Памятка по правилам корреляции

Правила корреляции в R-Vision SIEM — это не только набор выражений, которые определяют логику детектирования, но и полноценный экспертный контент. Он спроектирован так, чтобы аналитик мог быстрее погрузиться в контекст работы правила и оперативно перейти к локализации угрозы.

Глубокая экспертиза «из коробки»

  • Источник событий (data_source) — перечень событий, необходимых для корректной работы правила. Это упрощает диагностику и позволяет определить, каких событий может не хватать в SIEM при отсутствии ожидаемых оповещений.

  • Экспертные ссылки (reference) — перечень ссылок на внешние рекомендации и наши собственные аналитические разборы. Это позволяет даже начинающему специалисту мгновенно погрузиться в контекст сложной атаки.

  • Связь с матрицей MITRE ATT&CK (tags) — позволяет визуализировать общую защищенность инфраструктуры и понять «почерк» атакующего.

  • Корреляционное событие (on_correlate) — правило интерпретирует технические данные и включает категоризацию и разъяснение на естественном языке (кто, что, где, когда и с каким результатом). Это позволяет аналитику получить полный контекст события, не просматривая сырые логи от источника.

Таксономия инцидента

Поле incident_taxonomy содержит информацию о категории, типе и уникальном ID инцидента. Это позволяет настроить бесшовную передачу подозрений на инцидент в SOAR-систему и запуск сценария реагирования.

Рекомендации по реагированию

В поле response заложен пошаговый план действий, который разделен на логические этапы:

  • Коммуникация (communication): с кем нужно взаимодействовать и какие вопросы задать.

  • Анализ (analysis): какие действия провести для подтверждения факта атаки и что именно проверить.

  • Локализация (containment): как оперативно ограничить распространение угрозы.

  • Устранение (remediation): как вернуть скомпрометированную систему в безопасное состояние.

Тестирование

Каждое разрабатываемое нами правило содержит Unit-тесты (tests) с примерами событий. Они гарантируют работоспособность логики. Вы можете использовать эти примеры как эталон, чтобы понять, как именно правило «видит» атаку.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь