Přeskočit obsah

Adaptivní vyhledávání

Adaptivní vyhledávání umožňuje komponentám pro zpracování událostí TeskaLabs LogMan.io, jako jsou LogMan.io Parsec, LogMan.io Correlator a LogMan.io Alerts, automaticky aktualizovat vyhledávání pro obohacení dat v reálném čase pomocí pravidel.

Vlastní pravidla mohou dynamicky přidávat nebo odstraňovat položky z těchto vyhledávání na základě poznatků získaných z příchozích logů nebo jiných událostí. To zajišťuje, že vaše strategie detekce a reakce na hrozby zůstávají agilní, přesné a v souladu s neustále se měnícím kybernetickým prostředím, čímž poskytují nezbytnou vrstvu inteligence pro vaše bezpečnostní operace.

Triggery

Obsah vyhledávání je manipulován specifickým záznamem v sekci trigger deklaračního souboru.

To znamená, že může vytvořit (set), incrementovat (add), dekrementovat (sub) a odstranit (delete) položku ve vyhledávání.

Položka je identifikována pomocí key, což je jedinečný primární klíč.

Příklad triggeru, který přidává položku do vyhledávání user_list:

 trigger:
  - lookup: user_list
    key: !ITEM EVENT user.name
    set:
      event.created: !NOW
      foo: bar

Příklad triggeru, který odstraňuje položku z vyhledávání user_list:

 trigger:
  - lookup: user_list
    delete: !ITEM EVENT user.name

Příklad triggeru, který incrementuje čítač (pole my_counter) v položce ve vyhledávání user_list:

 trigger:
  - lookup: user_list
    key: !ITEM EVENT user.name
    add: my_counter

Příklad triggeru, který dekrementuje čítač (pole my_counter) v položce ve vyhledávání user_list:

 trigger:
  - lookup: user_list
    key: !ITEM EVENT user.name
    sub: my_counter

Pro oba add a sub, název čítače může být vynechán, a implicitně bude použita výchozí atribut _counter:

 trigger:
  - lookup: user_list
    key: !ITEM EVENT user.name
    sub:

Pokud pole s čítačem neexistuje, je vytvořeno s výchozí hodnotou 0.

Note

Položky z vyhledávání lze přistupovat z deklaračních výrazů pomocí !GET a !IN entry.