Skip to main content

Приемы в правилах корреляции

Сравнение с константой

image.png

Сравнение с листом/списком


Аналогично =константе ИЛИ =константе

image.png

Содержит список константу регистронезависимый


Ищется заданная подстрока %%2091”whoami” или "ipconfig" и др в занчении поля DeviceCustomString6DestinationProcessName

image.pngimage.png

Соответствие регулярному выражению (REGEX)


Должно быть условие регулярного выражения в формате RE2

image.png

Работа с подсетями

image.png

Содержит любое значение (не пустое)

image.png

Активный лист содержит ключ


Ключ листа должен совпадать со значением поля Message

image.png

Сравнение по экстра данным в активном листе (неключевому полю)


Где threat_score > 70

image.png

 

Условие с полем TI, сравнение с категорией

image.png

Фильтр по количеству записей по ключу в активном листе


Где количество записей > 1, используется служебная переменная _count

image.png

Другие служебные поля активных листов:

  • _count (счетчик количества записей)
  • _created (время создания записи UnixTime, в наносекундах)
  • _updated (время обновления записи UnixTime, в наносекундах)
  • _expires (время окончания жизни записи UnixTime, в наносекундах)
  • _key (значение ключевой записи)

Событие истечения времени жизни в активном листе

Возникает служебное событие active list record expired, помимо этого необходимо указать UUID активного листа в поле DeviceExternalID

image.png

Значение ключевого поля передатся в DevicePayloadID служебного события.

Работа с активным листом не по его ID

Если указывать ID листа неудобно (а это обычно так), то можно в ключевое поле писать уникальный префикс типа "failed login attempts|username|1.1.1.1" и в события ловить по полю devicePayloadID функцией startsWith "failed login attempts" такой вариант реализации правила не зависит от инсталляции.

Такие события существуют только в рамках коррелятора (служебные события) и не сохраняются в сторадже, их можно поймать только правилом корреляции.

Работа с группами AD


Необходимо указывать полный DN, пример:

image.png

Условие фильтра:

image.png

Актив находится в определенной категории

image.png

Работа с полем Extra в селекторе

image.png

Вход в рабочее время, работа с переменной


Документация по функциям переменных.

Сначала извлекается час из таймштемпа, с помощью функции: extract_from_timestamp(Timestamp, ‘h’, ‘Europe/Moscow’)

image.png

Условие в селекторе:

image.png

Переменные необходимо указывать в группирующих полях:

image.png

Работа с Extra в переменной


Здесь вместо Event.System.Channel нужно указать интересующее вас поле экстра. Регулярка: ."Event\.System\.Channel":"([^"]+)".

image.png


Back to top