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/Dpkimage.png) В некоторых случаях производительней использовать не регулярки, а функции: - $firstIndex=index\_of('(', fieldName) - $lastIndex=index\_of('.', fieldName) - $getSubstring=substring(fieldName, $firstIndex, $lastIndex) ### Работа с контекстной таблицей (KUMA 3.0+) Исходная задача: Необходимо отслеживать, на каких отличных друг от друга устройствах производится вход одной УЗ. (активный лист будет менее удобен т.к. различных устройств может быть > 1) Пример Контестной таблицы: [](https://kb.kuma-community.ru/uploads/images/gallery/2024-06/aFhimage.png) Примеры переменных: Извлечение содержимого поля с массивом `pc` из контекстной таблицы в тенанте `Shared` (только для этого тенанта нужно в переменной это указывать) по ключевому полю `user` и его значением `DestinationUserName`, назовем переменную `ct_value`: ```bash context_table('pc-user@Shared', 'pc', 'user', DestinationUserName) ``` В событии выглядит это так:  Получение индекса (номер символа) по содержимому поля массива `pc` по значению поля `DestinationHostName` из контекстной таблицы в тенанте Shared (только для этого тенанта нужно в переменной это указывать) по ключевому полю user и его значением DestinationUserName, назовем переменную `ct_contains`: ```bash index_of(DestinationHostName, $ct_value) ``` Возвращает первую позицию символа или подстроки в строке, расчет индекса начинается с 0. Если в результате работы функции подстрока не была найдена, функция вернёт значение -9223372036854775808 Вот как выглядит это в событии, значение `ct_contains` в поле FlexNumber1.  Получение количества элементов в поле с массивом `pc` из контекстной таблицы (пример в собтии на рисунке выыше в поле FlexNumber2), назовем переменную `ct_len`: ```bash len($ct_value) ``` Если в содержимом поля с массивом `pc` из контекстной таблицы есть подстока см. выше описание переменной `ct_contains`, то вернуть `true` назовем переменную `ct_item_exist`: ```bash conditional(`$ct_contains LIKE '-.*'`, 'false', 'true') ``` Вот как выглядит это в событии, значение `ct_item_exist` в поле FlexString2.  ### Как записать значение из нескольких событий в одно поле в правиле корреляции типа Standard В обогащении можнонаписать шаблон, в котором можно пройтись по всем подсобытиям и получить список всех полей. Дальше уже с помощью функционала Go template можете сделать что хотите. Для правильной работы метода keep event policy в правиле корреляции должна иметь значение all. В данном примере можно получить в строку все значения SourceAddress из базовых событий через ";" в корреляционном событии.  На выходе получается примерно следующее 