Правила корреляции

В данном разделе представлен обзор структуры, принципов работы, а также процесса создания и расширения конфигураций правил корреляции R-Vision SIEM.

О правилах корреляции

Правила корреляции в системе R-Vision SIEM являются основным компонентом коррелятора. Они отвечают за обнаружение взаимосвязанных событий, которые соответствуют заданным критериям и паттернам и также могут инициировать действия после обнаружения, такие как создание корреляционных событий и оповещений.

Правило корреляции представляет собой структурированный объект данных в формате RObject, который содержит конфигурацию для автоматизированного распознания определенных последовательностей обрабатываемых событий ИБ. Оно определяет параметры для фильтрации, группировки, и сопоставления событий, а также содержит логику для пост-обработки корреляционных событий, генерируемых правилом.

В R-Vision SIEM поддерживаются два типа корреляционных правил: императивные и декларативные.

Императивные правила корреляции, основанные на алгоритмическом подходе, определяют точную последовательность операций для обработки и анализа данных. Эти правила детально регламентируют процесс, который необходимо выполнить для достижения конкретного результата.

Коллектор, настроенный для работы в режиме распределнной корреляции, не поддерживает работу императивных правил корреляции.

Декларативные правила корреляции ориентированы на описание желаемого результата без указания конкретных шагов для его достижения. Эти правила фокусируются на определении условий, при которых должен произойти определенный вывод, позволяя системе самостоятельно определять путь достижения результата. Декларативные правила обеспечивают более высокий уровень абстракции и упрощают процесс определения корреляционных связей.

Правила корреляции создаются с использованием языка преобразований и корреляции VRL, который позволяет формулировать сложные логические условия и трансформации данных для анализа и корреляции событий.

Работа с правилом корреляции

Доступные операции над правилом корреляции:

Создание правила корреляции

Создать правило корреляции можно через его настройку в конструкторе или через задание его RObject-конфигурации.

Создание через конструктор доступно только для декларативных правил корреляции. Создание императивных правил выполняется только через задание их RObject-конфигурации.

При настройке правила корреляции существует возможность переключаться между режимом конструктора и режимом кода с помощью переключателя в правом верхнем углу окна создания или изменения правила.

При переключении из режима кода в режим конструктора все заданные настройки, которые не удается корректно представить в виде настроек в конструкторе, будут отбрасываться.

Создание правила корреляции через конструктор

Конструктор правил корреляции позволяет визуально построить правило корреляции в интерактивном режиме без настройки его конфигурации.

Чтобы добавить правило корреляции:

  1. Перейдите в раздел Экспертиза. Система отобразит сведения об имеющихся элементах экспертизы, в том числе их текущий статус (включен/выключен).

  2. Нажмите на кнопку Создать и выберите из выпадающего списка пункт Правило корреляции. Система отобразит окно выбора способа создания правила.

  3. Выберите способ создания правила через конструктор и нажмите на кнопку Создать. Система отобразит окно конструктора правил корреляции.

  4. Заполните поля правила корреляции в конструкторе, чтобы определить логику работы правила.

  5. Нажмите на кнопку Опубликовать, чтобы сохранить изменения и опубликовать созданное правило корреляции. Система отобразит уведомление об успешном создании правила корреляции. Новое правило корреляции отобразится в таблице раздела Экспертиза.

    Чтобы правило корреляции стало доступно в конвейерах событий, его необходимо включить.

    Вы можете создать правило корреляции без его публикации (в виде черновика) с помощью кнопки Сохранить как черновик. Система отобразит уведомление об успешном создании черновика правила. Черновик отобразится в таблице раздела Экспертиза.

Создание RObject-конфигурации правила корреляции

Чтобы добавить правило корреляции:

  1. Перейдите в раздел Экспертиза. Система отобразит сведения об имеющихся элементах экспертизы, в том числе их текущий статус (включен/выключен).

  2. Нажмите на кнопку Создать и выберите из выпадающего списка пункт Правило корреляции. Система отобразит окно выбора способа создания правила.

  3. Выберите способ создания правила через код и нажмите на кнопку Создать. Система отобразит окно задания RObject-конфигурации правила корреляции.

    При создании элемента экспертизы поля его структуры заполняются значениями по умолчанию. Для быстрой настройки структуры в системе доступны предустановленные примеры. Чтобы заполнить поля элемента экспертизы с помощью примера, нажмите на кнопку Примеры и выберите требуемый пример из выпадающего списка.

  4. Заполните поля правила корреляции, чтобы определить логику его работы.

    Строки, начинающиеся с символа $ ($foo), интерпретируются в VRL-блоках элементов экспертизы как переменные окружения. Чтобы избежать этого, экранируйте такие строки символом $ ($$foo).

  5. Нажмите на кнопку Опубликовать версию, чтобы сохранить изменения и опубликовать созданное правило корреляции. Система отобразит уведомление об успешном создании правила корреляции. Новое правило корреляции отобразится в таблице раздела Экспертиза.

    Чтобы правило корреляции стало доступно в конвейерах событий, его необходимо включить.

    Вы можете создать правило корреляции без его публикации (в виде черновика) с помощью кнопки Сохранить черновик. Система отобразит уведомление об успешном создании черновика правила. Черновик отобразится в таблице раздела Экспертиза.

Изменение правила корреляции

Изменить правило корреляции можно с помощью изменения его настроек в конструкторе или через редактирование его RObject-конфигурации.

Изменение через конструктор доступно только для декларативных правил корреляции. Изменение императивных правил выполняется только через редактирование их RObject-конфигурации.

При настройке правила корреляции существует возможность переключаться между режимом конструктора и режимом кода с помощью переключателя в правом верхнем углу окна создания или изменения правила.

При переключении из режима кода в режим конструктора все заданные настройки, которые не удается корректно представить в виде настроек в конструкторе, будут отбрасываться.

Изменение правила корреляции в конструкторе

Конструктор правил корреляции позволяет визуально построить правило корреляции в интерактивном режиме без настройки его конфигурации.

Чтобы изменить правило корреляции в конструкторе:

  1. Перейдите в раздел Экспертиза. Система отобразит сведения об имеющихся элементах экспертизы, в том числе их текущий статус (включен/выключен).

  2. Нажмите на строку правила корреляции в списке. Система отобразит в правой части экрана карточку этого правила с подробной информацией о нем.

  3. Выберите опцию Изменить в конструкторе в выпадающем меню Действия (more vertical) в верхней части карточки правила корреляции. Система отобразит окно конструктора правил корреляции.

    Вы также можете открыть окно конструктора с помощью кнопки в нижней части карточки:

    • Для опубликованной версии: нажмите на кнопку Просмотр в нижней части карточки. Система отобразит окно просмотра настроек правила. Нажмите на кнопку Изменить в конструкторе в правом нижнем углу окна.

    • Для черновика: нажмите на кнопку Изменить в нижней части карточки. Система отобразит окно настройки конфигурации правила. Перейдите в режим конструктора с помощью переключателя в правом верхнем углу окна.

  4. Внесите требуемые изменения в настройки правила корреляции в конструкторе.

  5. Нажмите на кнопку Обновить версию. Новая версия правила корреляции с измененной конфигурацией будет опубликована.

    При публикации новой версии элемента экспертизы требуется увеличить его текущую версию в поле version.

    Вы можете сохранить измененную конфигурацию правила корреляции без публикации (в виде черновика) с помощью кнопки Сохранить как черновик. Конфигурация будет сохранена для дальнейшего редактирования. В этом случае в верхней части карточки правила будет отображаться предупреждение о наличии неопубликованных изменений.

Изменение RObject-конфигурации правила корреляции

Чтобы изменить RObject-конфигурацию правила корреляции:

  1. Перейдите в раздел Экспертиза. Система отобразит сведения об имеющихся элементах экспертизы, в том числе их текущий статус (включен/выключен).

  2. Нажмите на строку правила корреляции в списке. Система отобразит в правой части экрана карточку этого правила с подробной информацией о нем.

  3. Выберите опцию Изменить код в выпадающем меню Действия (more vertical) в верхней части карточки правила корреляции. Отобразится окно настроек RObject-конфигурации правила.

    Вы также можете открыть окно настроек с помощью кнопки в нижней части карточки:

    • Для опубликованной версии: нажмите на кнопку Просмотр в нижней части карточки. Система отобразит окно просмотра настроек правила. Нажмите на кнопку Изменить в коде в правом нижнем углу окна.

    • Для черновика: нажмите на кнопку Изменить в нижней части карточки. Система отобразит окно настройки конфигурации правила.

  4. Внесите требуемые изменения в конфигурацию правила корреляции.

  5. Нажмите на кнопку Обновить версию. Новая версия правила корреляции с измененной конфигурацией будет опубликована.

    При публикации новой версии элемента экспертизы требуется увеличить его текущую версию в поле version.

    Вы можете сохранить измененную конфигурацию правила корреляции без публикации (в виде черновика) с помощью кнопки Сохранить черновик. Конфигурация будет сохранена для дальнейшего редактирования. В этом случае в верхней части карточки правила будет отображаться предупреждение о наличии неопубликованных изменений.

Удаление правила корреляции

Удаление доступно только для элементов экспертизы с типом создания Пользовательский.

Удаление недоступно для элементов экспертизы, используемых в других сущностях системы.

Чтобы удалить правило корреляции:

  1. Перейдите в раздел Экспертиза. Система отобразит сведения об имеющихся элементах экспертизы, в том числе их текущий статус (включен/выключен).

  2. Нажмите на строку правила корреляции в списке. Система отобразит в правой части экрана карточку этого правила с подробной информацией о нем.

  3. Выберите опцию Удалить в выпадающем меню Действия (more vertical) в верхней части карточки правила корреляции. Отобразится окно подтверждения удаления правила.

  4. Нажмите на кнопку Удалить. Система отобразит уведомление об удалении правила корреляции, и правило будет удалено из списка элементов экспертизы.

Вы также можете удалить группу элементов экспертизы. Для этого:

  1. Перейдите в раздел Экспертиза. Система отобразит сведения об имеющихся элементах экспертизы, в том числе их текущий статус (включен/выключен).

  2. Установите флажки напротив тех элементов, которые вы хотите удалить, в левом столбце таблицы.

  3. Нажмите на кнопку trash на панели инструментов. Отобразится окно удаления.

  4. Нажмите на кнопку Удалить. Система отобразит уведомление об удалении выбранного элемента экспертизы, и элемент экспертизы будет удален из списка элементов экспертизы.
+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение