Памятка по правилам нормализации

Правила нормализации в R-Vision SIEM — это набор выражений на языке VRL, которые решают задачи маппинга, трансформации, очистки и обогащения данных из исходных систем в Универсальную модель события R-Vision SIEM. Их цель — превратить разрозненные и часто «шумные» логи в единый, понятный и сопоставимый формат событий, удобный для анализа событий, их корреляции и дальнейшего расследования инцидентов информационной безопасности.

Структура правила нормализации R-Vision SIEM

Каждое правило нормализации — это не просто парсер, а зафиксированная инженерная и аналитическая экспертиза. Правило нормализации включает в себя:

Метаданные и служебные поля:

Идентификатор (id) — идентификатор правила.
Наименование (name) — наименование правила.
Версия (version) — версия правила, используемая при управлении версионностью правил в SIEM.
Статус (status) — текущий статус правила.
Источник событий (data_source) — информация о платформе, на которой функционирует источник событий, и типе событий, обрабатываемых правилом нормализации.
Описание правила (description) — описание правила и его назначение.

Фильтр событий:

Фильтр (блок filter) — фильтр на языке VRL, который позволяет отфильтровать из общего потока те события, которые обрабатываются текущим правилом.

Парсер и маппинг:

Нормализация (блок normalizer) — набор функций и выражений на языке VRL для разбора исходного события и маппинга значений события в поля модели события R-Vision SIEM.

Контекст события

Правила нормализации дополняют исходное событие контекстом, необходимым для эффективной работы аналитика в SIEM. В результате вместо «строки лога» аналитик получает осмысленное событие безопасности.

Каждое разобранное событие дополняется полями категоризации, которые позволяют относить события от различных источников к единым категориям и классам действий, независимо от формата и производителя исходных логов. Это обеспечивает:

единообразную структуру и семантику событий из разнородных источников;
возможность группировать и анализировать события по типам активности, а не по конкретным источникам;
сокращение времени на ручную интерпретацию и сопоставление событий;
ускорение расследования инцидентов и формирование отчетности на основе единой логической модели события.

Поля, которые используются для обогащения событий контекстом:

Класс устройства (device_class);
Категория события (device_event_category);
Класс события (device_event_class);
Фокус (focus);
Действие (action);
Категория (category);
Подкатегория (category_sub).

Тестирование

Каждое разрабатываемое правило содержит unit-тесты (блок tests) с примерами событий. Они гарантируют корректность логики при изменениях и обновлениях.

Тесты позволяют:

проверить, что событие корректно проходит фильтр;
убедиться, что все ключевые поля заполняются ожидаемыми значениями;
зафиксировать поведение правила как контракт.

Как правило, мы размещаем в блоке tests всего несколько событий, чтобы минимизировать размер общего правила. Для получения большего числа примеров событий вы можете обратиться в support.

Экспертиза R-Vision в части нормализации событий включает в себя не только правила нормализации, но также таблицы обогащения, активные списки, которые поставляются в составе пакета экспертизы, и конвейеры нормализации в виде импортируемых объектов, которые мы публикуем в репозитории.

Была ли полезна эта страница?

Обратная связь