Перейти к содержанию

Шаблоны "алертов"

Общие данные

При настройке правила корреляции вы можете использовать заранее подготовленные шаблоны "алертов", в которых можно настроить следующее поведение при сработке правила:

  • присвоение уровня риска;
  • автоматическое создание инцидента;
  • автоматическое назначение инцидента пользователю.

Для работы с шаблонами "алертов" перейдите в раздел КорреляторШаблоны алертов и выберите шаблон из списка (см. рисунок 1).

Рисунок 1 -- Раздел "Шаблоны алертов"

Создание шаблона "алерта"

  1. Нажмите кнопку . Откроется окно "Создать шаблон" (см. рисунок 2).

    Рисунок 2 -- Окно "Создать шаблон"

  2. Укажите в окне следующую информацию:

    • в поле Название шаблона укажите название шаблона "алерта";
    • в поле Уровень риска выберите цифровое обозначение уровня риска, которое будет присвоено "сработке" правила;
    • установите флаг Создать инцидент если необходимо автоматически создавать инцидент на основании "сработки" правила;
    • установите флаг Назначить инцидент пользователю если необходимо автоматически назначать инцидент пользователю;

    • выберите количество событий, которые необходимо записывать в журнал:

      • если вы хотите записывать только первое и последнее событие, то установите соответствующий флаг;
      • в обратном случае укажите необходимое значение в поле Логировать указанное число событий.

    • в поле IP актива из выпадающего списка выберите поле, которое будет выступать в качестве IP-адреса актива. Поле может являться частью сводной таблицы событий;

    • в поле FQDN актива из выпадающего списка выберите поле, которое будет выступать в качестве наименования домена актива. Поле может являться частью сводной таблицы событий;
    • в поле Hostname актива из выпадающего списка выберите поле, которое будет выступать в качестве наименования хоста актива. Поле может являться частью сводной таблицы событий;
    • в поле MAC актива из выпадающего списка выберите поле, которое будет выступать в качестве MAC-адреса актива. Поле может являться частью сводной таблицы событий;
    • в поле Техники Mitre - укажите через запятую идентификаторы техник, используемых киберпреступниками, которые описаны в базе знаний компании Mitre (подробнее см. Techniques - Enterprise | MITRE ATT&CK®);
    • в поле Шаблон укажите дополнительную информацию об "алерте".

  3. Нажмите кнопку Создать.

Редактирование шаблона "алерта"

  1. Выберите из списка необходимый шаблон и нажмите кнопку Редактировать.
  2. Внесите необходимые изменения.
  3. Нажмите кнопку Сохранить.

Дублирование шаблона "алерта"

  1. Выберите из списка необходимый шаблон и нажмите кнопку Дублировать. Откроется окно "Дублировать шаблон алерта" (см. рисунок 3).

    Рисунок 3 -- Окно "Дублировать шаблон алерта"

  2. Укажите в окне наименование шаблона.

  3. Нажмите кнопку Дублировать.

Удаление шаблона "алерта"

  1. Выберите из списка необходимый шаблон и нажмите кнопку Удалить.
  2. Подтвердите удаление в открывшемся окне.
  3. Шаблон алерта будет удален из платформы.

Массовое удаление шаблонов "алертов"

  1. Нажмите на кнопку . Откроется список массовых операций и флаги для выбора шаблонов (см. рисунок 4).

    Рисунок 4 -- Массовые действия над шаблонами

  2. Выберите шаблоны, которые необходимо удалить.

  3. Нажмите кнопку Удалить.
  4. Подтвердите удаление в открывшемся окне.
  5. Для удаления всех шаблонов нажмите кнопку Удалить все.