Правила сегментации

Правила сегментации позволяют автоматически разделять связанные алерты на отдельные инциденты в зависимости от заданных условий.

Вы можете использовать правила сегментации для создания отдельных инцидентов на основе связанных алертов. Например, вы можете объединить несколько алертов с важной отличительной чертой в отдельный инцидент.

Алерты могут быть связаны только с инцидентом, принадлежащим тому же тенанту.

Когда вы пишете выражение jq при создании правила сегментации, может появиться ошибка о недопустимом выражении, хотя выражение является корректным. Эта ошибка не блокирует создание правила сегментации. Это известная ошибка.

Чтобы создать правило сегментации:

  1. В главном окне программы перейдите в раздел Параметры → Тенанты.
  2. Нажмите на тенант, для которого вы хотите создать правило сегментации.
  3. На вкладке Параметры выберите раздел Правила сегментации.
  4. Нажмите на кнопку Создать.

    Откроется окно Правило сегментации.

  5. Укажите параметры правила сегментации:
    • Статус.

      Включите или выключите правило.

    • Имя правила.

      Укажите уникальное имя правила. Имя должно содержать от 1 до 255 символов Юникода.

    • Максимальное количество алертов в инциденте.

      Максимальное количество алертов в одном инциденте. Если количество алертов превышает указанное значение, создается другой инцидент.

    • Минимальное количество алертов в инциденте.

      Минимальное количество алертов в одном инциденте. Если количество алертов не достигает указанного значения, инцидент не создается.

    • Имя инцидента (шаблон).

      Выражение jq, определяющее шаблон наименований инцидентов, созданных в соответствии с этим правилом сегментации.

      Пример: "Malware Detected with MD5 \(.Observables[] | select(.Type == "md5") | .Value)"

    • Интервал поиска.

      Период, из которого следует выбирать алерты и инциденты.

    • Описание.

      Описание правила (необязательный параметр).

    • Триггер.

      Выражение jq, определяющее условие включения алертов в инцидент.

      Пример: .Rules[].Name | . == "R077_02_KSC. Malware detected"

      Вы также можете добавить условие включения в инцидент только тех алертов, которые содержат объекты КИИ заданных категорий.

      Пример: any(.Assets[]?.CIICategory; . == "ciiWithoutCategory" or . == "ciiFirstCategory" or . == "ciiSecondCategory" or . == "ciiThirdCategory")

    • Группы.

      Выражение jq, определяющее массив строковых идентификаторов, по которым алерты назначаются инцидентам.

      Пример: [.Observables[] | select(.Type == "md5") | .Value ]

  6. Нажмите на кнопку Save.

Правило сегментации сохранится и отобразится в таблице правил. При необходимости вы можете изменить правило, нажав на его имя в таблице.

Правила сегментации располагаются в таблице в порядке убывания приоритета.

Когда алерт создан, он проверяется всеми активными правилами сегментации из таблицы в соответствие с приоритетом правил. После срабатывания первого подходящего правила формируется массив строковых идентификаторов для алерта и начинается поиск инцидента, в который будет включен алерт.

Правило сегментации срабатывает, если выражение jq, которое вы указали в триггере, возвращает true.

Невозможно связать алерт с инцидентом, созданным вручную.

Инцидент также имеет массив, который состоит из массивов алертов, связанных с этим инцидентом. Если в массиве алерта, для которого сработало правило сегментации, есть хотя бы один элемент, совпадающий с каким-либо из элементов массива инцидента, то алерт связывается с инцидентом. В результате массив этого алерта добавляется в массив инцидента.

Если есть несколько инцидентов с совпадающими элементами в массиве, алерт соединяется с инцидентом, у которого самое позднее время обновления. Если нет инцидентов с совпадающими элементами в массиве, создается инцидент.

Когда инцидент новый, его массив пустой. Такой инцидент принимает массив алерта, который к нему присоединяется.

В начало