Перейти к основному содержимому
Версия: 5.0

Правила Sigma

Общее описание

Данный раздел предназначен для импорта правил Sigma и автоматической конвертации этих правил в задачи по расписанию в модуле Планировщик задач.

img_1.png

На странице Правила Sigma отображен список правил, которые есть в системе Smart Monitor.

Для просмотра правила нажмите на его название.

img_4.png

Импорт правил

Чтобы импортировать правила Sigma, нажмите на кнопку Импортировать в правом верхнем углу.

img_2.png

Выберите нужный yaml файл.

img_3.png

После этого правило Sigma окажется в списке.

Автоматическая конвертация правила Sigma в поисковое задание

Чтобы создать новое поисковое задание из правила Sigma, нажмите на кнопку Создать задание из окна просмотра правила или на кнопку создать задание в меню действий в списке правил.

img_5.png

img_6.png

Далее появится окно с настройкой конвертации правила. Там необходимо указать источник, по которому будет строиться поисковый запрос, а также сопоставить поля из правила Sigma с полями из указанного источника.

img_7.png

После заполнения источника и полей для сопоставления, можно нажать на кнопку Просмотр поискового запроса, чтобы проверить правильность итогового sml запроса.

Также в этом окне можно выбрать опции автоматического создания Incident Action в поисковом задании, добавление тегов из правила Sigma в поисковое задание.

img_8.png

Нажмите кнопку Создать задание в правом нижнем углу и вы перейдете на страницу создания поискового запроса с предзаполненными полями из правила Sigma и с поисковым запросом на sml синтаксисе.

Дозаполните или отредактируйте нужные поля и сохраните поисковое задание, чтобы завершить конвертацию.