Правила корреляции
В данном разделе представлен обзор структуры, принципов работы, а также процесса создания и расширения конфигураций правил корреляции R-Vision SIEM.
О правилах корреляции
Правила корреляции в системе R-Vision SIEM являются основным компонентом коррелятора. Они отвечают за обнаружение взаимосвязанных событий, которые соответствуют заданным критериям и паттернам и также могут инициировать действия после обнаружения, такие как создание корреляционных событий и оповещений.
Правило корреляции представляет собой структурированный объект данных в формате RObject, который содержит конфигурацию для автоматизированного распознания определенных последовательностей обрабатываемых событий ИБ. Оно определяет параметры для фильтрации, группировки, и сопоставления событий, а также содержит логику для пост-обработки корреляционных событий, генерируемых правилом.
В R-Vision SIEM поддерживаются два типа корреляционных правил: императивные и декларативные.
Императивные правила корреляции, основанные на алгоритмическом подходе, определяют точную последовательность операций для обработки и анализа данных. Эти правила детально регламентируют процесс, который необходимо выполнить для достижения конкретного результата.
| Коллектор, настроенный для работы в режиме распределенной корреляции, не поддерживает работу императивных правил корреляции. |
| Поддержка императивных правил корреляции будет прекращена в ближайших версиях R-Vision SIEM. При разработке новых правил корреляции рекомендуется использовать декларативный подход. |
Декларативные правила корреляции ориентированы на описание желаемого результата без указания конкретных шагов для его достижения. Эти правила фокусируются на определении условий, при которых должен произойти определенный вывод, позволяя системе самостоятельно определять путь достижения результата. Декларативные правила обеспечивают более высокий уровень абстракции и упрощают процесс определения корреляционных связей.
Правила корреляции создаются с использованием языка преобразований и корреляции VRL, который позволяет формулировать сложные логические условия и трансформации данных для анализа и корреляции событий.
Работа с правилом корреляции
Доступные операции над правилом корреляции:
Создание правила корреляции
Создать правило корреляции можно через его настройку в конструкторе или через задание его RObject-конфигурации.
| Создание через конструктор доступно только для декларативных правил корреляции. Создание императивных правил выполняется только через задание их RObject-конфигурации. |
Создание правила корреляции через конструктор
Конструктор правил корреляции позволяет визуально построить правило корреляции в интерактивном режиме без настройки его конфигурации.
Чтобы добавить правило корреляции:
-
Перейдите в раздел Экспертиза. Система отобразит сведения об имеющихся элементах экспертизы, в том числе их текущий статус (включен/выключен).
-
Нажмите на кнопку Создать и выберите из выпадающего списка пункт Правило корреляции. Система отобразит окно выбора способа создания правила.
-
Выберите способ создания правила через конструктор и нажмите на кнопку Создать. Система отобразит окно конструктора правил корреляции.
-
Заполните поля правила корреляции в конструкторе, чтобы определить логику работы правила.
-
Нажмите на кнопку Опубликовать. Система создаст правило корреляции и отобразит уведомление об успешном создании. Новое правило отобразится в таблице раздела Экспертиза.
Чтобы правило корреляции стало доступно в конвейерах событий, его необходимо включить. Вы можете создать правило корреляции без его публикации (в виде черновика) с помощью кнопки Сохранить как черновик. Конфигурация будет сохранена для дальнейшего редактирования. В этом случае в верхней части карточки правила будет отображаться предупреждение о наличии неопубликованных изменений.
Создание RObject-конфигурации правила корреляции
Чтобы добавить правило корреляции:
-
Перейдите в раздел Экспертиза. Система отобразит сведения об имеющихся элементах экспертизы, в том числе их текущий статус (включен/выключен).
-
Нажмите на кнопку Создать и выберите из выпадающего списка пункт Правило корреляции. Система отобразит окно выбора способа создания правила.
-
Выберите способ создания правила через код и нажмите на кнопку Создать. Система отобразит окно задания RObject-конфигурации правила корреляции.
При создании элемента экспертизы поля его структуры заполняются значениями по умолчанию. Для быстрой настройки структуры в системе доступны предустановленные примеры. Чтобы заполнить поля элемента экспертизы с помощью примера, нажмите на кнопку Примеры и выберите требуемый пример из выпадающего списка. -
Заполните поля правила корреляции, чтобы определить логику его работы.
-
Нажмите на кнопку Опубликовать версию. Система создаст правило корреляции отобразит уведомление об успешном создании. Новое правило появится в таблице раздела Экспертиза.
Чтобы правило корреляции стало доступно в конвейерах событий, его необходимо включить. Вы можете создать правило корреляции без его публикации (в виде черновика) с помощью кнопки Сохранить черновик. Система создаст черновик правила и отобразит уведомление об успешном создании. Новый черновик появится в таблице раздела Экспертиза.
Изменение правила корреляции
Изменить правило корреляции можно с помощью изменения его настроек в конструкторе или через редактирование его RObject-конфигурации.
| Изменение через конструктор доступно только для декларативных правил корреляции. Изменение императивных правил выполняется только через редактирование их RObject-конфигурации. |
Изменение правила корреляции в конструкторе
Конструктор правил корреляции позволяет визуально построить правило корреляции в интерактивном режиме без настройки его конфигурации.
Чтобы изменить правило корреляции в конструкторе:
-
Перейдите в раздел Экспертиза. Система отобразит сведения об имеющихся элементах экспертизы, в том числе их текущий статус (включен/выключен).
-
Нажмите на строку правила корреляции в списке. Система отобразит в правой части экрана карточку этого правила с подробной информацией о нем.
-
Нажмите на кнопку действий (
) в верхнем правом углу карточки и выберите опцию Изменить в конструкторе. Система отобразит окно конструктора правил корреляции.Вы также можете открыть окно конструктора с помощью кнопки в нижней части карточки:
-
Для опубликованной версии: нажмите на кнопку Просмотр в нижней части карточки. Система отобразит окно просмотра настроек правила. Нажмите на кнопку Изменить в конструкторе в правом нижнем углу окна.
-
Для черновика: нажмите на кнопку Изменить в нижней части карточки. Система отобразит окно настройки конфигурации правила. Перейдите в режим конструктора с помощью переключателя в правом верхнем углу окна.
-
-
Внесите требуемые изменения в настройки правила корреляции в конструкторе.
-
Нажмите на кнопку Обновить версию. Новая версия правила корреляции с измененной конфигурацией будет опубликована, система отобразит соответствующее уведомление.
При публикации новой версии элемента экспертизы требуется увеличить его текущую версию в поле version.Вы можете сохранить измененную конфигурацию правила корреляции без публикации (в виде черновика) с помощью кнопки Сохранить как черновик. Конфигурация будет сохранена для дальнейшего редактирования. В этом случае в верхней части карточки правила будет отображаться предупреждение о наличии неопубликованных изменений.
Изменение RObject-конфигурации правила корреляции
Чтобы изменить RObject-конфигурацию правила корреляции:
-
Перейдите в раздел Экспертиза. Система отобразит сведения об имеющихся элементах экспертизы, в том числе их текущий статус (включен/выключен).
-
Нажмите на строку правила корреляции в списке. Система отобразит в правой части экрана карточку этого правила с подробной информацией о нем.
-
Нажмите на кнопку действий (
) в верхнем правом углу карточки и выберите опцию Изменить код. Отобразится окно настроек RObject-конфигурации правила.Вы также можете открыть окно настроек с помощью кнопки в нижней части карточки:
-
Для опубликованной версии: нажмите на кнопку Просмотр в нижней части карточки. Система отобразит окно просмотра настроек правила. Нажмите на кнопку Изменить в коде в правом нижнем углу окна.
-
Для черновика: нажмите на кнопку Изменить в нижней части карточки. Система отобразит окно настройки конфигурации правила.
-
-
Внесите требуемые изменения в конфигурацию правила корреляции.
-
Нажмите на кнопку Обновить версию. Новая версия правила корреляции с измененной конфигурацией будет опубликована, система отобразит соответствующее уведомление.
При публикации новой версии элемента экспертизы требуется увеличить его текущую версию в поле version.Вы можете сохранить измененную конфигурацию правила корреляции без публикации (в виде черновика) с помощью кнопки Сохранить черновик. Конфигурация будет сохранена для дальнейшего редактирования. В этом случае в верхней части карточки правила будет отображаться предупреждение о наличии неопубликованных изменений.
Удаление правила корреляции
| Удаление доступно только для элементов экспертизы с типом создания Пользовательский. |
Удаление недоступно для элементов экспертизы, используемых в других сущностях системы.
Чтобы удалить правило корреляции:
-
Перейдите в раздел Экспертиза. Система отобразит сведения об имеющихся элементах экспертизы, в том числе их текущий статус (включен/выключен).
-
Нажмите на строку правила корреляции в списке. Система отобразит в правой части экрана карточку этого правила с подробной информацией о нем.
-
Нажмите на кнопку действий (
) в верхнем правом углу карточки и выберите опцию Удалить. Отобразится окно подтверждения удаления правила. -
Нажмите на кнопку Удалить. Система удалит правило корреляции и отобразит уведомление об успешном удалении. Удаленное правило будет исключено из списка элементов экспертизы.
|
Вы также можете удалить группу элементов экспертизы. Для этого:
|
