Triggery
Trigger, v alertu nebo detekci, provádí akci. Například v detekci může sekce trigger
odeslat e-mail, když je detekována specifikovaná aktivita.
Trigger může:
- Spustit událost: Odešle událost do Elasticsearch, kde je uložena jako dokument. Poté můžete vidět událost jako log v aplikaci TeskaLabs LogMan.io. Můžete vytvořit vlastní dashboard pro zobrazení detekcí korelčních pravidel nebo najít logy v Průzkumník.
- Spustit oznámení: Odešle zprávu přes e-mail
Spuštění události
Můžete spustit událost. Konečným výsledkem je, že trigger vytvoří log události, kterou můžete vidět v TeskaLabs LogMan.io.
Položka v trigger |
Jak zahrnout |
---|---|
|
V triggeru, event znamená, že pravidlo vytvoří událost na základě této pozitivní detekce a odešle ji do datové pipeline přes Elasticsearch, kde je uložena jako dokument. Poté událost projde do TeskaLabs LogMan.io, kde můžete tuto událost vidět v Průzkumník a Dashboards.
|
|
!DICT vytvoří slovník klíčů (polí) a hodnot. type má "st:any" (znamená string), takže jakýkoli typ hodnoty (čísla, slova atd.) může být hodnota v páru klíč-hodnota. with začíná seznam páru klíč-hodnota, které definujete. Toto jsou pole a hodnoty, ze kterých bude událost složena.
|
Následující with
vytvořte seznam páru klíč-hodnota, nebo pole a hodnoty, které chcete v události mít.
!DICT
type: "{str:any}"
with:
key.1: "value"
key.2: "value"
key.3: "value"
key.4: "value"
Pokud používáte Elasticsearch a tedy Elastic Common Schema (ECS), můžete si přečíst o standardních polích v ECS reference guide.
Spuštění oznámení
Oznámení odesílají zprávy. V současné době můžete použít oznámení k odesílání e-mailů.
Více informací o psaní oznámení a vytváření e-mailových šablon.