Přeskočit obsah

Spouštěče korelátoru

Spouštěče definují výstup korelátorů. Nacházejí se v sekci trigger korelátoru. Každý korelátor může definovat mnoho spouštěčů (jedná se o seznam).

Spouštěč může přistupovat k původní události pomocí příkazu !EVENT, je to poslední událost, která prošla vyhodnocovacím testem.

Hodnota z funkce agregátoru je k dispozici v !ARG.

Spouštěč event

Tento spouštěč vloží novou událost/upozornění do primární datové cesty.

Příklad spouštěče události:

trigger:
  - událost:
      !DICT
      typ: "{str:any}"
      with:
        AnalyzeValue:
          !GET
          from: !ARG RESULTS
          what: 0
        LastEvent: !EVENT
        AnotherAttribute: Foo

Může existovat až 5 výsledků, podobně jako v agregátoru mean spike:

spouštěč:
  - událost:
      !DICT
      typ: "{str:any}"
      with:
        události: !ARG EVENTS
        MeanSpike:
          !GET
          from: !ARG RESULTS
          what: 0
        MeanSpikeLastCount:
          !GET
          from: !ARG RESULTS
          what: 1
        MeanSpikeMean:
          !GET
          from: !ARG RESULTS
          what: 2

spouštěč lookup

Spouštěč Lookup manipuluje s obsahem vyhledávání. To znamená, že může přidávat (set), inkrementovat (add), dekrementovat (sub) a odstraňovat (delete) záznam v lookupu.

Záznam je identifikován pomocí klíče, což je jedinečný primární klíč.

Příklad spouštěče, který přidá položku do vyhledávání UserList:

 trigger:
  - lookup: UserList
    key: !ITEM EVENT Jméno uživatele
    set:
      Časové razítko: !NOW
      Foo: Bar

Příklad spouštěče, který odstraní položku z vyhledávacího seznamu UserList:

 trigger:
  - lookup: UserList
    smazat: !ITEM EVENT Jméno uživatele

Příklad spouštěče, který zvýší čítač (pole my_counter) v položce vyhledávání UserList:

 trigger:
  - lookup: UserList
    key: !ITEM EVENT Jméno uživatele
    add: my_counter

Příklad spouštěče, který snižuje čítač (pole my_counter) v položce vyhledávání UserList:

 trigger:
  - lookup: UserList
    key: !ITEM EVENT Jméno uživatele
    sub: my_counter

Pro add i sub lze název pole čítače vynechat. Proto se implicitně použije výchozí atribut _counter:

 trigger:
  - lookup: UserList
    key: !ITEM EVENT Jméno uživatele
    sub:

Pokud pole čítače neexistuje, vytvoří se s výchozí hodnotou 0.

Poznámka: K položkám vyhledávání lze přistupovat z deklarativních výrazů pomocí položek !LOOKUP.GET a !LOOKUP.CONTAINS.

spouštěč notification

Tento spouštěč vloží do cesty primárních dat nové oznámení, které se načte pomocí asab-print.

Příklad spouštěče notifikace:

  - notifikace:
      typ: mail
      šablona: notification.html
      to: eliska.novotna@teskalabs.com
      alert:
        !DICT
        typ: "{str:any}"
        with:
          message: "brute-force"
      event:
        !DICT
        type: "{str:any}"
        with:
          ecs.version: "1.10.0"
          event.kind: "alert"
          event.type: "brute-force"
          event.category: "attack"
          event.dataset: "correlator-webserver"