13.11 Проверка правил
Для того, чтобы проверить набор правил, существующий в системе, можно воспользоваться страницей «Проверка правил» (рис.64).
Для этого в поле событие ввести событие (набор событий), которое будет проанализировано на основе существующего набора правил в системе. Далее необходимо нажать на кнопку "Проверить". Система обработает события построчно.
В блоке «Результат» появятся итоги обработки введенного события (-ий). Можно очистить блок «События» с помощью элемента "🗑", а также скопировать результат анализа с помощью элемента "Копировать".
Следует обратить внимание, что при первом запросе на обработку события создается сессия. Сессии – это изолированные среды для тестирования элементов базы правил. В рамках одной сессии сохраняется история событий и количество срабатываний правил, что обеспечивает корреляцию событий и, соответственно, проверку валидности правил корреляции.
Как видно из рисунка 65, было зафиксировано определенное количество неудачных попыток входа в систему под одним пользователем, и на основе проведенной корреляции событий система сформировала инцидент типа [Brute Force].
Для того, чтобы сбросить сессию необходимо нажать кнопку "Сбросить сессию" либо она закроется автоматически по прошествии 15 минут бездействия.
13.11 Проверка правил
Для того, чтобы проверить набор правил, существующий в системе, можно воспользоваться страницей «Проверка правил» (рис.64).
Для этого в поле событие ввести событие (набор событий), которое будет проанализировано на основе существующего набора правил в системе. Далее необходимо нажать на кнопку "Проверить". Система обработает события построчно.
В блоке «Результат» появятся итоги обработки введенного события (-ий). Можно очистить блок «События» с помощью элемента "🗑", а также скопировать результат анализа с помощью элемента "Копировать".
Следует обратить внимание, что при первом запросе на обработку события создается сессия. Сессии – это изолированные среды для тестирования элементов базы правил. В рамках одной сессии сохраняется история событий и количество срабатываний правил, что обеспечивает корреляцию событий и, соответственно, проверку валидности правил корреляции.
Как видно из рисунка 65, было зафиксировано определенное количество неудачных попыток входа в систему под одним пользователем, и на основе проведенной корреляции событий система сформировала инцидент типа [Brute Force].
Для того, чтобы сбросить сессию необходимо нажать кнопку "Сбросить сессию" либо она закроется автоматически по прошествии 15 минут бездействия.