- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 16. Создание правил
- 16.3 Работа с процессом классификации
- 16.3.3 Пример написания правил агрегации
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 16. Создание правил
- 16.3 Работа с процессом классификации
- 16.3.3 Пример написания правил агрегации
16.3.3 Пример написания правил агрегации
Для созданий правил агрегации необходимо использовать синтаксис процесса классификации.
То правило, которое нужно агрегировать, необходимо переопределить в файле local_rules.xml. Для этого достаточно скопировать правило агрегации из файла системных правил. Например, правило с «id="5760"»:
Block of code
<rule id="5760" level="5">
<if_sid>5700,5716</if_sid>
<match>Failed password|Failed keyboard|authentication error</match>
<description>sshd: authentication failed.</description>
<mitre>
<id>T1110.001</id>
<id>T1021.004</id>
</mitre>
<group>authentication_failed,</group>
</rule>
Далее необходимо изменить текст правила и добавить в файл local_rules.xml, новое правило. Для этого следует заменить «level = 1» и добавить опцию «overwrite="yes"» в атрибуте «rule» ( синтаксис процесса классификации табл. 16 ) для переопределения. Все остальные поля можно удалить, кроме «description», которое является обязательным:
Block of code
<rule id="5760" level="1" overwrite="yes">
<description>sshd: authentication failed.</description>
</rule>
Где:
- Атрибут «frequency» показывает количество срабатываний агрегируемого правила.
- Атрибут «timeframe» показывает временной промежуток (в секундах), за который агрегируемое правило должно сработать «frequency» раз, для того чтобы запустилось правило агрегации.
- Для указания id агрегируемого правила используем «if_matched_sid».
- Для описания используется поле «description».
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 16. Создание правил
- 16.3 Работа с процессом классификации
- 16.3.3 Пример написания правил агрегации
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 16. Создание правил
- 16.3 Работа с процессом классификации
- 16.3.3 Пример написания правил агрегации
16.3.3 Пример написания правил агрегации
Для созданий правил агрегации необходимо использовать синтаксис процесса классификации.
То правило, которое нужно агрегировать, необходимо переопределить в файле local_rules.xml. Для этого достаточно скопировать правило агрегации из файла системных правил. Например, правило с «id="5760"»:
Block of code
<rule id="5760" level="5">
<if_sid>5700,5716</if_sid>
<match>Failed password|Failed keyboard|authentication error</match>
<description>sshd: authentication failed.</description>
<mitre>
<id>T1110.001</id>
<id>T1021.004</id>
</mitre>
<group>authentication_failed,</group>
</rule>
Далее необходимо изменить текст правила и добавить в файл local_rules.xml, новое правило. Для этого следует заменить «level = 1» и добавить опцию «overwrite="yes"» в атрибуте «rule» ( синтаксис процесса классификации табл. 16 ) для переопределения. Все остальные поля можно удалить, кроме «description», которое является обязательным:
Block of code
<rule id="5760" level="1" overwrite="yes">
<description>sshd: authentication failed.</description>
</rule>
Где:
- Атрибут «frequency» показывает количество срабатываний агрегируемого правила.
- Атрибут «timeframe» показывает временной промежуток (в секундах), за который агрегируемое правило должно сработать «frequency» раз, для того чтобы запустилось правило агрегации.
- Для указания id агрегируемого правила используем «if_matched_sid».
- Для описания используется поле «description».