Link Search Menu Expand Document Documentation Menu
文档

创建关联规则

关联规则允许您通过匹配不同日志类型中出现的威胁事件签名,定义涉及基础设施中多个系统的威胁场景。一旦规则包含至少两个不同的日志源以及定义预期威胁场景的首选字段和字段值,关联引擎就可以查询关联规则中指定的索引并识别发现之间的任何关联。

配置规则

在规则配置中至少有两个数据源是建立基础设施中不同系统之间连接并识别关联的基础。因此,每个关联规则至少需要两个查询。但是,您可以包含两个以上的查询,以便更好地定义威胁场景并查找多个系统之间的关联。请按照以下步骤创建关联规则:

  1. 首先,在 OpenSearch Dashboards 主菜单中选择安全分析。然后从屏幕左侧的“安全分析”菜单中选择关联规则。屏幕将显示关联规则页面,如下图所示。

    The correlation rules page

  2. 选择创建关联规则创建关联规则窗口将打开。

  3. 关联规则详细信息字段中,输入规则名称,如下图所示。

    The correlation rule name

  4. 关联查询字段包含两个下拉列表。在选择索引下拉列表中,为数据源指定一个索引或索引模式。在日志类型下拉列表中,指定与索引关联的日志类型,如下图所示。

    The data source and log type for the query

  5. 字段下拉列表中,指定一个日志字段。在字段值文本框中,输入该字段的值,如下图所示。

    The field and field value for the query

  6. 要向查询添加更多字段,请选择添加字段

  7. 配置完第一个查询后,重复上一步配置第二个查询。您可以选择窗口底部的添加查询为规则添加更多查询,如下图所示。

    A second query for the correlation rule

  8. 规则完成后,选择窗口右下角的创建关联规则。OpenSearch 将创建新规则,屏幕返回到关联规则窗口,新规则将显示在关联规则表中。要编辑规则,请选择名称列中的规则名称。编辑关联规则窗口将打开。

设置时间窗口

集群设置 API 允许您在设定的时间窗口内关联发现。例如,如果您的时间窗口是三分钟,系统将尝试仅在发现彼此在三分钟内发生时关联威胁场景中定义的发现。默认情况下,时间窗口为五分钟。有关集群设置 API 的更多信息,请参阅集群设置

请求示例

以下 PUT 调用将时间窗口设置为两分钟:

PUT /_cluster/settings
{
  "transient": {
    "plugins.security_analytics.correlation_time_window": "2m"
  }
}

后续步骤

创建检测器和关联规则后,您可以使用关联图来观察来自不同日志源的发现之间的关联。有关使用关联图的信息,请参阅使用关联图

剩余 350 字符

有问题?

想贡献?