关联引擎 API 关联引擎 API 允许您创建新的关联规则,在特定时间窗口内查看发现和关联,并执行其他任务。
创建日志类型之间的关联规则 您可以使用以下 API 创建关联规则
POST /_plugins/_security_analytics/correlation/rules
复制
请求正文字段 字段 类型 描述 index字符串 用作日志源的索引名称。 query字符串 用于过滤安全日志以进行关联的查询。 category字符串 与日志源关联的日志类型。
请求示例 POST /_plugins/_security_analytics/correlation/rules
{
"correlate" : [
{
"index" : "vpc_flow" ,
"query" : "dstaddr:4.5.6.7 or dstaddr:4.5.6.6" ,
"category" : "network"
},
{
"index" : "windows" ,
"query" : "winlog.event_data.SubjectDomainName:NTAUTHORI*" ,
"category" : "windows"
},
{
"index" : "ad_logs" ,
"query" : "ResultType:50126" ,
"category" : "ad_ldap"
},
{
"index" : "app_logs" ,
"query" : "endpoint:/customer_records.txt" ,
"category" : "others_application"
}
]
}
复制
示例响应 {
"_id" : "DxKEUIkBpIjg64IK4nXg" ,
"_version" : 1 ,
"rule" : {
"name" : null ,
"correlate" : [
{
"index" : "vpc_flow" ,
"query" : "dstaddr:4.5.6.7 or dstaddr:4.5.6.6" ,
"category" : "network"
},
{
"index" : "windows" ,
"query" : "winlog.event_data.SubjectDomainName:NTAUTHORI*" ,
"category" : "windows"
},
{
"index" : "ad_logs" ,
"query" : "ResultType:50126" ,
"category" : "ad_ldap"
},
{
"index" : "app_logs" ,
"query" : "endpoint:/customer_records.txt" ,
"category" : "others_application"
}
]
}
}
复制
响应正文字段 字段 类型 描述 _id字符串 新规则的 ID。
列出特定时间窗口内的所有发现和关联 您可以使用以下 API 列出特定时间窗口内的所有发现及其关联
GET /_plugins/_security_analytics/correlations?start_timestamp=<start time in milliseconds>&end_timestamp=<end time in milliseconds>
复制
查询参数 参数 类型 描述 start_timestamp数字 时间窗口的开始时间(毫秒)。 end_timestamp数字 时间窗口的结束时间(毫秒)。
请求示例 GET /_plugins/_security_analytics/correlations?start_timestamp= 1689289210000 &end_timestamp= 1689300010000
复制
示例响应 {
"findings" : [
{
"finding1" : "931de5f0-a276-45d5-9cdb-83e1045a3630" ,
"logType1" : "network" ,
"finding2" : "1e6f6a12-83f1-4a38-9bb8-648f196859cc" ,
"logType2" : "test_windows" ,
"rules" : [
"nqI2TokBgL5wWFPZ6Gfu"
]
}
]
}
复制
响应正文字段 字段 类型 描述 finding1字符串 关联中的第一个发现的 ID。 logType1字符串 与第一个发现关联的日志类型。 finding2字符串 关联中的第二个发现的 ID。 logType2字符串 与第二个发现关联的日志类型。 rules数组 与关联发现关联的关联规则 ID 列表。
列出属于特定日志类型的发现的关联 您可以使用以下 API 列出特定发现和关联日志类型的关联
GET /_plugins/_security_analytics/findings/correlate?finding= 425 dce 0 b-f 5 ee -4889 -b 0 c 0-7 d 15669 f 0871 &detector_type=ad_ldap&nearby_findings= 20 &time_window= 10 m
复制
查询参数 参数 类型 描述 finding字符串 发现 ID。 detector_type字符串 检测器的日志类型。 nearby_findings数字 相对于给定发现 ID 的附近发现数量。 time_window字符串 设置一个时间窗口,所有关联必须在此时间窗口内同时发生。
请求示例 GET /_plugins/_security_analytics/findings/correlate?finding= 425 dce 0 b-f 5 ee -4889 -b 0 c 0-7 d 15669 f 0871 &detector_type=ad_ldap&nearby_findings= 20 &time_window= 10 m
复制
示例响应 {
"findings" : [
{
"finding" : "5c661104-aaa9-484b-a91f-9cad4ae6d5f5" ,
"detector_type" : "others_application" ,
"score" : 0.000015182109564193524
},
{
"finding" : "2485b623-6573-42f4-a055-9b927e38a65f" ,
"detector_type" : "ad_ldap" ,
"score" : 0.000001615897872397909
},
{
"finding" : "051e00ad-5996-4c41-be20-f992451d1331" ,
"detector_type" : "windows" ,
"score" : 0.000016230604160227813
},
{
"finding" : "f11ca8a3-50d7-4074-a951-51439aa9e67b" ,
"detector_type" : "s3" ,
"score" : 0.000001759401811796124
},
{
"finding" : "9b86980e-5fb7-4c5a-bd1b-879a1e3baf12" ,
"detector_type" : "network" ,
"score" : 0.0000016306962606904563
},
{
"finding" : "e7dea5a1-164f-48f9-880e-4ba33e508713" ,
"detector_type" : "network" ,
"score" : 0.00001632626481296029
}
]
}
复制
响应正文字段 字段 类型 描述 finding字符串 发现 ID。 detector_type字符串 与发现关联的日志类型。 score数字 关联发现的关联分数。该分数基于关联规则定义的威胁场景中相关发现的接近程度。
列出关联警报 您可以使用以下 API 列出关联警报
GET /_plugins/_security_analytics/correlationAlerts
复制
查询参数 参数 类型 描述 correlation_rule_id字符串 关联规则 ID。 可选
请求示例 GET /_plugins/_security_analytics/correlations?correlation_rule_id=VjY 0 MpABPzR_pcEveVRq
复制
示例响应 {
"correlationAlerts" : [
{
"correlated_finding_ids" : [
"4f867df9-c9cb-4dc1-84bb-6c8b575f1a54"
],
"correlation_rule_id" : "VjY0MpABPzR_pcEveVRq" ,
"correlation_rule_name" : "rule-corr" ,
"user" : null ,
"id" : "8532c08b-3ab5-4e95-a1c2-5884c4cd41a5" ,
"version" : 1 ,
"schema_version" : 1 ,
"trigger_name" : "trigger1" ,
"state" : "ACTIVE" ,
"error_message" : null ,
"severity" : "1" ,
"action_execution_results" : [],
"start_time" : "2024-06-19T20:37:08.257Z" ,
"end_time" : "2024-06-19T20:42:08.257Z" ,
"acknowledged_time" : null
},
{
"correlated_finding_ids" : [
"30d2109f-76bb-44ad-8f68-6daa905e018d"
],
"correlation_rule_id" : "VjY0MpABPzR_pcEveVRq" ,
"correlation_rule_name" : "rule-corr" ,
"user" : null ,
"id" : "8bba85d9-a7fc-4c87-b35e-a7236b87159f" ,
"version" : 1 ,
"schema_version" : 1 ,
"trigger_name" : "trigger1" ,
"state" : "ACTIVE" ,
"error_message" : null ,
"severity" : "1" ,
"action_execution_results" : [],
"start_time" : "2024-06-19T20:43:08.208Z" ,
"end_time" : "2024-06-19T20:48:08.208Z" ,
"acknowledged_time" : null
}
],
"total_alerts" : 2
}
复制
确认关联警报 您可以使用以下 API 确认关联警报。
请求示例 POST /_plugins/_security_analytics/_acknowledge/correlationAlerts
{
"alertIds" : [ "8532c08b-3ab5-4e95-a1c2-5884c4cd41a5" , "8bba85d9-a7fc-4c87-b35e-a7236b87159f" ]
}
复制
示例响应 {
"acknowledged" : [
{
"correlated_finding_ids" : [
"4f867df9-c9cb-4dc1-84bb-6c8b575f1a54"
],
"correlation_rule_id" : "VjY0MpABPzR_pcEveVRq" ,
"correlation_rule_name" : "rule-corr" ,
"user" : null ,
"id" : "8532c08b-3ab5-4e95-a1c2-5884c4cd41a5" ,
"version" : 1 ,
"schema_version" : 1 ,
"trigger_name" : "trigger1" ,
"state" : "ACTIVE" ,
"error_message" : null ,
"severity" : "1" ,
"action_execution_results" : [],
"start_time" : "2024-06-19T20:37:08.257Z" ,
"end_time" : "2024-06-19T20:42:08.257Z" ,
"acknowledged_time" : null
},
{
"correlated_finding_ids" : [
"30d2109f-76bb-44ad-8f68-6daa905e018d"
],
"correlation_rule_id" : "VjY0MpABPzR_pcEveVRq" ,
"correlation_rule_name" : "rule-corr" ,
"user" : null ,
"id" : "8bba85d9-a7fc-4c87-b35e-a7236b87159f" ,
"version" : 1 ,
"schema_version" : 1 ,
"trigger_name" : "trigger1" ,
"state" : "ACTIVE" ,
"error_message" : null ,
"severity" : "1" ,
"action_execution_results" : [],
"start_time" : "2024-06-19T20:43:08.208Z" ,
"end_time" : "2024-06-19T20:48:08.208Z" ,
"acknowledged_time" : null
}
],
"failed" : []
}
复制