Правила выявления угроз

Раздел используется для работы с правилами выявления угроз и исключениями из правил выявления угроз.

Правила выявления угроз

Раздел Правила выявления угроз позволяет:

• Проводить навигацию по правилам:

  • Искать правила по: номеру, названию, описанию, техническому названию.

  • Фильтровать правила.

  • Сортировать правила по: номеру, уровням доверия и важности.

• Просматривать информацию по правилу:

  • Номер, название и техническое название.

  • Логику правила.

  • Уровни важности и доверия.

  • Описание.

  • Связанные тактики и техники MITRE ATT&CK.

  • Привязанные исключения:

    • Общее количество привязанных исключений.

    • Статус исключения.

    • Даты создания и редактирования исключения.

    • Авторы создания и изменения.

    • Комментарий к исключению.

    • Содержимое исключения: условия или код запроса.

• Переходить по ссылке:

  • к описанию связанной техники в публичной базе MITRE ATT&CK.

  • к другой полезной справочной информации.

• Работать с исключениями:

  • Привязанными к правилу:

    • Включать, выключать, редактировать и удалять привязанные к правилу исключения.

    • Просматривать тело запроса.

    • Переходить к детальной информации о привязанном к правилу исключении.

  • Создавать новые исключения.

  • Сохранять конфигурацию.

  • Переходить к подразделу Исключения.

Исключения

Подраздел Исключения позволяет:

• Переходить обратно к разделу Правила выявления угроз.

• Проводить навигацию по исключениям:

  • Искать исключения по: названию, техническому названию, комментарию, описанию.

  • Фильтровать исключения.

  • Сортировать исключения по: датам создания, изменения, использования и автору создания, изменения.

• Просматривать информацию по исключению:

  • Номер исключения

  • Номер и название правила, к которому привязано исключение.

  • Техническое название правила, к которому привязано исключение.

  • Даты создания, редактирования, использования исключения.

  • Авторы создания и редактирования исключения.

  • Статус исключения.

  • Комментарий.

  • Содержимое исключения: условия или код запроса.

  • Тип запроса: конструктор запросов или редактор кода.

• Работать с существующими исключениями:

  • Выбирать одно, несколько или все исключения.

  • Включать и выключать.

  • Редактировать или удалять.

• Создавать новые исключения.

• Сохранять конфигурацию.

Особенности

Статусы и состояния исключений

У исключений могут быть следующие статусы:

• Не применено — исключение создано, но еще не сохранено в конфигурацию.

• Применено — исключение сохранено в конфигурацию и используется.

• Неактивно — исключение сохранено в конфигурацию и не используется.

• Удалено — исключение будет удалено при сохранении конфигурации.

• Ошибка — в процессе создания источника данных для данного исключения возникла ошибка.

Независимо от статуса, у исключений может быть состояние в виде иконки:

• Отсутствует правило — в новой метаинформации из раздела Импорт метаданных алертов отсутствует правило, к которому было создано исключение.

Конструктор исключений

Любые изменения (создание или редактирование) в исключениях из правил выявления угроз проводятся через Конструктор исключений.

Конструктор исключений:

• Может быть открыт:

  • из правила — необходимое правило привяжется автоматически;

  • из формы Исключения — правило необходимо привязать вручную.

• Работает в двух режимах:

  • Конструктор исключений — условия задаются в интерфейсе через выбор параметров, операторов, значений.

  • Редактор кода — условия задаются в виде кода в формате cSQL или YAML.