Привила корреляции

Для работы с правилами корреляции перейдите в раздел Коррелятор → Правила корреляции и выберите правило из списка (см. рисунок 1).

Рисунок 1 -- Раздел "Правила корреляции"

Раздел состоит из следующих блоков:

• Список правил корреляции, в котором отображается следующая информация о правилах:
  • название правила;
  • состояние правила: активно, неактивно;
  • дата последнего изменения правила;
  • количество сработок;
  • количество ошибок.
• Основное, в котором отображается общая информация о выбранном правиле.
• Статистика работы правила, в котором отображается следующая информация:
  • "Инциденты" - список инцидентов, созданных на основании сработавшего правила;
  • "Результаты" - список "сработок" привила;
  • "Лог изменений" - история изменения правила;
  • "Лог ошибок" - история возникновения ошибок при работе правила;
  • "Метрики" - визуализация информации о "сработках" правила в виде графиков.

В разделе доступны следующие элементы управления:

Кнопка	Действие
	добавление правила
	настройка сортировки правил и фильтров для поиска. Спецсимвол в правом верхнем углу кнопки означает, что в данный момент применена сортировка или фильтр.
	доступ к следующим действиям над правилами: - включение массовых операций; - удалить; выбранные; - удалить все; - экспортировать выбранные; - экспортировать все; - импортировать.
	копирование уникального идентификатора правила
	изменение состояния правила: активное, неактивное
	перезапустить привило
	редактирование правила
	доступ к следующим действиям над правилами: - дублирование; - удаление. - конвертирование в Lua (только для правил, созданных с помощью визуального конструктора);

Просмотр статистики работы правил

Вкладка "Инциденты"

На вкладке отображается список инцидентов, созданных на основе "сработок" правил (см. рисунок 2).

Рисунок 2 -- Просмотр статистики работы правила. Вкладка "Инциденты"

Список инцидентов выводится в виде таблицы со стандартными элементами управления (см. раздел Интерфейс платформы).

В таблице отображается следующая информация об инцидентах:

• Срочность - цифровое и цветовое обозначение оценки срочности реагирования на инцидент;
• Уровень риска - цифровое и цветовое обозначение уровня угрозы;
• Название - название обнаруженной угрозы. По ссылке произойдет переход к форме просмотра инцидента;
• Тип инцидента - по ссылке произойдет переход к форме просмотра типа инцидента;
• Статус - текущее состояние инцидента;
• Актив - техническое средство информационной системы на котором произошел инцидент. По ссылке произойдет переход к форме просмотра актива;
• Группа инцидентов - название группы к которой относится инцидент.

Подробнее о работе с инцидентами см. раздел "Инциденты".

Вкладка "Результаты"

На вкладке отображается список "сработок" правила корреляции (см. рисунок 3).

Рисунок 3 -- Просмотр статистики работы правила. Вкладка "Результаты"

Список "сработок" выводится в виде таблицы со стандартными элементами управления (см. раздел Интерфейс платформы).

При работе над записями таблицы доступны следующие элементы управления:

Кнопка	Действие
	создание нового инцидента на основе "сработки" правила (см. раздел Создание инцидента)
	просмотр событий, вызвавших "сработку" правила (см. раздел Просмотр события)
	удаление записи из таблицы

В списке "сработок" правила корреляции отображается следующая информация:

• Инцидент - наименование инцидента, созданного на основе "сработки" правила. По ссылке произойдет переход к форме просмотра инцидента;
• Актив - название актива, на котором произошла "сработка". По ссылке произойдет переход к форме просмотра актива;
• Риск - уровень угрозы;
• Произошло - дата и время "сработки" правила.

Вкладка "Лог изменений"

На вкладке отображается журнал изменения правила (см. рисунок 4).

Рисунок 4 -- Просмотр статистики работы правила. Вкладка "Лог изменений"

В журнале изменений отображается следующая информация:

• Действие - тип действия, выполненного над правилом;
• Дата создания - дата выполнения изменения;
• Системное - признак того, было ли изменение выполнено платформой;
• Пользователь - пользователь, выполнивший изменение.

Вкладка "Лог ошибок"

На вкладке отображается журнал ошибок, возникших при "сработке" правила корреляции (см. рисунок 5).

Рисунок 5 -- Просмотр статистики работы правила. Вкладка "Лог ошибок"

В журнале ошибок отображается следующая информация:

• Время - дата и время возникновения ошибки;
• Функция - наименование функции в которой произошла ошибка;;
• Ошибка - описание ошибки.

Вкладка "Метрики"

На вкладке доступны следующие визуализации метрической информации о "сработке" правила:

• скорость потока событий (см. рисунок 6):

  

  Рисунок 6 -- Метрика "EPS"

• задействованная память (см. рисунок 7):

  

  Рисунок 7 -- Метрика "Память"

• количество накопленных событий в группе (см. рисунок 8):

  

  Рисунок 8 -- Метрика "Количество накопленных событий в группе"

• время выполнения функции on_logline (см. рисунок 9).

  

  Рисунок 9 -- Метрика "Время выполнения on_logline"

• время выполнения функции on_grouped (см. рисунок 10).

  

  Рисунок 10 -- Метрика "Время выполнения on_grouped"

• количество ошибок, возникших во время "сработок" правила (см. рисунок 11).

  

  Рисунок 11 -- Метрика "Количество ошибок"

Создание и настройка правила

Создание правила можно выполнить двумя способами:

• с использованием визуального конструктора - при создании правила не используется скриптовый язык, само правило настраивается с помощью визуальных блоков. При необходимости вы всегда можете конвертировать подобное правило в скриптовый язык Lua (см. раздел Конвертирование правила в код Lua);
• помощью скриптового языка Lua - это позволяет использовать весь доступный функционал при написании правила.

Создание правила с помощью визуального конструктора

1. Нажмите кнопку . Откроется окно "Добавить правило" (см. рисунок 12).

   

   Рисунок 12 -- Окно "Добавить правило"

2. Укажите в окне следующую информацию:

   • в поле Название правила укажите название правила;
   • в поле Тип инцидента из выпадающего списка выберите тип инцидента;
   • установите флаг Использовать визуальный конструктор;
   • нажмите кнопку Создать.

3. Правило будет создано и автоматически откроется визуальный конструктор для настройки.

4. Выполните следующие шаги по настройке правила в визуальном конструкторе:

   • Шаг 1. Заполнение основной информации о правиле;
   • Шаг 2. Настройка фильтров потока;
   • Шаг 3. Настройка алерта;
   • Шаг 4. Настройка группера;
   • Шаг 5. Настройка условий;
   • Шаг 6. Настройка действий;
   • Шаг 7. Тестирование работы правила.

5. После выполнения всех шагов нажмите кнопку Сохранить.

Шаг 1. Заполнение основной информации о правиле

Заполнение основной информации о правиле выполняется на вкладке "Основное" (см. рисунок 13).

Рисунок 13 -- Настройка правила. Вкладка "Основное"

Укажите на вкладке следующую информацию:

• при необходимости уточните сведения указанные в полях Название и Тип инцидента;
• в полях Ограничение кол-во сработок в сек и Ограничение памяти (Мб) установите необходимые ограничения;
• для активации сбора дополнительных метрик по данному правилу установите флаг Сбор метрик;
• установите флаг Ретроспективное, если необходимо провести ретроспективный анализ по данному правилу (подробнее см. раздел Ретроспективная корреляция);
• выберите вид правила: линейное или с группировкой событий, установив переключатель Использовать группировку в соответствующее положение. Переключатель отвечает за доступность вкладки "Настройки группера";
• если правило при своей "сработке" должно создавать результат, то нужно установить переключатель Создавать результат при сработке правила, при этом открывается доступ к настройкам "алерта" где можно указать данные, которые будут сохранены в результате "сработки"; > Примечание: "алерт" это функция правила коррелятора записывающая результат сработки.
• в поле Описание укажите дополнительные сведения о правиле.

Шаг 2. Настройка фильтров потока

Для работы правила в него необходимо добавить фильтр потока событий. Для этого перейдите на вкладку "Настройка фильтров потока" (см. рисунок 14).

Рисунок 14 -- Настройка правила. Вкладка "Настройка фильтров потока"

Укажите на вкладке следующую информацию:

• в блоке Все фильтры потока выберите фильтры, которые необходимо добавить в правило. Список добавленных в правило фильтров будет отображаться в блоке Активные фильтры;

• для удобства настройки доступны следующие элементы управления:

  • - просмотр подробной информации о выбранном фильтре;
  • - удаление фильтра из правила.

При необходимости можно создать новый фильтр потока в блоке Создание фильтров потока. Инструкция по созданию фильтров потока описана в разделе Фильтры потока событий.

Шаг 3. Настройка алерта

Если вы на первом шаге выбрали поведение: Создавать результат при сработке правила, то необходимо выполнить настройку на вкладке "Настройки алерта" (см. рисунок 15).

Рисунок 15 -- Настройка правила. Вкладка "Настройка алерта"

Укажите на вкладке следующую информацию:

• в поле Уровень риска выберите цифровое обозначение уровня риска, которое будет присвоено "сработке" правила;
• установите флаг Создать инцидент если необходимо автоматически создавать инцидент на основании "сработки" правила;
• установите флаг Назначить инцидент пользователю если необходимо автоматически назначать инцидент пользователю;

• выберите количество событий, которые необходимо записывать в журнал:

  • если вы хотите записывать только первое и последнее событие, то установите соответствующий флаг;
  • в обратном случае укажите необходимое значение в поле Логировать указанное число событий.

• в поле IP актива из выпадающего списка выберите поле, которое будет выступать в качестве IP-адреса актива. Поле может являться частью сводной таблицы событий;

• в поле FQDN актива из выпадающего списка выберите поле, которое будет выступать в качестве наименования домена актива. Поле может являться частью сводной таблицы событий;
• в поле Hostname актива из выпадающего списка выберите поле, которое будет выступать в качестве наименования хоста актива. Поле может являться частью сводной таблицы событий;
• в поле MAC актива из выпадающего списка выберите поле, которое будет выступать в качестве MAC-адреса актива. Поле может являться частью сводной таблицы событий;
• в поле Техники Mitre - укажите через запятую идентификаторы техник, используемых киберпреступниками, которые описаны в базе знаний компании Mitre (подробнее см. Techniques - Enterprise | MITRE ATT&CK®);
• в поле Шаблон укажите дополнительную информацию об "алерте".

Если у вас подготовлен шаблон, то в поле Выберите шаблон выберите шаблон из выпадающего списка. Все поля на вкладке будут заполнены данными из шаблона. Инструкция по созданию шаблонов "алертов" описана в разделе Шаблоны алертов.

Шаг 4. Настройка группера

Если вы на первом шаге выбрали вид правила С группировкой событий, то необходимо выполнить настройку на вкладке "Настройка группера" (см. рисунок 16).

Рисунок 16 -- Настройка правила. Вкладка "Настройка группера"

Укажите на вкладке следующую информацию:

• в поле Группировать по из выпадающего списка выберите поле нормализованного события, по которому будет выполняться группировка. Можно выполнять группировку по нескольким полям;
• в поле Агрегировать по из выпадающего списка выберите поле нормализованного события, по которому будет выполняться функция агрегации. Можно выполнить агрегацию по нескольким полям;
• в поле Размер окна группировки укажите временной интервал, в течение которого будет выполняться группировка событий;
• в поле Порог количества событий для срабатывания укажите количество событий, по достижению которого в окне группировки, будет срабатывать правило;
• для агрегации только уникальных значений установите соответствующий флаг;
• в поле Время события из выпадающего списка выберите поле нормализованного события по которому будет вычисляться время события;
• в поле Формат времени из выпадающего списка выберите формат времени события.

Если у вас подготовлен шаблон, то в поле Выберите шаблон выберите шаблон из выпадающего списка. Все поля на вкладке будут заполнены данными из шаблона. Инструкция по созданию шаблонов группировки описана в разделе Шаблоны группировки.

Шаг 5. Настройка условий

Настройка условий "сработки" правила выполняется на вкладке "Конструктор условий" (см. рисунок 17).

Рисунок 17 -- Настройка правила. Вкладка "Конструктор условий"

Конструктор представляет из себя набор условий в иерархическом виде.

Правило срабатывает, когда выполнены условия в соответствии с заданной логикой.

В условиях задается сравнение выбранного поля (в первой части условия) с указанным значением (во второй части условия).

В качестве значения для первой и второй части условия в общем случае можно указать следующие параметры:

• Значение из события - выбор из списка полей нормализованного события;
• Значение из табличного списка - выбор из полей существующего табличного списка;
• Количество записей в табличном списке - выбор табличного списка из доступных, в котором будет подсчитано количество записей;
• Ручной ввод строки - произвольное выражение;
• Целое число - в значении указывается целое число;
• Дробное число - в значении указывается дробное число;
• Логическое значение - выбор из следующих вариантов: "ложь" или "истина";
• IP - в значении указывается IP-адрес;
• CIDR - в значении указывается IP-адрес в подсети, указанный в табличном списке;
• Дата - указывается дата и время;
• Отсутствие значения - значение для сравнения не указывается.

Примечание доступные параметры для первой и второй части условия формируются в зависимости от выбранной функции сравнения.

При настройке сравнения используются следующие функции:

• Проверить равенство выражений (оператор "равно") - проверяется полное равенство поля указанному значению. При равенстве поля указанному значению условие считается выполненным.

  Для данной функции доступна возможность не учитывать регистр для строковых значений.

• Проверить наличие значения (оператор "существует") - проверяется существование поля. При существовании поля условие считается выполненным.

• Проверить значение в массиве (оператор "равно значению в массиве") - осуществляется поиск указанного значения поля в массиве. При успешном поиске условие считается выполненным.
• Элемент массива должен иметь подстроку (оператор "является подстрокой элемента массива") - проверяется вхождение значения поля в строку в указанном массиве.
• Один элемент массива должен начинаться с подстроки (оператор "является префиксом элемента массива") - проверяется вхождение значения поля в начало строки каждого элемента массива.
• Один элемент массива должен заканчиваться на подстроку (оператор "является суффиксом элемента массива") - проверяется вхождение значения поля в конец строки каждого элемента массива.
• Поиск подстроки в строке (оператор "имеет подстроку") - проверяется вхождение подстроки в выбранное поле.
• Строка должна проходить regexp (оператор "проходит regexp") - проверяется проверка соответствия поля регулярному выражению.
• Первое значение больше второго (оператор "больше") - сравнивается поле и указанное значение. Если поле больше значения, условие считается выполненным.
• Первое значение больше или равно второму (оператор "больше или равно") - сравнивается поле и указанное значение. Если поле больше или равно значению, условие считается выполненным.
• Первое значение меньше второго (оператор "меньше") - сравнивается поле и указанное значение. Если поле меньше значения, условие считается выполненным.
• Первое значение меньше или равно второму (оператор "меньше или равно") - сравнивается поле и указанное значение. Если поле меньше или равно значению, условие считается выполненным.
• Строка начинается с подстроки (оператор "начинается с") - проверяется наличие указанного значения в начале выбранного поля.
• Строка заканчивается на подстроку (оператор "заканчивается на") - проверяется наличие указанного значения в конце выбранного поля.

• Поиск значения в табличном списке (оператор "находит") - проверяется наличие указанного значения в выбранной колонке табличного списка.

  Для данной функции доступна возможность не учитывать регистр для строковых значений.

• Поиск IP в табличном списке (оператор "находит") - проверяется наличие указанного значения IP-адреса в выбранной колонке табличного списка.

• Значение должно быть в диапазоне (оператор "находится между") - сравнивается поле и указанный диапазон значений. Если поле входит в диапазон, условие считается выполненным.

Для каждой функции можно включить отрицание: "не равно", "не существует" и т.д.

Созданные условия можно сгруппировать по следующим операторам:

• И - группа условий выполняется и правило срабатывает, только если выполнены все условия в группе;
• ИЛИ - группа условий выполняется и правило срабатывает, если хотя бы выполнено одно условие в группе;

На вкладке доступны следующие элементы управления:

Кнопка	Действие
	добавление условия сравнения
	добавление группы условий
	добавление условия сравнения в группу
	изменение порядка условий сравнения
	удаление условия сравнения из правила
Нажатие ЛКМ на оператор И, ИЛИ	настройка поведения для выбранной группы условий
Нажатие ЛКМ на строку условия	редактирование выбранного условия

Для добавления условия выполните следующие действия:

1. Нажмите на кнопку . Откроется окно "Настроить условие" .

   

   Рисунок 18 -- Окно "Настроить условие". Пример "Проверить равенство выражений"

2. Выберите в окне функцию сравнения и тип выражения в соответствующих блоках. Будут сформированы поля в зависимости от выбранных значений.

3. В сформированных полях укажите соответствующую информацию.
4. Если необходимо выполнить операцию "отрицание", то установите соответствующий флаг.
5. В блоке Результат проверьте правильность заданного выражения.
6. Нажмите кнопку Сохранить.
7. Добавьте необходимое количество условий в правило.

Для добавления группы условий выполните следующие действия:

1. Нажмите на кнопку . Откроется окно "Настроить условие" (см. рисунок 19).

   

   Рисунок 19 -- Добавление группы. Окно "Настроить условие"

2. Выберите оператор.

3. Если необходимо выполнить операцию "отрицание", то установите соответствующий флаг.
4. Нажмите кнопку Сохранить.

Шаг 6. Настройка действий

При необходимости вы можете настроить действия над табличными списками при "сработке" правила.

Доступны следующие действия:

• установить значение в табличном списке;
• удалить запись из табличного списка;
• очистка табличного списка.

Все действия выполняются последовательно.

В привило можно добавить неограниченное количество действий.

Настройка действий над табличными списками выполняется на вкладке "Действия" (см. рисунок 20).

Рисунок 20 -- Настройка правила. Вкладка "Действия"

Для добавления действия над табличным списком нажмите кнопку Добавить и укажите информацию в соответствии с выбранным действием:

• Установка значения в табличном списке:

  • в поле Табличный список из выпадающего списка выберите табличный список;
  • в поле TTL укажите размер окна времени отбора в миллисекундах. События старше указанного времени не будут отбираться для установки значения. Значение "0" - без ограничения;
  • в поле Составной ключ выберите способ формирования ключа: "по значению" или по "полю события";
  • в поле Колонка из выпадающего списка выберите колонку, в которую будет устанавливаться значение;
  • в поле Значение укажите значение, которое будет устанавливаться в соответствующую колонку табличного списка.

• Удаление записи из табличного списка:

  • в поле Табличный список выберите табличный список из которого будут удаляться значения;
  • в поле Составной ключ укажите ключ, по которому будут удаляться значения.

• Очистка табличного списка -- в поле Табличный список выберите табличный список, который будет очищаться при "сработке" правила.

Шаг 7. Тестирование правила

При тестировании правил используется тестовый набор (массив) состоящий из "логлайнов".  "Логлайн" это непосредственно само событие представленное в формате JSON.

Тестирование правила выполняется на вкладке "Тестирование" (см. рисунок 21).

Рисунок 21 -- Настройка правила. Вкладка "Тестирование"

Для проведения тестирования выполните следующие действия:

1. Укажите на вкладке следующую информацию:

   • в поле Временное окно укажите размер временного окна выполнения правила корреляции;
   • в поле Задержка отправки укажите время задержки отправки событий;
   • в поле Задержка группера укажите время задержки работы группера;
   • все значения задаются в миллисекундах.

2. Нажмите кнопку Запустить тест. Будут сформированы результаты проверки правила:

   • в блоке Код правила можно посмотреть код правила;
   • в блоке Ошибки будет выведен список выявленных ошибок;
   • в блок Лог отображается журнал выполнения тестирования;
   • в блоке Результаты сработки будет выведен список "сработок" правила.

3. При необходимости вы можете сформировать тестовый набор данных, который будет подаваться на вход правилу корреляции при выполнении тестирования. Для этого в блоке Тестовый набор данных укажите логлайн и нажмите кнопку Добавить логлайн в тестовый набор. Для управления логлайнами используйте следующие элементы управления:

   • - просмотр подробной информации о выбранном логлайне;
   • - удаление логлайна из тестового набора данных.

Создание правила с помощью скриптового языка Lua

1. Нажмите кнопку .. Откроется окно "Добавить правило" (см. рисунок 22).

   

   Рисунок 22 -- Окно "Добавить правило"

2. Укажите в окне следующую информацию:

   • в поле Название правила укажите название правила;
   • в поле Тип инцидента из выпадающего списка выберите тип инцидента;
   • не устанавливайте флаг Использовать визуальный конструктор
   • нажмите кнопку Создать.

3. Правило будет создано и автоматически откроется визуальный конструктор для настройки.

4. Выполните следующие шаги по настройке правила в визуальном конструкторе:

   • Шаг 1. Заполнение основной информации о правиле;
   • Шаг 2. Настройка фильтров потока;
   • Шаг 3. Настройка кода правила;
   • Шаг 4. Настройка макросов;
   • Шаг 5. Тестирование работы правила.

5. После выполнения всех шагов нажмите кнопку Сохранить.

Шаг 1. Заполнение основной информации о правиле

Заполнение основной информации о правиле выполняется на вкладке "Основное" (см. рисунок 23).

Рисунок 23 -- Настройка правила на скриптовом языке Lua. Вкладка "Основное"

Укажите на вкладке следующую информацию:

• при необходимости уточните сведения указанные в полях Название и Тип инцидента;
• в полях Ограничение кол-во сработок в сек и Ограничение памяти (Мб) установите необходимые ограничения;
• для активации сбора дополнительных метрик по данному правилу установите флаг Сбор метрик;
• установите флаг Ретроспективное, если необходимо провести ретроспективный анализ по данному правилу (подробнее см. раздел Ретроспективная корреляция);
• в поле Описание укажите дополнительные сведения о правиле.

Шаг 2. Настройка фильтров потока

Для работы правила в него необходимо добавить фильтр потока событий. Для этого перейдите на вкладку "Настройка фильтров потока" (см. рисунок 24).

Рисунок 24 -- Настройка правила на скриптовом языке Lua. Вкладка "Настройка фильтров потока"

Укажите на вкладке следующую информацию:

• в блоке Все фильтры потока выберите фильтры, которые необходимо добавить в правило. Список добавленных в правило фильтров будет отображаться в блоке Активные фильтры;

• для удобства настройки доступны следующие элементы управления:

  • - просмотр подробной информации о выбранном фильтре;
  • - удаление фильтра из правила.

При необходимости можно создать новый фильтр потока в блоке Создание фильтров потока. Инструкция по созданию фильтров потока описана в разделе Фильтры потока событий.

Шаг 3. Настройка кода правила

На данном шаге выполняются основные настройки правила с помощью скриптового языка Lua (подробнее см. руководство Описание редактора Lua для правил корреляции).

Для настройки кода правила перейдите на вкладку "Код правила" и укажите соответствующий код (см. рисунок 25).

Рисунок 25 -- Настройка правила на скриптовом языке Lua. Вкладка "Код правила"

Шаг 4. Настройка макросов

При необходимости использовать один и тот же код в разных правилах корреляции, можно подключить соответствующий макрос

Подключение макросов выполняется на вкладке "Макросы" (см. рисунок 26).

Рисунок 26 -- Настройка правила на скриптовом языке Lua. Вкладка "Макросы"

Укажите на вкладке следующую информацию:

• в блоке Все макросы выберите макросы, которые необходимо добавить в правило. Список добавленных в правило макросов будет отображаться в блоке Активные макросы;

• для удобства настройки доступны следующие элементы управления:

  • - просмотр подробной информации о выбранном макросе;
  • - удаление макроса из правила.

Инструкция по созданию макросов описана в разделе Макросы.

Шаг 5. Тестирование работы правила

При тестировании правил используется тестовый набор (массив) состоящий из "логлайнов".  "Логлайн" это непосредственно само событие представленное в формате JSON.

Тестирование правила выполняется на вкладке "Тестирование" (см. рисунок 27).

Рисунок 27 -- Настройка правила на скриптовом языке Lua. Вкладка "Тестирование"

Для проведения тестирования выполните следующие действия:

1. Укажите на вкладке следующую информацию:

   • в поле Временное окно укажите размер временного окна выполнения правила корреляции;
   • в поле Задержка отправки укажите время задержки отправки событий;
   • в поле Задержка группера укажите время задержки работы группера;
   • все значения задаются в миллисекундах

2. Нажмите кнопку Запустить тест. Будут сформированы результаты проверки правила:

   • в блоке Ошибки будет выведен список выявленных ошибок;
   • в блок Лог отображается журнал выполнения тестирования;
   • в блоке Результаты сработки будет выведен список "сработок" правила.

3. При необходимости вы можете сформировать тестовый набор данных, который будет подаваться на вход правилу корреляции при выполнении тестирования. Для этого в блоке Тестовый набор данных укажите логлайн и нажмите кнопку Добавить логлайн в тестовый набор. Для управления логлайнами используйте следующие элементы управления:

   • - просмотр подробной информации о выбранном логлайне;
   • - удаление логлайна из тестового набора данных.

Редактирование правила

1. Выберите из списка необходимое правило и нажмите кнопку .
2. В зависимости от типа редактируемого правила (с использованием визуального редактора или без) внесите необходимые изменения на соответствующие вкладки.
3. Нажмите кнопку Сохранить.

Активация правила

1. Выберите из списка необходимое правило и установите переключатель в положение Активное.
2. Если в правиле были допущены ошибки, то платформа выдаст соответствующее предупреждение.
3. После активации правило включится в работу на потоке событий используя указанные фильтры. Если при инициализации правила произойдет какая либо ошибка, то правило будет автоматически деактивировано.

Перезапуск правила

1. Выберите из списка необходимое правило и нажмите кнопку .
2. Подтвердите перезапуск в открывшемся окне.
3. Правило будет перезапущено.

Дублирование правила

1. Выберите из списка необходимое правило, нажмите кнопку и из выпадающего списка выберите пункт Дублировать. Откроется окно "Дублировать правило" (см. рисунок 28).

   

   Рисунок 28 -- Окно "Дублировать правило"

2. Укажите в окне наименование правила.

3. Нажмите кнопку Дублировать.

Конвертирование правила в код Lua

При необходимости Платформа Радар позволяет конвертировать правила, созданные с помощью визуального конструктора, в скриптовой язык Lua.

Внимание! обратное конвертирование из Lua в визуальный режим не поддерживается, рекомендуется перед конвертированием продублировать правило (сделать резервную копию).

1. Выберите из списка правило, которое было создано с помощью визуального конструктора.
2. Нажмите кнопку и из выпадающего списка выберите пункт Конвертировать в Lua.
3. Подтвердите конвертацию в открывшемся окне.

Импорт правил

1. Нажмите на кнопку и из выпадающего списка выберите пункт Импортировать.
2. В открывшемся окне укажите путь к архиву с правилами.
3. Нажмите кнопку Открыть.

Экспорт правил

1. Нажмите на кнопку и из выпадающего списка выберите пункт Экспортировать все.
2. Будет сформирован архив с правилами корреляции в формате .zip.
3. Нажмите кнопку Скачать и укажите путь для сохранения архива.

Удаление правила

Удаление правила можно выполнить двумя способами.

Способ 1:

1. Выберите из списка необходимое правило, нажмите кнопку и из выпадающего списка выберите пункт Удалить.
2. Подтвердите удаление в открывшемся окне.
3. Правило будет удалено из платформы.

Способ 2:

1. Выберите из списка необходимое правило, нажмите кнопку .
2. В окне редактирования правила нажмите кнопку .
3. Подтвердите удаление в открывшемся окне.
4. Правило будет удалено из платформы.

Массовые действия над правилами

Над правилами доступны следующие массовые действия:

• Экспортировать - экспорт выбранных правил;
• Удалить - удаление выбранных правил;
• Удалить все - удаление всех правил.

Для выполнения массового действия выполните следующие шаги:

1. Нажмите на кнопку . Откроется список массовых операций и флаги для выбора правил (см. рисунок 29).

   

   Рисунок 29 -- Массовые действия над правилами

2. Выберите правила корреляции.

3. Нажмите на соответствующую кнопку.
4. Завершите действие в открывшемся окне.

Действия над результатами сработок правила

Создание инцидента

1. Выберите из списка необходимое правило.
2. Перейдите на вкладку "Результаты".
3. Выберите из списка необходимую "сработку" правила и нажмите кнопку .
4. Будет создан инцидент на основании "сработки" правила.

Просмотр события

1. Выберите из списка необходимое правило.
2. Перейдите на вкладку "Результаты".

3. Выберите из списка необходимую "сработку" правила и нажмите кнопку Показать событие. Откроется страница просмотра события (см. рисунок 31).

   

   Рисунок 30 -- Просмотр события

4. Для просмотра события в разделе Просмотр событий нажмите кнопку , а для просмотра всех событий нажмите кнопку Просмотреть все. Откроется поток событий, который будет сформирован по соответствующему запросу.

   

   Рисунок 31 -- Просмотр потока событий по соответствующему запросу