- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 15. Создание правил
- 15.3 Работа с процессом классификации
- 16.3.1 Синтаксис для процесса классификации
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 15. Создание правил
- 15.3 Работа с процессом классификации
- 16.3.1 Синтаксис для процесса классификации
16.3.1 Синтаксис для процесса классификации
Как только событие прошло процесс парсинга, оно переходит на этап классификации (рис.1). В данном разделе будет описываться синтаксис, используемый в процессе классификации.
Таблица 14 – Атрибуты правил
Атрибут
group
Возможные значения
192.168.0.0/16
Описания
Позволяет классифицировать правила по определенным категориям. Каждое правило должно принадлежать хотя бы к одной группе. Чтобы определить правила, которые срабатывают только в том случае, если сработало другое правило в определенной группе, используйте аттрибуты if_group и if_matched_group. Например, указание принадлежности правила к нескольким группам: <group name="GROUP1_NAME,GROUP2_NAME,"> <rule id="100234" level="3"> <if_sid>230</if_sid> <field name="alert_type">normal</field> <description>The file limit set for this agent is $(file_limit). Now, $(file_count) files are being monitored.</description> </rule> </group>
Атрибут
rule
Возможные значения
см. таблицу 16
Описания
Используется для описания правил. Пример: <rule id="3151" level="10" frequency="8" timeframe="120"> <if_matched_sid>3102</if_matched_sid> <description>sendmail: Sender domain has bogus MX record. </description> <description>It should not be sending e-mail.</description> <mitre> <id>T1114</id> <id>T1499</id> </mitre> <group>multiple_spam,pci_dss_11.4,gdpr_IV_35.7.d,nist_800_53_SI.4,tsc_CC6.1,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group></rule>
Атрибут
match
Возможные значения
По умолчанию значение: n/a По умолчанию использует sregex, но можно и любое регулярное выражение
Описания
Данный атрибут отвечает за поиск соответствия указанных данных в правиле и в событии и определяет, нужно ли выполнить правило. Пример, если найдено соответствие с id=100200 и событие содержит фразу «Queue flood!», то срабатывает правило и присваивается уровень критичности 3: <rule id="100001" maxsize="300" level="3"> <if_sid>100200</if_sid> <match>Queue flood!</match> <description>Flooded events queue.</description> </rule>
Атрибут
regex
Возможные значения
По умолчанию значение: n/a По умолчанию использует regex, но можно и любое регулярное выражение
Описания
Аналогично атрибуту "<match>". Пример, если найдено соответствие с id=100200 и событие содержит действующий IP-адрес, срабатывает правило и присваивается уровень критичности 3: <rule id="100001" level="3"> <if_sid>100500</if_sid><regex> \d+.\d+.\d+.\d+</regex><description>Matches any valed IP</description></rule>
| Атрибут | Возможные значения | Описания |
|---|---|---|
group | 192.168.0.0/16 | Позволяет классифицировать правила по определенным категориям. Каждое правило должно принадлежать хотя бы к одной группе. Чтобы определить правила, которые срабатывают только в том случае, если сработало другое правило в определенной группе, используйте аттрибуты if_group и if_matched_group. Например, указание принадлежности правила к нескольким группам: <group name="GROUP1_NAME,GROUP2_NAME,"> <rule id="100234" level="3"> <if_sid>230</if_sid> <field name="alert_type">normal</field> <description>The file limit set for this agent is $(file_limit). Now, $(file_count) files are being monitored.</description> </rule> </group> |
rule | см. таблицу 16 | Используется для описания правил. Пример: <rule id="3151" level="10" frequency="8" timeframe="120"> <if_matched_sid>3102</if_matched_sid> <description>sendmail: Sender domain has bogus MX record. </description> <description>It should not be sending e-mail.</description> <mitre> <id>T1114</id> <id>T1499</id> </mitre> <group>multiple_spam,pci_dss_11.4,gdpr_IV_35.7.d,nist_800_53_SI.4,tsc_CC6.1,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group></rule> |
match | По умолчанию значение: n/a По умолчанию использует sregex, но можно и любое регулярное выражение | Данный атрибут отвечает за поиск соответствия указанных данных в правиле и в событии и определяет, нужно ли выполнить правило. Пример, если найдено соответствие с id=100200 и событие содержит фразу «Queue flood!», то срабатывает правило и присваивается уровень критичности 3: <rule id="100001" maxsize="300" level="3"> <if_sid>100200</if_sid> <match>Queue flood!</match> <description>Flooded events queue.</description> </rule> |
regex | По умолчанию значение: n/a По умолчанию использует regex, но можно и любое регулярное выражение | Аналогично атрибуту "<match>". Пример, если найдено соответствие с id=100200 и событие содержит действующий IP-адрес, срабатывает правило и присваивается уровень критичности 3: <rule id="100001" level="3"> <if_sid>100500</if_sid><regex> \d+.\d+.\d+.\d+</regex><description>Matches any valed IP</description></rule> |
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 15. Создание правил
- 15.3 Работа с процессом классификации
- 16.3.1 Синтаксис для процесса классификации
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 15. Создание правил
- 15.3 Работа с процессом классификации
- 16.3.1 Синтаксис для процесса классификации
16.3.1 Синтаксис для процесса классификации
Как только событие прошло процесс парсинга, оно переходит на этап классификации (рис.1). В данном разделе будет описываться синтаксис, используемый в процессе классификации.
Таблица 14 – Атрибуты правил
Атрибут
group
Возможные значения
192.168.0.0/16
Описания
Позволяет классифицировать правила по определенным категориям. Каждое правило должно принадлежать хотя бы к одной группе. Чтобы определить правила, которые срабатывают только в том случае, если сработало другое правило в определенной группе, используйте аттрибуты if_group и if_matched_group. Например, указание принадлежности правила к нескольким группам: <group name="GROUP1_NAME,GROUP2_NAME,"> <rule id="100234" level="3"> <if_sid>230</if_sid> <field name="alert_type">normal</field> <description>The file limit set for this agent is $(file_limit). Now, $(file_count) files are being monitored.</description> </rule> </group>
Атрибут
rule
Возможные значения
см. таблицу 16
Описания
Используется для описания правил. Пример: <rule id="3151" level="10" frequency="8" timeframe="120"> <if_matched_sid>3102</if_matched_sid> <description>sendmail: Sender domain has bogus MX record. </description> <description>It should not be sending e-mail.</description> <mitre> <id>T1114</id> <id>T1499</id> </mitre> <group>multiple_spam,pci_dss_11.4,gdpr_IV_35.7.d,nist_800_53_SI.4,tsc_CC6.1,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group></rule>
Атрибут
match
Возможные значения
По умолчанию значение: n/a По умолчанию использует sregex, но можно и любое регулярное выражение
Описания
Данный атрибут отвечает за поиск соответствия указанных данных в правиле и в событии и определяет, нужно ли выполнить правило. Пример, если найдено соответствие с id=100200 и событие содержит фразу «Queue flood!», то срабатывает правило и присваивается уровень критичности 3: <rule id="100001" maxsize="300" level="3"> <if_sid>100200</if_sid> <match>Queue flood!</match> <description>Flooded events queue.</description> </rule>
Атрибут
regex
Возможные значения
По умолчанию значение: n/a По умолчанию использует regex, но можно и любое регулярное выражение
Описания
Аналогично атрибуту "<match>". Пример, если найдено соответствие с id=100200 и событие содержит действующий IP-адрес, срабатывает правило и присваивается уровень критичности 3: <rule id="100001" level="3"> <if_sid>100500</if_sid><regex> \d+.\d+.\d+.\d+</regex><description>Matches any valed IP</description></rule>
| Атрибут | Возможные значения | Описания |
|---|---|---|
group | 192.168.0.0/16 | Позволяет классифицировать правила по определенным категориям. Каждое правило должно принадлежать хотя бы к одной группе. Чтобы определить правила, которые срабатывают только в том случае, если сработало другое правило в определенной группе, используйте аттрибуты if_group и if_matched_group. Например, указание принадлежности правила к нескольким группам: <group name="GROUP1_NAME,GROUP2_NAME,"> <rule id="100234" level="3"> <if_sid>230</if_sid> <field name="alert_type">normal</field> <description>The file limit set for this agent is $(file_limit). Now, $(file_count) files are being monitored.</description> </rule> </group> |
rule | см. таблицу 16 | Используется для описания правил. Пример: <rule id="3151" level="10" frequency="8" timeframe="120"> <if_matched_sid>3102</if_matched_sid> <description>sendmail: Sender domain has bogus MX record. </description> <description>It should not be sending e-mail.</description> <mitre> <id>T1114</id> <id>T1499</id> </mitre> <group>multiple_spam,pci_dss_11.4,gdpr_IV_35.7.d,nist_800_53_SI.4,tsc_CC6.1,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group></rule> |
match | По умолчанию значение: n/a По умолчанию использует sregex, но можно и любое регулярное выражение | Данный атрибут отвечает за поиск соответствия указанных данных в правиле и в событии и определяет, нужно ли выполнить правило. Пример, если найдено соответствие с id=100200 и событие содержит фразу «Queue flood!», то срабатывает правило и присваивается уровень критичности 3: <rule id="100001" maxsize="300" level="3"> <if_sid>100200</if_sid> <match>Queue flood!</match> <description>Flooded events queue.</description> </rule> |
regex | По умолчанию значение: n/a По умолчанию использует regex, но можно и любое регулярное выражение | Аналогично атрибуту "<match>". Пример, если найдено соответствие с id=100200 и событие содержит действующий IP-адрес, срабатывает правило и присваивается уровень критичности 3: <rule id="100001" level="3"> <if_sid>100500</if_sid><regex> \d+.\d+.\d+.\d+</regex><description>Matches any valed IP</description></rule> |