Создание правил агрегации

Развернуть все | Свернуть все

Правила агрегации помогают вам объединять повторяющиеся события других решений "Лаборатории Касперского" в алерты Open Single Management Platform.

Чтобы создать правила агрегации, вам нужно иметь одну из следующих XDR-ролей: Главный администратор, Администратор тенанта, Администратор SOC.

Чтобы создать правила агрегации:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.

   Откроется список тенантов. Список содержит только те тенанты, к которым у вас есть хотя бы право на Чтение.

2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. Выберите вкладку Параметры и нажмите Правила агрегации.

   Откроется список правил агрегации.

4. Нажмите на кнопку Создать.

   Откроется окно Создать правило агрегации.

5. В поле Статус активируйте правило агрегации, которое вы хотите создать.

   По умолчанию правило выключено.

6. В поле Имя правила укажите название правила агрегации.

   Имя правила должно быть уникальным.

7. В поле Максимум событий в алерте укажите максимальное количество событий, объединенных в алерте.

   Значение должно быть от 1 до 100. По умолчанию указано значение 100.

8. В поле Интервал агрегации (сек) укажите интервал поиска в минутах или секундах.

   Максимальное значение – 1500 секунд. По умолчанию указано значение 30.

9. При необходимости в поле Описание укажите описание правила агрегации.
10. В разделе Идентификатор агрегации укажите выражение jq, с помощью которого события будут объединены в алерт.

    При необходимости вы можете скопировать идентификатор агрегации из другого правила агрегации. Для этого нажмите на кнопку Копировать из другого правила.

    Пример выражения jq для раздела Идентификатор агрегации

    if any(.OriginalEvents[]?.BaseEvents[]?.DestinationUserName // empty; startswith("adm_")) then "bruteforce_DestinationUserName_adm" else "bruteforce_DestinationUserName_not_adm" end

11. В разделе Название алерта укажите выражение jq, определяющее шаблон, который будет использоваться при создании имени нового алерта.

    По умолчанию указано следующее выражение: ([.Rules[]?.Name // empty] | sort | join(",")) + " " + (.SourceCreatedAt)

    При создании нового алерта название генерируется из значений полей указанных в шаблоне.

    При необходимости вы можете скопировать выражение jq для раздела Название алерта из другого правила агрегации. Для этого нажмите на кнопку Копировать из другого правила.

    Пример выражения jq для раздела Название алерта

    if any(.OriginalEvents[]?.BaseEvents[]?.DestinationUserName // empty; startswith("adm_")) then "Brute force admin" else "Brute force not admin" end

12. В разделе Триггер укажите выражение jq, которое определяет условие для создания алерта из события.

    При необходимости вы можете скопировать выражение jq для раздела Триггер из другого правила агрегации. Для этого нажмите на кнопку Копировать из другого правила.

    Пример выражения jq для раздела Триггер

    .AggregationID | startswith("bruteforce_DestinationUserName")

13. Нажмите на кнопку Создать.

Правило агрегации создано.

По умолчанию правило агрегации создается с наименьшим приоритетом. Чтобы изменить приоритет правила агрегации, в списке правил агрегации перетащите правило, нажав на его имя. Чем выше находится правило в списке правил агрегации, тем выше его приоритет.

В начало