- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 16. Создание правил
- 16.3 Работа с процессом классификации
- 16.3.1 Синтаксис для процесса классификации
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 16. Создание правил
- 16.3 Работа с процессом классификации
- 16.3.1 Синтаксис для процесса классификации
16.3.1 Синтаксис для процесса классификации
Как только событие прошло процесс парсинга, оно переходит на этап классификации (рис.1). В данном разделе будет описываться синтаксис, используемый в процессе классификации.
Таблица 14 – Атрибуты правил
Атрибут
group
Возможные значения
Описание
Позволяет классифицировать правила по определенным категориям. Каждое правило должно принадлежать хотя бы к одной группе. Чтобы определить правила, которые срабатывают только в том случае, если сработало другое правило в определенной группе, используйте атрибуты if_group и if_matched_group. Например, указание принадлежности правила к нескольким группам: <group name="GROUP1_NAME,GROUP2_NAME,"> <rule id="100234" level="3"<if_sid>230</if_sid> <field name="alert_type">normal</field> <description>The file limit set for this agent is $(file_limit). Now, $(file_count) files are being monitored.</description> </rule>
Атрибут
rule
Возможные значения
см. таблицу 16 ниже
Описание
Используется для описания правил. Пример:<rule id="3151" level="10" frequency="8" timeframe="120"><if_matched_sid>3102</if_matched_sid> <description>sendmail: Sender domain has bogus MX record. </description><description>It should not be sending e-mail.</description> <mitre> <id>T1114</id> <id>T1499</id> </mitre><group> multiple_spam,pci_dss_11.4,gdpr_IV_35.7.d,nist_800_53_SI.4,tsc_CC6.1,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group> </rule>
Атрибут
match
Возможные значения
По умолчанию значение: n/a. По умолчанию использует sregex, но можно и любое регулярное выражение
Описание
Данный атрибут отвечает за поиск соответствия указанных данных в правиле и в событии и определяет, нужно ли выполнить правило. Пример, если найдено соответствие с id=100200 и событие содержит фразу «Queue flood!», то срабатывает правило и присваивается уровень критичности 3: <rule id="100001" maxsize="300" level="3"> <if_sid>100200</if_sid> <match>Queue flood!</match> <description>Flooded events queue.</description> </rule>
Атрибут
regex
Возможные значения
По умолчанию значение: n/a. По умолчанию использует regex, но можно и любое регулярное выражение
Описание
Аналогично атрибуту "<match>". Пример, если найдено соответствие с id=100200 и событие содержит действующий IP-адрес, срабатывает правило и присваивается уровень критичности 3: <rule id="100001" level="3"> <if_sid>100500</if_sid><regex> \d+.\d+.\d+.\d+</regex><description>Matches any valed IP</description></rule>
Атрибут
decoded_as
Возможные значения
По умолчанию значение: n/a. Имя парсера.
Описание
Необходимое условие для запуска правила: если событие прошло процесс парсинга по определенному парсеру, запускается правило. Пример: <rule id="53500" level="0"> <decoded_as>smtpd</decoded_as> <description>OpenSMTPd grouping. </description> </rule>
Атрибут
сategory
Возможные значения
По умолчанию значение: n/a. Любой тип
Описание
Необходимое условие для запуска правила. Правило запускается, если парсеруприсвоена определенная категория. Пример: <rule id="01" level="0" noalert="1"> <category>syslog</category> <description>Generic template for all syslog rules. </description> </rule>
Атрибут
field
Возможные значения
По умолчанию значение n/a. Любое имя или sregex, pcre2 выражение
Описание
Необходимое условие для запуска правила. Проверяет на соответствие значение в определенном поле.
Атрибут
srcip
Возможные значения
По умолчанию значение n/a. Любой IP-адрес
Описание
Необходимое условие для запуска правила. Проверяет на соответствие введенный IP-адрес с любыми IP-адресами или CIDR, которые есть в поле "srcip" в распарсенных событиях (см. табл. 10). Используется символ «!» для отрицания. Пример, если приходит событие с IP-адреса «10.25.23.12», то запуститься правило и присвоится уровень 8: <rule id="100105" level="8"> <if_sid>100100</if_sid> <srcip>10.25.23.12</srcip> <description>Forbidden srcip has been detected.</description> </rule>
Атрибут
dstip
Возможные значения
По умолчанию значение n/a. Любой IP-адрес
Описание
Необходимое условие для запуска правила. Проверяет на соответствие введенный IP-адрес с любыми IP-адресами или CIDR, которые есть в поле "dstip" в распарсенных событиях (см. табл. 10). Используется символ «!» для отрицания. Пример, если целевой IP-адрес не «198.168.41.30», то запуститься правило и присвоится уровень 5: <rule id="100110" level="5"> <if_sid>100100</if_sid> <dstip>!198.168.41.30</dstip> <description>A different dstip has been detected.</description> </rule>
Атрибут
srcport
Возможные значения
По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения)
Описание
Необходимое условие для запуска правила. Проверяет на соответствие введенный порт с любым портом, которые есть в поле "srcport" в распарсенных событиях (см. табл. 10). Пример, если порт источника находится в диапазоне от 50 000 до 50 007, то сработает правило и присваивается уровень 5: <rule id="100110" level="5"> <if_sid>100100</if_sid> <srcport type="pcre2">^5000[0-7]$</srcport> <description>Source port $(srcport) is detected.</description> </rule>
Атрибут
dstport
Возможные значения
По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения)
Описание
Необходимое условие для запуска правила. Проверяет на соответствие введенный порт с любым портом, которые есть в поле «dstport» в распарсенных событиях (см. табл.10).
Атрибут
data
Возможные значения
По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения)
Описание
Необходимое условие для запуска правила. Проверят на соответствие данным, которые есть в поле «data» в распарсенных событиях (см. табл.10).
Атрибут
extra_data
Возможные значения
По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения)
Описание
Необходимое условие для запуска правила. Проверят на соответствие данным, которые есть в поле «extra_data» в распарсенных событиях (см. табл.10). Пример, если событие принадлежит категории «windows», а распарсенное поле «extra_data» содержит «Symantec AntiVirus», то сработает правило и присвоит уровень 0: <rule id="7301" level="0"> <category>windows</category> <extra_data>^Symantec AntiVirus </extra_data> <description>Grouping of Symantec AV rules from eventlog.</description> </rule>
Атрибут
user
Возможные значения
По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения)
Описание
Необходимое условие для запуска правила. Проверяет имя пользователя. Пример, если пользователь не «admin» или «root» успешно войдет в систему, сработает правило и присвоит уровень 12: <rule id="140101" level="12"> <if_group>authentication_success</if_group> <user negate="yes">admin|root</user> <description>Unexpected user successfully logged to the system.</description> </rule>
Атрибут
system_name
Возможные значения
По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения)
Описание
Необходимое условие для запуска правила. Проверяет имя системы.
Атрибут
program_name
Возможные значения
По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения)
Описание
Необходимое условие для запуска правила. Проверяет имя программы. Пример, при перезапуске программы «syslogd» сработает правило и присвоит уровень 5: <rule id="1005" level="5"> <program_name>syslogd</program_name> <match>^restart</match> <description>Syslogd restarted.</description> <group>pci_dss_10.6.1,gpg13_10.1,gpg13_4.14,gdpr_IV_35.7.d,hipaa_164.312.b,nist_800_53_AU.6,</group> </rule>
| Атрибут | Возможные значения | Описание |
|---|---|---|
group | Позволяет классифицировать правила по определенным категориям. Каждое правило должно принадлежать хотя бы к одной группе. Чтобы определить правила, которые срабатывают только в том случае, если сработало другое правило в определенной группе, используйте атрибуты if_group и if_matched_group. Например, указание принадлежности правила к нескольким группам: <group name="GROUP1_NAME,GROUP2_NAME,"> <rule id="100234" level="3"<if_sid>230</if_sid> <field name="alert_type">normal</field> <description>The file limit set for this agent is $(file_limit). Now, $(file_count) files are being monitored.</description> </rule> | |
rule | см. таблицу 16 ниже | Используется для описания правил. Пример:<rule id="3151" level="10" frequency="8" timeframe="120"><if_matched_sid>3102</if_matched_sid> <description>sendmail: Sender domain has bogus MX record. </description><description>It should not be sending e-mail.</description> <mitre> <id>T1114</id> <id>T1499</id> </mitre><group> multiple_spam,pci_dss_11.4,gdpr_IV_35.7.d,nist_800_53_SI.4,tsc_CC6.1,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group> </rule> |
match | По умолчанию значение: n/a. По умолчанию использует sregex, но можно и любое регулярное выражение | Данный атрибут отвечает за поиск соответствия указанных данных в правиле и в событии и определяет, нужно ли выполнить правило. Пример, если найдено соответствие с id=100200 и событие содержит фразу «Queue flood!», то срабатывает правило и присваивается уровень критичности 3: <rule id="100001" maxsize="300" level="3"> <if_sid>100200</if_sid> <match>Queue flood!</match> <description>Flooded events queue.</description> </rule> |
regex | По умолчанию значение: n/a. По умолчанию использует regex, но можно и любое регулярное выражение | Аналогично атрибуту "<match>". Пример, если найдено соответствие с id=100200 и событие содержит действующий IP-адрес, срабатывает правило и присваивается уровень критичности 3: <rule id="100001" level="3"> <if_sid>100500</if_sid><regex> \d+.\d+.\d+.\d+</regex><description>Matches any valed IP</description></rule> |
decoded_as | По умолчанию значение: n/a. Имя парсера. | Необходимое условие для запуска правила: если событие прошло процесс парсинга по определенному парсеру, запускается правило. Пример: <rule id="53500" level="0"> <decoded_as>smtpd</decoded_as> <description>OpenSMTPd grouping. </description> </rule> |
сategory | По умолчанию значение: n/a. Любой тип | Необходимое условие для запуска правила. Правило запускается, если парсеруприсвоена определенная категория. Пример: <rule id="01" level="0" noalert="1"> <category>syslog</category> <description>Generic template for all syslog rules. </description> </rule> |
field | По умолчанию значение n/a. Любое имя или sregex, pcre2 выражение | Необходимое условие для запуска правила. Проверяет на соответствие значение в определенном поле. |
srcip | По умолчанию значение n/a. Любой IP-адрес | Необходимое условие для запуска правила. Проверяет на соответствие введенный IP-адрес с любыми IP-адресами или CIDR, которые есть в поле "srcip" в распарсенных событиях (см. табл. 10). Используется символ «!» для отрицания. Пример, если приходит событие с IP-адреса «10.25.23.12», то запуститься правило и присвоится уровень 8: <rule id="100105" level="8"> <if_sid>100100</if_sid> <srcip>10.25.23.12</srcip> <description>Forbidden srcip has been detected.</description> </rule> |
dstip | По умолчанию значение n/a. Любой IP-адрес | Необходимое условие для запуска правила. Проверяет на соответствие введенный IP-адрес с любыми IP-адресами или CIDR, которые есть в поле "dstip" в распарсенных событиях (см. табл. 10). Используется символ «!» для отрицания. Пример, если целевой IP-адрес не «198.168.41.30», то запуститься правило и присвоится уровень 5: <rule id="100110" level="5"> <if_sid>100100</if_sid> <dstip>!198.168.41.30</dstip> <description>A different dstip has been detected.</description> </rule> |
srcport | По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения) | Необходимое условие для запуска правила. Проверяет на соответствие введенный порт с любым портом, которые есть в поле "srcport" в распарсенных событиях (см. табл. 10). Пример, если порт источника находится в диапазоне от 50 000 до 50 007, то сработает правило и присваивается уровень 5: <rule id="100110" level="5"> <if_sid>100100</if_sid> <srcport type="pcre2">^5000[0-7]$</srcport> <description>Source port $(srcport) is detected.</description> </rule> |
dstport | По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения) | Необходимое условие для запуска правила. Проверяет на соответствие введенный порт с любым портом, которые есть в поле «dstport» в распарсенных событиях (см. табл.10). |
data | По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения) | Необходимое условие для запуска правила. Проверят на соответствие данным, которые есть в поле «data» в распарсенных событиях (см. табл.10). |
extra_data | По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения) | Необходимое условие для запуска правила. Проверят на соответствие данным, которые есть в поле «extra_data» в распарсенных событиях (см. табл.10). Пример, если событие принадлежит категории «windows», а распарсенное поле «extra_data» содержит «Symantec AntiVirus», то сработает правило и присвоит уровень 0: <rule id="7301" level="0"> <category>windows</category> <extra_data>^Symantec AntiVirus </extra_data> <description>Grouping of Symantec AV rules from eventlog.</description> </rule> |
user | По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения) | Необходимое условие для запуска правила. Проверяет имя пользователя. Пример, если пользователь не «admin» или «root» успешно войдет в систему, сработает правило и присвоит уровень 12: <rule id="140101" level="12"> <if_group>authentication_success</if_group> <user negate="yes">admin|root</user> <description>Unexpected user successfully logged to the system.</description> </rule> |
system_name | По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения) | Необходимое условие для запуска правила. Проверяет имя системы. |
program_name | По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения) | Необходимое условие для запуска правила. Проверяет имя программы. Пример, при перезапуске программы «syslogd» сработает правило и присвоит уровень 5: <rule id="1005" level="5"> <program_name>syslogd</program_name> <match>^restart</match> <description>Syslogd restarted.</description> <group>pci_dss_10.6.1,gpg13_10.1,gpg13_4.14,gdpr_IV_35.7.d,hipaa_164.312.b,nist_800_53_AU.6,</group> </rule> |
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 16. Создание правил
- 16.3 Работа с процессом классификации
- 16.3.1 Синтаксис для процесса классификации
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 16. Создание правил
- 16.3 Работа с процессом классификации
- 16.3.1 Синтаксис для процесса классификации
16.3.1 Синтаксис для процесса классификации
Как только событие прошло процесс парсинга, оно переходит на этап классификации (рис.1). В данном разделе будет описываться синтаксис, используемый в процессе классификации.
Таблица 14 – Атрибуты правил
Атрибут
group
Возможные значения
Описание
Позволяет классифицировать правила по определенным категориям. Каждое правило должно принадлежать хотя бы к одной группе. Чтобы определить правила, которые срабатывают только в том случае, если сработало другое правило в определенной группе, используйте атрибуты if_group и if_matched_group. Например, указание принадлежности правила к нескольким группам: <group name="GROUP1_NAME,GROUP2_NAME,"> <rule id="100234" level="3"<if_sid>230</if_sid> <field name="alert_type">normal</field> <description>The file limit set for this agent is $(file_limit). Now, $(file_count) files are being monitored.</description> </rule>
Атрибут
rule
Возможные значения
см. таблицу 16 ниже
Описание
Используется для описания правил. Пример:<rule id="3151" level="10" frequency="8" timeframe="120"><if_matched_sid>3102</if_matched_sid> <description>sendmail: Sender domain has bogus MX record. </description><description>It should not be sending e-mail.</description> <mitre> <id>T1114</id> <id>T1499</id> </mitre><group> multiple_spam,pci_dss_11.4,gdpr_IV_35.7.d,nist_800_53_SI.4,tsc_CC6.1,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group> </rule>
Атрибут
match
Возможные значения
По умолчанию значение: n/a. По умолчанию использует sregex, но можно и любое регулярное выражение
Описание
Данный атрибут отвечает за поиск соответствия указанных данных в правиле и в событии и определяет, нужно ли выполнить правило. Пример, если найдено соответствие с id=100200 и событие содержит фразу «Queue flood!», то срабатывает правило и присваивается уровень критичности 3: <rule id="100001" maxsize="300" level="3"> <if_sid>100200</if_sid> <match>Queue flood!</match> <description>Flooded events queue.</description> </rule>
Атрибут
regex
Возможные значения
По умолчанию значение: n/a. По умолчанию использует regex, но можно и любое регулярное выражение
Описание
Аналогично атрибуту "<match>". Пример, если найдено соответствие с id=100200 и событие содержит действующий IP-адрес, срабатывает правило и присваивается уровень критичности 3: <rule id="100001" level="3"> <if_sid>100500</if_sid><regex> \d+.\d+.\d+.\d+</regex><description>Matches any valed IP</description></rule>
Атрибут
decoded_as
Возможные значения
По умолчанию значение: n/a. Имя парсера.
Описание
Необходимое условие для запуска правила: если событие прошло процесс парсинга по определенному парсеру, запускается правило. Пример: <rule id="53500" level="0"> <decoded_as>smtpd</decoded_as> <description>OpenSMTPd grouping. </description> </rule>
Атрибут
сategory
Возможные значения
По умолчанию значение: n/a. Любой тип
Описание
Необходимое условие для запуска правила. Правило запускается, если парсеруприсвоена определенная категория. Пример: <rule id="01" level="0" noalert="1"> <category>syslog</category> <description>Generic template for all syslog rules. </description> </rule>
Атрибут
field
Возможные значения
По умолчанию значение n/a. Любое имя или sregex, pcre2 выражение
Описание
Необходимое условие для запуска правила. Проверяет на соответствие значение в определенном поле.
Атрибут
srcip
Возможные значения
По умолчанию значение n/a. Любой IP-адрес
Описание
Необходимое условие для запуска правила. Проверяет на соответствие введенный IP-адрес с любыми IP-адресами или CIDR, которые есть в поле "srcip" в распарсенных событиях (см. табл. 10). Используется символ «!» для отрицания. Пример, если приходит событие с IP-адреса «10.25.23.12», то запуститься правило и присвоится уровень 8: <rule id="100105" level="8"> <if_sid>100100</if_sid> <srcip>10.25.23.12</srcip> <description>Forbidden srcip has been detected.</description> </rule>
Атрибут
dstip
Возможные значения
По умолчанию значение n/a. Любой IP-адрес
Описание
Необходимое условие для запуска правила. Проверяет на соответствие введенный IP-адрес с любыми IP-адресами или CIDR, которые есть в поле "dstip" в распарсенных событиях (см. табл. 10). Используется символ «!» для отрицания. Пример, если целевой IP-адрес не «198.168.41.30», то запуститься правило и присвоится уровень 5: <rule id="100110" level="5"> <if_sid>100100</if_sid> <dstip>!198.168.41.30</dstip> <description>A different dstip has been detected.</description> </rule>
Атрибут
srcport
Возможные значения
По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения)
Описание
Необходимое условие для запуска правила. Проверяет на соответствие введенный порт с любым портом, которые есть в поле "srcport" в распарсенных событиях (см. табл. 10). Пример, если порт источника находится в диапазоне от 50 000 до 50 007, то сработает правило и присваивается уровень 5: <rule id="100110" level="5"> <if_sid>100100</if_sid> <srcport type="pcre2">^5000[0-7]$</srcport> <description>Source port $(srcport) is detected.</description> </rule>
Атрибут
dstport
Возможные значения
По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения)
Описание
Необходимое условие для запуска правила. Проверяет на соответствие введенный порт с любым портом, которые есть в поле «dstport» в распарсенных событиях (см. табл.10).
Атрибут
data
Возможные значения
По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения)
Описание
Необходимое условие для запуска правила. Проверят на соответствие данным, которые есть в поле «data» в распарсенных событиях (см. табл.10).
Атрибут
extra_data
Возможные значения
По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения)
Описание
Необходимое условие для запуска правила. Проверят на соответствие данным, которые есть в поле «extra_data» в распарсенных событиях (см. табл.10). Пример, если событие принадлежит категории «windows», а распарсенное поле «extra_data» содержит «Symantec AntiVirus», то сработает правило и присвоит уровень 0: <rule id="7301" level="0"> <category>windows</category> <extra_data>^Symantec AntiVirus </extra_data> <description>Grouping of Symantec AV rules from eventlog.</description> </rule>
Атрибут
user
Возможные значения
По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения)
Описание
Необходимое условие для запуска правила. Проверяет имя пользователя. Пример, если пользователь не «admin» или «root» успешно войдет в систему, сработает правило и присвоит уровень 12: <rule id="140101" level="12"> <if_group>authentication_success</if_group> <user negate="yes">admin|root</user> <description>Unexpected user successfully logged to the system.</description> </rule>
Атрибут
system_name
Возможные значения
По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения)
Описание
Необходимое условие для запуска правила. Проверяет имя системы.
Атрибут
program_name
Возможные значения
По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения)
Описание
Необходимое условие для запуска правила. Проверяет имя программы. Пример, при перезапуске программы «syslogd» сработает правило и присвоит уровень 5: <rule id="1005" level="5"> <program_name>syslogd</program_name> <match>^restart</match> <description>Syslogd restarted.</description> <group>pci_dss_10.6.1,gpg13_10.1,gpg13_4.14,gdpr_IV_35.7.d,hipaa_164.312.b,nist_800_53_AU.6,</group> </rule>
| Атрибут | Возможные значения | Описание |
|---|---|---|
group | Позволяет классифицировать правила по определенным категориям. Каждое правило должно принадлежать хотя бы к одной группе. Чтобы определить правила, которые срабатывают только в том случае, если сработало другое правило в определенной группе, используйте атрибуты if_group и if_matched_group. Например, указание принадлежности правила к нескольким группам: <group name="GROUP1_NAME,GROUP2_NAME,"> <rule id="100234" level="3"<if_sid>230</if_sid> <field name="alert_type">normal</field> <description>The file limit set for this agent is $(file_limit). Now, $(file_count) files are being monitored.</description> </rule> | |
rule | см. таблицу 16 ниже | Используется для описания правил. Пример:<rule id="3151" level="10" frequency="8" timeframe="120"><if_matched_sid>3102</if_matched_sid> <description>sendmail: Sender domain has bogus MX record. </description><description>It should not be sending e-mail.</description> <mitre> <id>T1114</id> <id>T1499</id> </mitre><group> multiple_spam,pci_dss_11.4,gdpr_IV_35.7.d,nist_800_53_SI.4,tsc_CC6.1,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group> </rule> |
match | По умолчанию значение: n/a. По умолчанию использует sregex, но можно и любое регулярное выражение | Данный атрибут отвечает за поиск соответствия указанных данных в правиле и в событии и определяет, нужно ли выполнить правило. Пример, если найдено соответствие с id=100200 и событие содержит фразу «Queue flood!», то срабатывает правило и присваивается уровень критичности 3: <rule id="100001" maxsize="300" level="3"> <if_sid>100200</if_sid> <match>Queue flood!</match> <description>Flooded events queue.</description> </rule> |
regex | По умолчанию значение: n/a. По умолчанию использует regex, но можно и любое регулярное выражение | Аналогично атрибуту "<match>". Пример, если найдено соответствие с id=100200 и событие содержит действующий IP-адрес, срабатывает правило и присваивается уровень критичности 3: <rule id="100001" level="3"> <if_sid>100500</if_sid><regex> \d+.\d+.\d+.\d+</regex><description>Matches any valed IP</description></rule> |
decoded_as | По умолчанию значение: n/a. Имя парсера. | Необходимое условие для запуска правила: если событие прошло процесс парсинга по определенному парсеру, запускается правило. Пример: <rule id="53500" level="0"> <decoded_as>smtpd</decoded_as> <description>OpenSMTPd grouping. </description> </rule> |
сategory | По умолчанию значение: n/a. Любой тип | Необходимое условие для запуска правила. Правило запускается, если парсеруприсвоена определенная категория. Пример: <rule id="01" level="0" noalert="1"> <category>syslog</category> <description>Generic template for all syslog rules. </description> </rule> |
field | По умолчанию значение n/a. Любое имя или sregex, pcre2 выражение | Необходимое условие для запуска правила. Проверяет на соответствие значение в определенном поле. |
srcip | По умолчанию значение n/a. Любой IP-адрес | Необходимое условие для запуска правила. Проверяет на соответствие введенный IP-адрес с любыми IP-адресами или CIDR, которые есть в поле "srcip" в распарсенных событиях (см. табл. 10). Используется символ «!» для отрицания. Пример, если приходит событие с IP-адреса «10.25.23.12», то запуститься правило и присвоится уровень 8: <rule id="100105" level="8"> <if_sid>100100</if_sid> <srcip>10.25.23.12</srcip> <description>Forbidden srcip has been detected.</description> </rule> |
dstip | По умолчанию значение n/a. Любой IP-адрес | Необходимое условие для запуска правила. Проверяет на соответствие введенный IP-адрес с любыми IP-адресами или CIDR, которые есть в поле "dstip" в распарсенных событиях (см. табл. 10). Используется символ «!» для отрицания. Пример, если целевой IP-адрес не «198.168.41.30», то запуститься правило и присвоится уровень 5: <rule id="100110" level="5"> <if_sid>100100</if_sid> <dstip>!198.168.41.30</dstip> <description>A different dstip has been detected.</description> </rule> |
srcport | По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения) | Необходимое условие для запуска правила. Проверяет на соответствие введенный порт с любым портом, которые есть в поле "srcport" в распарсенных событиях (см. табл. 10). Пример, если порт источника находится в диапазоне от 50 000 до 50 007, то сработает правило и присваивается уровень 5: <rule id="100110" level="5"> <if_sid>100100</if_sid> <srcport type="pcre2">^5000[0-7]$</srcport> <description>Source port $(srcport) is detected.</description> </rule> |
dstport | По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения) | Необходимое условие для запуска правила. Проверяет на соответствие введенный порт с любым портом, которые есть в поле «dstport» в распарсенных событиях (см. табл.10). |
data | По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения) | Необходимое условие для запуска правила. Проверят на соответствие данным, которые есть в поле «data» в распарсенных событиях (см. табл.10). |
extra_data | По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения) | Необходимое условие для запуска правила. Проверят на соответствие данным, которые есть в поле «extra_data» в распарсенных событиях (см. табл.10). Пример, если событие принадлежит категории «windows», а распарсенное поле «extra_data» содержит «Symantec AntiVirus», то сработает правило и присвоит уровень 0: <rule id="7301" level="0"> <category>windows</category> <extra_data>^Symantec AntiVirus </extra_data> <description>Grouping of Symantec AV rules from eventlog.</description> </rule> |
user | По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения) | Необходимое условие для запуска правила. Проверяет имя пользователя. Пример, если пользователь не «admin» или «root» успешно войдет в систему, сработает правило и присвоит уровень 12: <rule id="140101" level="12"> <if_group>authentication_success</if_group> <user negate="yes">admin|root</user> <description>Unexpected user successfully logged to the system.</description> </rule> |
system_name | По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения) | Необходимое условие для запуска правила. Проверяет имя системы. |
program_name | По умолчанию значение n/a. Любое регулярное выражение (см. Регулярные выражения) | Необходимое условие для запуска правила. Проверяет имя программы. Пример, при перезапуске программы «syslogd» сработает правило и присвоит уровень 5: <rule id="1005" level="5"> <program_name>syslogd</program_name> <match>^restart</match> <description>Syslogd restarted.</description> <group>pci_dss_10.6.1,gpg13_10.1,gpg13_4.14,gdpr_IV_35.7.d,hipaa_164.312.b,nist_800_53_AU.6,</group> </rule> |