Korelátor shody¶
Korelátor shody detekuje příchozí události na základě sekce predicate
. Pokud událost odpovídá filtru predicate, je volána sekce trigger
.
Hint
Vždy zvažte použití Korelátoru okna místo Korelátoru shody, protože Korelátor shody produkuje jednu výstupní událost na jednu vstupní událost a tedy neprovádí žádné seskupování příchozích událostí na základě času.
Příklad¶
---
define:
name: "Network T1046 Network Service Discovery"
description: "Detekuje připojení mezi dvěma IP adresami"
type: correlator/match
logsource:
type: "Network"
mitre:
technique: "T1046"
tactic: "TA0007"
predicate:
!OR
- !EQ
- !ITEM EVENT log.level
- "error"
- !EQ
- !ITEM EVENT log.level
- "critical"
- !EQ
- !ITEM EVENT log.level
- "emergency"
trigger:
- event:
threat.indicator.confidence: "Medium"
threat.indicator.ip: !ITEM EVENT source.ip
threat.indicator.port: !ITEM EVENT source.port
threat.indicator.type: "ipv4-addr"
Sekce define
¶
Tato sekce obsahuje společnou definici a metadata.
Položka name
¶
Kratší, člověkem čitelný název této deklarace.
Položka type
¶
Typ této deklarace, musí být correlator/match
.
Položka description
(volitelné)¶
Delší, pravděpodobně víceliniový, člověkem čitelný popis deklarace.
Sekce logsource
¶
Specifikuje typy event lanes, ze kterých by měly být čteny příchozí události.
Sekce predicate
¶
Predicate
filtruje příchozí události pomocí výrazu. Pokud výraz vrátí True
, událost vstoupí do sekce trigger
.
Pokud výraz vrátí False
, pak je událost přeskočena.
Jiné návratové hodnoty jsou nedefinované.
Sekce trigger
¶
Sekce trigger
specifikuje, jaké druhy akcí mají být provedeny, když je trigger
vyvolán úspěšným výsledkem v sekci predicate
.
Podrobnosti viz kapitola triggery korelátoru.