Приемы в правилах корреляции

Сравнение с константой

 

Сравнение с листом

Аналогично =константе ИЛИ =константе

 

Содержит константу

Ищется заданная подстрока “%%2091” в занчении поля DeviceCustomString6

 

Соответствие регулярному выражению (REGEX)

Должно быть условие регулярного выражения в формате RE2

 

Работа с подсетями

 

Содержит любое значение (не пустое)

 

Активный лист содержит ключ

Ключ листа должен совпадать со значением поля Message

 

Сравнение по экстра данным в активном листе (неключевому полю)

Где threat_score > 70

 

Фильтр по количеству записей по ключу в активном листе

Где количество записей > 1, используется служебная переменная _count

Другие служебные поля активных листов:

• _count (счетчик количества записей)
• _created (время создания записи UnixTime)
• _updated (время обновления записи UnixTime)
• _expires (время окончания жизни записи UnixTime)
• _key (значение ключевой записи)

 

Событие истечения времени жизни в активном листе

Возникает служебное событие active list record expired, помимо этого необходимо указать UUID активного листа в поле DeviceExternalID

Значение ключевого поля передатся в DevicePayloadID служебного события.

 

Работа с группами AD

Необходимо указывать полный DN, пример:

Условие фильтра:

 

Актив находится в определенной категории

 

Работа с полем Extra в селекторе

 

Вход в рабочее время, работа с переменной

Документация по функциям переменных.

Сначала извлекается час из таймштемпа, с помощью функции: extract_from_timestamp(Timestamp, ‘h’, ‘Europe/Moscow’)

Условие в селекторе:

Переменные необходимо указывать в группирующих полях:

 

Работа с Extra в переменной

Здесь вместо Event.System.Channel нужно указать интересующее вас поле экстра. Регулярка: ."Event\.System\.Channel":"([^"]+)".