Правила корреляции и исключения
Правила корреляции
Правило корреляции — это набор условий, при выполнении которых Yandex SIEM автоматически создает алерт. Правила анализируют поток событий безопасности и выявляют паттерны, характерные для угроз или аномалий.
Типы правил
В Yandex SIEM доступны два типа правил корреляции:
-
Предустановленные: Поставляются впо умолчанию. Охватывают типовые угрозы и сценарии атак. Нельзя удалить, но можно отключить или создать для них исключения.
-
Пользовательские: Создаются пользователем под конкретные задачи и сценарии. Можно редактировать и удалять.
Структура правила
Каждое правило корреляции содержит следующие параметры:
|
Параметр |
Описание |
|
Имя |
Уникальное название правила |
|
Описание |
Дополнительная информация о назначении правила |
|
Класс |
Категория угрозы, к которой относится правило |
|
Критичность |
Уровень серьезности алерта, создаваемого при срабатывании правила |
|
Условие корреляции |
KQL-запрос, определяющий, какие события считаются подозрительными. При составлении запроса доступны шаблоны, схема базы данных и датасеты |
|
Режим анализа событий |
Определяет, как правило обрабатывает события: в реальном времени или с заданной периодичностью |
|
Ключ агрегации |
Поле, по которому группируются события перед проверкой условия |
|
Окно агрегации |
Временной интервал, в пределах которого события объединяются для анализа |
|
Действия при срабатывании |
Настройки создаваемого алерта: имя, тип и классификация |
Статусы правил
Каждое правило имеет статус, отражающий его текущее состояние:
|
Статус |
Описание |
|
Healthy |
Правило активно и штатно обрабатывает события |
|
Unhealthy |
Правило требует внимания: возникли ошибки при обработке событий |
|
Inactive |
Правило отключено и не обрабатывает события |
Развертывание правил
Изменения в правилах вступают в силу после развертывания. Чтобы применить изменения, отметьте правило для развертывания. Статус развертывания отражает текущий этап применения изменений:
|
Статус развертывания |
Описание |
|
Изменено |
В правило внесены изменения, которые еще не отмечены для развертывания |
|
Будет развернуто |
Правило отмечено для развертывания |
|
Разворачивается |
Идет процесс применения изменений |
|
Развернуто |
Изменения успешно применены и правило работает в актуальной конфигурации |
|
Ошибка |
В процессе развертывания возникла ошибка |
Если изменения не нужны, можно сбросить их до последней развернутой версии.
Исключения
Исключение — запрещает создание алерта при срабатывании правила корреляции для определенных событий. Исключения позволяют снизить количество ложных срабатываний и анализ заведомо безопасных событий.
Структура исключения
Каждое исключение содержит следующие параметры:
|
Параметр |
Описание |
|
Имя |
Уникальное название исключения |
|
Описание |
Дополнительная информация о назначении исключения |
|
Привязанное правило |
Правило корреляции, для которого действует исключение. Выбирается из списка существующих правил |
|
Условия |
Одна или несколько пар «ключ = значение», определяющих события, которые не должны вызывать срабатывание правила |
Развертывание исключений
Изменения в исключениях, как и в правилах, вступают в силу после развертывания. Статусы развертывания исключений аналогичны статусам развертывания правил: Изменено, Будет развернуто, Разворачивается, Развернуто, Ошибка.