Порогові правила
Порогове правило дає змогу створювати інциденти, якщо за певний період часу ініційовано певну кількість виявлень. Переглянути приклади порогових правил можна в цій темі.
Визначення
Порогове правило визначається таким чином: <threshold threshold="3" interval="10m">
Параметр threshold визначає, скільки разів має ініціюватися виявлення, щоб система створила інцидент.
Параметр interval визначає інтервал часу, протягом якого мають ініціюватися виявлення, щоб система створила інцидент. Порогове правило включатиме всі виявлені об’єкти, які відповідають умовам і перебувають у межах інтервалу інциденту.
Якщо після створення інциденту буде отримано інші виявлені об’єкти, що відповідають умовам і все ще перебувають у межах інтервалу, система оновить інцидент, щоб включити їх.
Можливий формат інтервалу:
•д — день;
•год — година;
•хв — хвилина;
•с — секунда;
•мс — мілісекунда;
•мкс — мікросекунда.
Визначення виявленого об’єкта
<definition> <process> <operator type="or"> <condition component="FileItem" property="FileName" condition="is" value="notepad.exe"/> <condition component="FileItem" property="FileName" condition="is" value="cmd.exe"/> </operator> </process>
<operations> <operation type="Detection"> <operator type="or"> <condition component="InspectDetection" property="RuleName" condition="contains" value="PB000"/> <condition component="InspectDetection" property="RuleName" condition="contains" value="PB001"/> </operator> </operation> </operations>
</definition> |
У цьому визначенні можна використовувати операції і теги process та parentprocess, щоб указати умови для створення інциденту. Ця частина правила не є специфічною для порогових правил та оцінюється так само, як і будь-яке інше визначення правила.
Оцінені виявлені об’єкти завжди відображаються в розділі операцій, який може містити компоненти InspectDetection і Endpoint.
Єдиний тип оператора, який має значення в цьому пороговому правилі — це or.
AggregateOn
<aggregateOn> <property name="ParentProcess"/> </aggregateOn> |
AggregateOn — необов’язковий тег. Він дає змогу об’єднувати виявлені об’єкти на основі використаної властивості. Усі типи агрегації передбачають комп’ютерну агрегацію. Наприклад, якщо використовується значення process, разом оцінюватимуться лише виявлені об’єкти з одного комп’ютера й одного процесу.
Можливі значення:
•Комп'ютер
•Процесор
•ParentProcess
Кардинальність
<cardinality> <property name="ruleName" value="2" /> </cardinality> |
Кардинальність — необов’язкове значення. Воно перевіряє унікальність виявлених об’єктів. У наведеному вище прикладі, щоб порогове правило спрацювало, має бути виявлено об’єкти від щонайменше двох різних правил.
Можливі значення:
•computerName
•ruleName
Дії
<actions> <action name="ReportIncident" /> </actions> |
Підтримується лише дія ReportIncident. Якщо її не зазначено, порогове правило не створюватиме й не оновлюватиме інциденти. Система ігнорує аргументи, відмінні від name (aggregateOn і aggregationParameter), коли вони використовуються в пороговому правилі.
Час закінчення терміну дії
Старі виявлені об’єкти можуть надходити на сервер пізніше. Їх потрібно додавати до відповідного інциденту, якщо він існує. Оскільки оцінка старих виявлених об’єктів є небажаною, час закінчення цієї дії за замовчуванням — 24 години. Його можна змінити у файлі .ini у значенні Server.EirExpirationInterval.
Якщо виявлений об’єкт старіший за EirExpirationInterval, він не оцінюватиметься.
Якщо інцидент старіший за EirExpirationInterval, до нього не додаватимуться нові виявлені об’єкти.