Стандартное правило (standard)

“"Обновить ~~параметры”~~параметры" нужно делать в корреляторе, когда какое-либо правило меняется, чтобы подтянулись актуальные изменения в правилах в коррелятор.

Стандартное правило (standard) — срабатывает при достижении определенного порогового значения группы событий, которые удовлетворяют условиям селектора, полей группировки событий (на основе значений поля создается группа) и времени жизни контейнера для группы.

Если частота срабатывания (Rate limiting) явна не указана, то устанавливается лимит умолчанию - 100 срабатываний в секунду. При превышении лимита правило ничего не делает.

Политика хранения базовых событий (Base events keep policy) - указание, какие из базовых событий должны сохраняться в корреляционном. Возможно указать одно из значений:

first (по умолчанию) - сохранять только первое базовое событие от каждого селектора в корреляционном событии
last - сохранять только последнее базовое событие от каждого селектора в корреляционном событии
all - сохранять все базовые события в корреляционном событии

Типовой пример ~~правила:~~правила (обнаружение сканирования портов, перебор портов >30 назначения, от одного адреса источника и назначения в течение 60 секунд):

~~Возможные~~Другие ~~действия~~подходящие ~~(допускается~~примеры ~~указать~~для ~~одно~~стандартных ~~или более) правила:~~правил:

Onпросто ~~first~~много ~~threshold~~обращений —к ~~создавать~~опасным ~~корреляционное~~URL: ~~событие~~с ~~только~~разных ~~после первого превышения порога, а двукратное, трехкратное~~компьютеров и ~~т.д.~~к ~~превышение~~разным ~~порога за время жизни группы игнорировать.~~URL
Onмного ~~every~~обращений ~~threshold~~к —одному ~~создавать~~и ~~корреляционное~~тому ~~событие~~же ~~после~~опасному ~~каждого~~URL ~~превышения~~с ~~порога~~разных ~~за время жизни группы.~~компьютеров
Onмного ~~subsequent~~обращений ~~threshold~~к —опасным ~~создавать~~URL, ~~корреляционные~~в ~~событие~~том ~~при~~числе ~~всех~~разным, ~~превышениях~~с ~~порога,~~одного ~~кроме первого.~~компьютера
Onмного timeout — в стандартных правилах есть еще возможность настройки действий по окончании времени жизни группы. Это действие используется в связкеобращений с ~~опцией Recovery (Обнуление) в настройках селектора, в каких случаях это уместно~~одного и ~~как~~того ~~именно~~же ~~это~~компьютера ~~работает~~к ~~рассматривается~~одному ~~ниже.~~и тому же опасному URL

~~Необходимо~~Стандартные ~~указывать~~правила разбивают все анализируемые события на группы (так называемые «корзины», buckets) с совпадающими значениями полей, перечисленных в параметре Группируемые поля (Identical fields) и ~~переменные~~затем ~~участвующие~~обрабатывает каждую группу независимо от других. Критерии срабатывания применяются отдельно в ~~селекторах~~каждой втакой ~~группирующих/уникальных~~группе. ~~полях.~~

~~Можно также использовать~~ ~~несколько селекторов~~. Например, несколько неудачных попыток брутфорса (ловится на основе сработки другого правила корреляции) и успешный вход.

~~Пример~~ ~~правила с несколькими селекторами:~~

~~Можно также~~ ~~рекавери правило~~. Например, когда событие типа «Вредоносное ПО удалено» не обнаружено в течение 5 минут после получения события «Вредоносное ПО обнаружено».

Бакет (Окно корреляции):

Бакет открывается на событие из любого селектора, не важно в каком они порядке в правиле, порядок проверяется после наполнения бакета!
Для каждого набора Identical Fields создается свой бакет.
Когда событие подпадает под селектор, коррелятор смотрит, есть ли уже бакет с нужным набором полей Identical Fields, если нет - создает, если есть - событие отправляется в существующий.
Когда под селектор с Unique fields подпадает событие, то проверяется, есть ли уже в бакете события с таким же набором значений для Unique Fields, если есть, то событие не учитывается.

Пример для Identical Fields с полями RequestUrl и SourceAddress:

В более общем смысле параметр Время жизни контейнера (Window) определяет время жизни группы. Принцип такой:

identical fields определяет, на какие группы разбивать события селекторы определяют, какие событие будут включены в группы (если событие не соответствует ни одному селектору, оно не попадет ни в одну группу) если событие соответствует селектору и уже есть группа с таким же набором значений идентичных полей, как в событии, событие добавляется в эту группу если событие соответствует селектору, но его значения идентичных полей не соответствуют ни одной группе, создается новая группа с временем жизни, заданным параметром Window по истечении времени жизни группы, группа удаляется если позже поступает новое событие с набором значений идентичных параметров группы, которой больше нет, создается новая группа и отсчет времени жизни начинается заново

Т.е. все свое время жизни (или окно наблюдения) группа накапливает события, после чего удаляется, и накопление событий может начаться заново. Для каждой комбинации значений идентичных полей это происходит параллельно и независимо.

Правило срабатывает, если группа за время жизни накапливает число событий, указанное в параметре Порог срабатывания (Threshold) селектора.

В общих настройках стандартного правила есть еще параметр Уникальные поля (Unique fields). Он не является обязательным, но он позволяет считать в группах только события с уникальными значениями выбранных полей.

При добавлении событий в группу правило будет сравнивать значение уникальных полей нового события со значениями уникальных полей событий, которые уже есть в группе. Если комбинация значений уникальных полей нового событий уже встречается у одного из событий в группе, новое событие отбрасывается и в группу не попадает.

Возможные действия (допускается указать одно или более) правила:

On first threshold — создавать корреляционное событие только после первого превышения порога, а двукратное, трехкратное и т.д. превышение порога за время жизни группы игнорировать. Например, если при пороге 3 за 30 секунд группа накопит 10 событий, корреляционное событие все равно будет одно - после третьего накопленного события On every threshold — создавать корреляционное событие после каждого превышения порога за время жизни группы. Если группа накопит 10 событий при пороге 3, будет создано 3 корреляционных события: после 3-го, 6-го и 9-го события в группе On subsequent threshold — создавать корреляционные событие при всех превышениях порога, кроме первого. Например, при пороге 3 после 6-го, 9-го и т.д. события. Так можно по-разному реагировать на первое переполнение порога и последующие. Например, можно настроить отправлять на вход коррелятора только первое корреляционное событие, но в хранилище писать все. Или пополнять активный список только данными из первого события, а при последующих превышениях порога этого не делать, так как в последующих событиях нет новых артефактов для списка On timeout — в стандартных правилах есть еще возможность настройки действий по окончании времени жизни группы. Это действие используется в связке с опцией Recovery (Обнуление) в настройках селектора, в каких случаях это уместно и как именно это работает рассматривается ниже.

Необходимо указывать все поля и переменные участвующие в селекторах в группирующих/уникальных полях.

Можно также использовать несколько селекторов. Например, несколько неудачных попыток брутфорса (ловится на основе сработки другого правила корреляции) и успешный вход.

Пример правила с несколькими селекторами:

Можно также рекавери правило. Например, когда событие типа «Вредоносное ПО удалено» не обнаружено в течение 5 минут после получения события «Вредоносное ПО обнаружено».

Recovery селектор (Обнуление):

Бакет открывается только на событие из обычного селектора, на событие из recovery-селектора бакет не открывается никогда!
Место нахождения селектора с recovery не имеет значения, как только в бакет попадут все нужные recovery-события бакет будет закрыт!
На recovery-селектор не влияет настройка фильтра Order By.
Если нужно, чтобы произошло событие А, и не произошло событие Б, при этом событие Б может произойти раньше А, нужно использовать активные листы, т.к. с помощью recovery-селектора такой логики не достичь (см п.1).