Přeskočit obsah

Spouštěče

Spouštěče definují výstup korelátorů, baselineů atd. Žijí v sekci trigger korelátoru. Každé pravidlo v knihovně může definovat mnoho spouštěčů (je to seznam).

Spouštěč může přistupovat k původní události prostřednictvím výrazu !EVENT, což je poslední událost, která prošla testem hodnocení.

Hodnota z agregační funkce je dostupná na !ARG.

Spouštěč event

Tento spouštěč vloží novou událost do komplexního Event lane.

Příklad event spouštěče:

trigger:
  - event:
      threat.indicator.confidence: "Medium"
      threat.indicator.ip: !ITEM EVENT source.ip
      threat.indicator.port: !ITEM EVENT source.port
      threat.indicator.type: "ipv4-addr"

Může se jednat až o 5 výsledků, například v agregační funkci mean spike:

trigger:
  - event:
      events: !ARG EVENTS
      MeanSpike:
        !GET
        from: !ARG RESULTS
        what: 0
      MeanSpikeLastCount:
        !GET
        from: !ARG RESULTS
        what: 1
      MeanSpikeMean:
        !GET
        from: !ARG RESULTS
        what: 2

Spouštěč lookup

Spouštěč lookup manipuluje s obsahem lookupu. To znamená, že může přidat (set), inkrementovat (add), dekrementovat (sub) a odstranit (delete) záznam v lookupu.

Záznam je identifikován pomocí klíče, což je jedinečný primární klíč.

Příklad spouštěče, který přidá záznam do lookupu user_list:

 trigger:
  - lookup: user_list
    key: !ITEM EVENT user.name
    set:
      score: 1

Příklad spouštěče, který odstraní záznam z lookupu user_list:

 trigger:
  - lookup: user_list
    delete: !ITEM EVENT user.name

Příklad spouštěče, který inkrementuje čítač (pole my_counter) v záznamu lookupu user_list:

 trigger:
  - lookup: user_list
    key: !ITEM EVENT user.name
    add: my_counter

Příklad spouštěče, který dekrementuje čítač (pole my_counter) v záznamu lookupu user_list:

 trigger:
  - lookup: user_list
    key: !ITEM EVENT user.name
    sub: my_counter

Pokud pole čítače neexistuje, je vytvořeno s defaultní hodnotou 0.

Spouštěč notification

Tento spouštěč vloží nové oznámení do primární datové cesty, kterou čte asab-iris.

Příklad notification spouštěče:

  - notification:
      type: email
      template: "/Templates/Email/notification_4728.md"
      to: eliska.novotna@teskalabs.com
      variables:
        name: "brute-force"
        events: !ARG