- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 15. Создание правил
- 16.5 Создание правил обогащения
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 15. Создание правил
- 16.5 Создание правил обогащения
16.5 Создание правил обогащения
Обогащение событий – заполнение полей нормализованных, агрегированных и корреляционных событий согласно правилам обогащения. Поля заполняются данными, полученными из табличных списков.
Правила обогащения позволяют добавлять поля в события с дополнительной информацией. Например, в событии есть имя учётной записи пользователя. С помощью правила обогащения вы можете добавить сведения об отделе, должности и руководителе этого пользователя в поля события.
Таблица 18 – Параметры для создания правила обогащения
| Атрибут | Описание |
|---|---|
Поле события | Наименование поля события, по которому правило будет анализировать событие |
Путь к табличному списку | Связь с существующим списком |
Новое поле события | Наименование поля события, которое правило добавит в событие, т.е. его обогатит. Если наименование состоит из нескольких слов, их можно писать через символ точки или слитно. Пробелы и другие символы недопустимы. |
Пример: необходимо обогатить события, поступающие с агентов с операционной системой Linux, полем «agent.Enrich.Name».
Правило обогащения выглядит так:
В «Поле события» необходимо ввести поле события, по которому будет производится сравнение. В «Путь к табличному списку» выбираем из раскрывающегося перечня табличный список. Наименование нового поля следует прописать в «Новое поле события». В режиме редактирования правила обогащения «Поле события» является неизменным текстовым блоком.
Табличный список содержит следующую информацию, где «Ключ» содержит все IP-адреса агентов, установленных на Linux, а «Значение» – данные, которые будут содержать в поле «agentEnrichName»:
Таблица 19 – Табличный список «test123»
| Ключ | Значение |
|---|---|
10.72.112.01 | linux-agent enrich |
10.72.112.01 | linux-agent enrich |
10.72.112.01 | linux-agent enrich |
Далее все события, поступающие с IP-адресов указанных в табличном списке test123, будут обогащены полем «agent.Enrich.Name», в котором будут данные, указанные в поле «Значение» в табличном списке test123.
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 15. Создание правил
- 16.5 Создание правил обогащения
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 15. Создание правил
- 16.5 Создание правил обогащения
16.5 Создание правил обогащения
Обогащение событий – заполнение полей нормализованных, агрегированных и корреляционных событий согласно правилам обогащения. Поля заполняются данными, полученными из табличных списков.
Правила обогащения позволяют добавлять поля в события с дополнительной информацией. Например, в событии есть имя учётной записи пользователя. С помощью правила обогащения вы можете добавить сведения об отделе, должности и руководителе этого пользователя в поля события.
Таблица 18 – Параметры для создания правила обогащения
| Атрибут | Описание |
|---|---|
Поле события | Наименование поля события, по которому правило будет анализировать событие |
Путь к табличному списку | Связь с существующим списком |
Новое поле события | Наименование поля события, которое правило добавит в событие, т.е. его обогатит. Если наименование состоит из нескольких слов, их можно писать через символ точки или слитно. Пробелы и другие символы недопустимы. |
Пример: необходимо обогатить события, поступающие с агентов с операционной системой Linux, полем «agent.Enrich.Name».
Правило обогащения выглядит так:
В «Поле события» необходимо ввести поле события, по которому будет производится сравнение. В «Путь к табличному списку» выбираем из раскрывающегося перечня табличный список. Наименование нового поля следует прописать в «Новое поле события». В режиме редактирования правила обогащения «Поле события» является неизменным текстовым блоком.
Табличный список содержит следующую информацию, где «Ключ» содержит все IP-адреса агентов, установленных на Linux, а «Значение» – данные, которые будут содержать в поле «agentEnrichName»:
Таблица 19 – Табличный список «test123»
| Ключ | Значение |
|---|---|
10.72.112.01 | linux-agent enrich |
10.72.112.01 | linux-agent enrich |
10.72.112.01 | linux-agent enrich |
Далее все события, поступающие с IP-адресов указанных в табличном списке test123, будут обогащены полем «agent.Enrich.Name», в котором будут данные, указанные в поле «Значение» в табличном списке test123.