Korelátor shody

Korelátor shody detekuje příchozí události na základě sekce predicate. Pokud událost odpovídá filtru predicate, je volána sekce trigger.

Hint

Vždy zvažte použití Korelátoru okna místo Korelátoru shody, protože Korelátor shody produkuje jednu výstupní událost na jednu vstupní událost a tedy neprovádí žádné seskupování příchozích událostí na základě času.

Příklad

---
define:
    name: "Network T1046 Network Service Discovery"
    description: "Detekuje připojení mezi dvěma IP adresami"
    type: correlator/match

logsource:
    type: "Network"

mitre:
    technique: "T1046"
    tactic: "TA0007"

predicate:
    !OR
    - !EQ
        - !ITEM EVENT log.level
        - "error"
    - !EQ
        - !ITEM EVENT log.level
        - "critical"
    - !EQ
        - !ITEM EVENT log.level
        - "emergency"

trigger:
    - event:
            threat.indicator.confidence: "Medium"
            threat.indicator.ip: !ITEM EVENT source.ip
            threat.indicator.port: !ITEM EVENT source.port
            threat.indicator.type: "ipv4-addr"

Sekce define

Tato sekce obsahuje společnou definici a metadata.

Položka name

Kratší, člověkem čitelný název této deklarace.

Položka type

Typ této deklarace, musí být correlator/match.

Položka description (volitelné)

Delší, pravděpodobně víceliniový, člověkem čitelný popis deklarace.

Sekce logsource

Specifikuje typy event lanes, ze kterých by měly být čteny příchozí události.

Sekce predicate

Predicate filtruje příchozí události pomocí výrazu. Pokud výraz vrátí True, událost vstoupí do sekce trigger. Pokud výraz vrátí False, pak je událost přeskočena.

Jiné návratové hodnoty jsou nedefinované.

Sekce trigger

Sekce trigger specifikuje, jaké druhy akcí mají být provedeny, když je trigger vyvolán úspěšným výsledkem v sekci predicate. Podrobnosti viz kapitola triggery korelátoru.