Přeskočit obsah

Vyhledávání

Vyhledávání jsou slovníky entit s atributy, které jsou relevantní buď pro analýzu, nebo pro detekci kyberbezpečnostních incidentů.

Vyhledávání mohou být:

  • Jednoduchý seznam podezřelých IP adres, aktivních VPN připojení, apod.
  • Slovníky uživatelských jmen s uživatelskými atributy, jako je user.id, user.email, apod.
  • Slovníky složených klíčů, jako jsou kombinace IP adres a uživatelských jmen pro monitorování uživatelské aktivity.
Co dělají vyhledávání?

Vyhledávání, podobná slovníkům, obsahují další užitečné informace o datech, která již máte, což může učinit vaše logy informativnějšími a cennějšími.

Jednoduchý příklad:
Vaše organizace má logy o odeslaných e-mailech, které obsahují e-mailové adresy odesílatelů. Chcete však, aby logy v uživatelském rozhraní LogMan.io obsahovaly nejen e-mailovou adresu odesílatele, ale i jeho jméno. Máte tedy vyhledávání, ve kterém je každá položka e-mailová adresa zaměstnance s přiřazeným jménem zaměstnance. Pokud toto vyhledávání použijete v obohacovací části procesu analýzy, analyzátor „vyhledá“ jméno zaměstnance na základě jeho e-mailové adresy v tomto slovníku a zahrne jméno zaměstnance do logu.

Rychlý start

K nastavení vyhledávání:

  1. Vytvořte deklaraci vyhledávání v Knihovně LogMan.io (popis vyhledávání)
  2. Vytvořte vyhledávání a jeho obsah v sekci Vyhledávání v UI (obsah vyhledávání)
  3. Přidejte vyhledávání do relevantních pravidel pro analýzu a/nebo korelaci v Knihovně (aplikace vyhledávání)

Note

Ujistěte se, že všechny relevantní komponenty jsou nasazeny, viz Nasazení.

Deklarace

Všechna vyhledávání jsou definována jejich deklaracemi uloženými ve složce /Lookups.

Názvoslovná konvence pro deklarace je lookupname.yaml, například myuserlookup.yaml:

---
define:
    type: lookup
    name: myuserlookup

keys:
    - name: userid
      type: str

fields:
    username:
        type: str

V define specifikujte typ vyhledávání type, jméno vyhledávání name (informace o tenantovi budou přidány automaticky), klíče s jejich jmény (volitelnými) a typy a pole ve výstupní struktuře záznamu. Struktura záznamu NENÍ založena na schématu a NEMĚLA by obsahovat tečky.

Note

Názvy klíčů a polí nesmějí obsahovat speciální znaky, jako je tečka, apod.

Typy vyhledávání

Obecné vyhledávání

Obecné vyhledávání slouží k vytváření seznamů klíčů nebo párů klíč-hodnota. Typ type v deklaraci v části define je prostě lookup:

---
define:
    type: lookup
    ...

Při analýze mohou být obecná vyhledávání použita pouze ve standardním obohacovači s výrazem !LOOKUP.

Pro více informací o obecných vyhledáváních viz Obecné vyhledávání.

Vyhledávání IP adres

Vyhledávání rozsahu IP adres

Vyhledávání rozsahu IP adres používá rozsahy IP adres, jako jsou 192.168.1.1192.168.1.10, jako klíče.

Deklarace vyhledávání rozsahu IP adres musí obsahovat typ lookup/ipaddressrange v sekci define a dva klíče s typem ip v sekci keys:

define:
  type: lookup/ipaddressrange
  name: mylookup
  group: mygroup

keys:
  - name: range1
    type: ip
  - name: range2
    type: ip

fields:
  ...

Vyhledávání jedné IP adresy

Vyhledávání jedné IP adresy je vyhledávání, které má přesně jeden klíč IP adresy s typem ip, který může být spojen s volitelným a proměnným počtem atributů definovaných žádnými nebo více hodnotami pod fields.

Aby bylo možné použít vyhledávání jedné IP adresy spolu s následujícími obohacovači, musí být typ vyhledávání v sekci define vždy lookup/ipaddress.

---
define:
  type: lookup/ipaddress
  name: mylookup
  group: mygroup

keys:
  - name: sourceip
    type: ip

fields:
  ...

Pro více informací o vyhledávání IP adres viz Vyhledávání IP adres.