Использование токенов

Токены представляют собой данные, генерируемые после выполнения поисковой задачи. Они работают как переменные для значений данных и могут быть использованы в активных действиях компонента Планировщик задач.

Доступно следующие виды токенов:

• Локальный - подставляется из результатов выполнения конкретного поискового задания. Обозначается как {{token_name}}
• Глобальный - подставляется из значений, введенных в Глобальные параметры компонента Планировщик заданий. Обозначается как <global_token_name>

При использовании локального токена синтаксис имеет вид {{_source.название_поля}}, где название_поля - имя поля из события в поисковом запросе. Например, если имя поля в поиском запросе host.ip, то токен для этого поля {{_source.host.ip}}.

При использовании глобального токена синтаксис имеет вид <global_token_name>, где global_token_name - имя глобального токена. Например, для генерации guid токен будет иметь имя <guid>.

Также доступен токен вида <job-meta-field:название_поля>, позволяющий сослаться на поле поисковой задачи, либо на её _meta поля. Пример использования данного токена будет приведен ниже.

Перечень доступных полей поисковой задачи:

Параметр	Синтаксис	Описание
title	<job-meta-field:title>	Имя поисковой задачи.
description	<job-meta-field:description>	Описание поисковой задачи.

Перечень доступных _meta полей представлен в таблице:

Параметр	Синтаксис	Описание
id	<job-meta-field:_meta.id>	Идентификатор поисковой задачи.
type	<job-meta-field:_meta.type>	Тип объекта. Доступен просмотр в интерфейсе компонента Планировщик заданий в поле Тип объекта.
version	<job-meta-field:_meta.version>	Версия компонента Планировщик заданий.
module	<job-meta-field:_meta.module>	Не задано - при создании собственного задания, Smart Monitor Cyber Security - при импорте из модуля Smart Monitor Cyber Security.
created	<job-meta-field:_meta.created>	Дата создания поискового задания.
update	<job-meta-field:_meta.update>	Дата обновления поискового задания.
tag_ids	<job-meta-field:_meta.tag_ids>	Перечень тегов поискового задания. Допускается использование множества тегов.

Для просмотра работы токенов необходимо создать поисковую задачу. Первым действием требуется заполнить имя и описание:

• Имя - RULE - CS - Sysmon - DetectedTaskList
• Описание - Срабатывание при обнаружении событий просмотра списка задач на хосте

Далее заполняется информация по инциденту с указанием поискового запроса и настроек времени:

source sysmon
| search event.code=1 AND command_line="C:\\Windows\\system32\\tasklist.exe"
| aggs count, values(winlog.process.pid) as winlog.process.pid, latest(rule_name_technique_id) as rule_name_technique_id, latest(rule_name_technique_name) as rule_name_technique_name, values(event.action) as event.action, values(host.ip) as host.ip by host.name
| eval title=<job-meta-field:title>
| where count > 1
| table host.name, count, winlog.process.pid, rule_name_technique_id, rule_name_technique_name, event.action, host.ip

• Временной интервал - 60 минут назад
• Временное поле - @timestamp
• Длительность блокировки (сек) - 60

Пример заполнения расписания поискового задания и настроек подавления:

• Тип расписания - Cron-выражение
• Cron - 3-59/5 * * * *
• Смещение в секундах - 0
• Подавление - 5 минут
• Глобальные параметры
  • Ключ - guid
  • Значение - guid()

В рассматриваемом примере используется локальный токен {{_source.host.name}}, а также глобальный токен <guid> и токен <job-meta-field>:

Обратите внимание!

Для использование токена вида <job-meta-field:название_поля> необходимо в поисковом запросе с помощью команды eval записать значение токена в поле (имя поля может быть произвольным).

примечание

При использовании локальных токенов _source является системным объектом и хранит все поля исходного события. В общим виде использование токена выглядит как {{_source.field_name}}, где field_name - название поля в событии.

В результате срабатывания поискового задания был зафиксирован инцидент. Из рисунка ниже видно, что вместо указанных токенов подставились соответствующие значения: