Korelátor shody
Korelátor shody detekuje příchozí události na základě sekce predicate
. Pokud událost odpovídá filtru predicate, je volána sekce trigger
.
Hint
Vždy zvažte použití Korelátoru okna místo Korelátoru shody, protože Korelátor shody produkuje jednu výstupní událost na jednu vstupní událost a tedy neprovádí žádné seskupování příchozích událostí na základě času.
Příklad
---
define:
name: "Network T1046 Network Service Discovery"
description: "Detekuje připojení mezi dvěma IP adresami"
type: correlator/match
logsource:
type: "Network"
mitre:
technique: "T1046"
tactic: "TA0007"
predicate:
!OR
- !EQ
- !ITEM EVENT log.level
- "error"
- !EQ
- !ITEM EVENT log.level
- "critical"
- !EQ
- !ITEM EVENT log.level
- "emergency"
trigger:
- event:
threat.indicator.confidence: "Medium"
threat.indicator.ip: !ITEM EVENT source.ip
threat.indicator.port: !ITEM EVENT source.port
threat.indicator.type: "ipv4-addr"
Sekce define
Tato sekce obsahuje společnou definici a metadata.
Položka name
Kratší, člověkem čitelný název této deklarace.
Položka type
Typ této deklarace, musí být correlator/match
.
Položka description
(volitelné)
Delší, pravděpodobně víceliniový, člověkem čitelný popis deklarace.
Sekce logsource
Specifikuje typy event lanes, ze kterých by měly být čteny příchozí události.
Sekce predicate
Predicate
filtruje příchozí události pomocí výrazu. Pokud výraz vrátí True
, událost vstoupí do sekce trigger
.
Pokud výraz vrátí False
, pak je událost přeskočena.
Jiné návratové hodnoty jsou nedefinované.
Sekce trigger
Sekce trigger
specifikuje, jaké druhy akcí mají být provedeny, když je trigger
vyvolán úspěšným výsledkem v sekci predicate
.
Podrobnosti viz kapitola triggery korelátoru.