- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 13. Работа с базой правил
- 13.12 Фильтрация на группе страниц "База правил"
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 13. Работа с базой правил
- 13.12 Фильтрация на группе страниц "База правил"
13.12 Фильтрация на группе страниц "База правил"
По умолчанию в пользовательском интерфейсе NT SIEM на группе страниц «База правил» данные отображаются от более новых к более старым. Для фильтрации правил необходимо в поле поиска задать запрос и нажать на кнопку "Поиск".
Отобразится таблица правил, соответствующих условиям вашего запроса.
Поиск осуществляется с помощью предикатов. Простой предикат в языке запросов, используемом на группе страниц «База правил», – это логическое выражение, получаемое после объединения поля правила (табл. 1) и его значения с помощью оператора сравнения (табл. 2). Значение соответствует типу данных поля правила. Простой предикат формируется в соответствии с синтаксисом, при этом между полем, оператором и значением могут быть пробелы:
Выражение <Поле><Оператор><Значение>.
Предикат в языке запросов, используемом в группе страниц «База правил», может использоваться как самостоятельное условие запроса или как часть условия. Условие запроса, состоящее из нескольких предикатов, формируется с помощью логических операторов и скобок. Логические операторы (табл. 3) соединяют предикаты, а скобки определяют порядок выполнения операций в запросе.
Все поля, операторы и значения регистрозависимы, то есть при обработке запроса система проверяет регистр символов. Между полями, операторами и значениями не должно быть пробелов.
<Поле> – имя поля правила. В случае, если в названии поля есть ошибка или значение поля не соответствует типу данных поля, результат будет некорректный либо результат запроса будет отсутствовать.
Таблица 1 – Поля правил, по которым можно фильтровать данные
| Поле | Описание | Пример запроса |
|---|---|---|
Правила корреляции, агрегации | ||
id | Идентификатор правил корреляции и агрегации | id=001 |
filename | Название файла | filename-0015-NT_rules.xml |
groups | Группы используются для классификации | groups=syslogerrors |
level | Уровень критичности | level=7 |
mitre | Систематизированное описание техник (приемов) и тактик, которые используют злоумышленники при атаках на организации (см. документацию Mitre ATT&CK) | mitre~T1003 |
relative_dirname | Имя каталога | Два варианта запроса: relative_dirname=etc/rules relative_dirname=ruleset/rules |
status | Поле, описывающее доступность или недоступность | status=enabled status=disabled |
Правила нормализации | ||
details.order | Дата последнего подключения | details.order=level |
filename | Название файла | filename-0006-json_decoders.xml |
name | Название правила нормализации | name!=apparmor |
relative_dirname | Имя каталога | relative_dirname=etc/decoders relative_dirname=ruleset/decoders |
Табличные списки | ||
filename | Название файла | filename=audit-keys |
relative_dirname | Имя каталога | relative_dirname=etc/ |
<Значение> – значение поля правила. Если необходимо провести поиск по значению из без пробела, дополнительное форматирование не требуется для поиска не требуется. Пример:
id=001 или groups=syslog
Таблица 2 – Операторы сравнения для фильтрации на странице «База правил»
| Оператор | Описание | Синтаксис |
|---|---|---|
= | Сравнение на равенство. Если равенство верное, то получится результат ИСТИНА, если нет - ЛОЖЬ. | <Поле> = <Значение> |
!= | Сравнение на неравенство, ИСТИНА система выдаст, если значения будут не равны. | <Поле> ! = <Значение> |
< | Сравнение на строгое неравенство (меньше). Принимает значение ИСТИНА, когда правый операнд больше левого. | <Поле> < <Значение> |
> | Сравнение на строгое неравенство (больше). Принимает значение ИСТИНА, когда левый операнд больше правого. | <Поле> > <Значение> |
~ | Проверка вхождения указанного значения в значение поля. | <Поле> ~ <Значение> |
Таблица 3 – Логические операторы для фильтрации на странице «База правил»
| Оператор | Описание | Синтаксис |
|---|---|---|
OR | Логическое ИЛИ | <Предикат>or<Предикат> |
AND | Логическое И | <Предикат>and<Предикат> |
() | Группировка операторов | (<Предикат>or/and<Предикат>) |
Если необходимо провести поиск по значению, а значение состоит из несколько частей и имеет пробел или содержит символ двойной кавычки «"», то требуется дополнительное форматирование. Значение должно быть заключено в пару двойных кавычек "<Значение>", а символ двойной кавычки «"» заменен на символ «\"». Пример:
"never connected \"Windows\""
Примеры поиска с помощью предикатов.
Пример 1. Фильтровать по сущностям, чьи <group name> равны определенному <Значению>:
groups=syslog or groups=syslogerrors
Пример 2. Фильтровать правила, где <level> больше или равен определенному <Значению>:
level=7 or level>7
Пример 3. Фильтровать правила, на соответствие нормативным требованиям:
mitre~T1003
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 13. Работа с базой правил
- 13.12 Фильтрация на группе страниц "База правил"
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 13. Работа с базой правил
- 13.12 Фильтрация на группе страниц "База правил"
13.12 Фильтрация на группе страниц "База правил"
По умолчанию в пользовательском интерфейсе NT SIEM на группе страниц «База правил» данные отображаются от более новых к более старым. Для фильтрации правил необходимо в поле поиска задать запрос и нажать на кнопку "Поиск".
Отобразится таблица правил, соответствующих условиям вашего запроса.
Поиск осуществляется с помощью предикатов. Простой предикат в языке запросов, используемом на группе страниц «База правил», – это логическое выражение, получаемое после объединения поля правила (табл. 1) и его значения с помощью оператора сравнения (табл. 2). Значение соответствует типу данных поля правила. Простой предикат формируется в соответствии с синтаксисом, при этом между полем, оператором и значением могут быть пробелы:
Выражение <Поле><Оператор><Значение>.
Предикат в языке запросов, используемом в группе страниц «База правил», может использоваться как самостоятельное условие запроса или как часть условия. Условие запроса, состоящее из нескольких предикатов, формируется с помощью логических операторов и скобок. Логические операторы (табл. 3) соединяют предикаты, а скобки определяют порядок выполнения операций в запросе.
Все поля, операторы и значения регистрозависимы, то есть при обработке запроса система проверяет регистр символов. Между полями, операторами и значениями не должно быть пробелов.
<Поле> – имя поля правила. В случае, если в названии поля есть ошибка или значение поля не соответствует типу данных поля, результат будет некорректный либо результат запроса будет отсутствовать.
Таблица 1 – Поля правил, по которым можно фильтровать данные
| Поле | Описание | Пример запроса |
|---|---|---|
Правила корреляции, агрегации | ||
id | Идентификатор правил корреляции и агрегации | id=001 |
filename | Название файла | filename-0015-NT_rules.xml |
groups | Группы используются для классификации | groups=syslogerrors |
level | Уровень критичности | level=7 |
mitre | Систематизированное описание техник (приемов) и тактик, которые используют злоумышленники при атаках на организации (см. документацию Mitre ATT&CK) | mitre~T1003 |
relative_dirname | Имя каталога | Два варианта запроса: relative_dirname=etc/rules relative_dirname=ruleset/rules |
status | Поле, описывающее доступность или недоступность | status=enabled status=disabled |
Правила нормализации | ||
details.order | Дата последнего подключения | details.order=level |
filename | Название файла | filename-0006-json_decoders.xml |
name | Название правила нормализации | name!=apparmor |
relative_dirname | Имя каталога | relative_dirname=etc/decoders relative_dirname=ruleset/decoders |
Табличные списки | ||
filename | Название файла | filename=audit-keys |
relative_dirname | Имя каталога | relative_dirname=etc/ |
<Значение> – значение поля правила. Если необходимо провести поиск по значению из без пробела, дополнительное форматирование не требуется для поиска не требуется. Пример:
id=001 или groups=syslog
Таблица 2 – Операторы сравнения для фильтрации на странице «База правил»
| Оператор | Описание | Синтаксис |
|---|---|---|
= | Сравнение на равенство. Если равенство верное, то получится результат ИСТИНА, если нет - ЛОЖЬ. | <Поле> = <Значение> |
!= | Сравнение на неравенство, ИСТИНА система выдаст, если значения будут не равны. | <Поле> ! = <Значение> |
< | Сравнение на строгое неравенство (меньше). Принимает значение ИСТИНА, когда правый операнд больше левого. | <Поле> < <Значение> |
> | Сравнение на строгое неравенство (больше). Принимает значение ИСТИНА, когда левый операнд больше правого. | <Поле> > <Значение> |
~ | Проверка вхождения указанного значения в значение поля. | <Поле> ~ <Значение> |
Таблица 3 – Логические операторы для фильтрации на странице «База правил»
| Оператор | Описание | Синтаксис |
|---|---|---|
OR | Логическое ИЛИ | <Предикат>or<Предикат> |
AND | Логическое И | <Предикат>and<Предикат> |
() | Группировка операторов | (<Предикат>or/and<Предикат>) |
Если необходимо провести поиск по значению, а значение состоит из несколько частей и имеет пробел или содержит символ двойной кавычки «"», то требуется дополнительное форматирование. Значение должно быть заключено в пару двойных кавычек "<Значение>", а символ двойной кавычки «"» заменен на символ «\"». Пример:
"never connected \"Windows\""
Примеры поиска с помощью предикатов.