Использование списков из библиотек в поисковых запросах

В SIEM начиная с версии ПО 7.2.0 можно использовать списки из библиотек в поисковых запросах везде, где они есть: в правилах аналитики, в поиске в аналитике и логах, в дашбордах, в пользовательских отчетах.

Функция поддерживается для следующих видов списков:

Для использования списка в запросах необходимо 

1. Создать список с включенной опцией Использовать в поисковых запросах.

2. Добавить в него элементы списка.

3. Добавить список в поисковый запрос.

Подробнее о поддерживаемых видах и типах списков читайте в разделе Библиотеки. При активации в свойствах списка опции Использовать в поисковых запросах создается внутренний словарь БД с содержимым этого списка и обработчик событий изменения списка.

Данные в списки заносятся либо вручную (для локальных списков), либо пополняются через указанный в настройках внешний URL обновления (для обновляемых списков).

В поисковых запросах списки могут использоваться с операторами IN и NOT IN. Синтаксис: <field name> IN <list name>.  При получении запросов значения из запроса сравниваются со значениями из словаря.

Для IP-листов запрос вида: ipSource IN list_1 проверяет, находится ли ipSource в каком-либо из диапазонов IP-адресов из списка list_1.

Для Useragents, Content types, URL lists, URL category запросы userAgent IN list_1, mime IN list_2, url IN list_3, urlCategory IN games проверяют, равно ли значение поля какому-либо значению из списка.

Пример:

1. Создадим список вида IP-адреса со следующим содержимым:

2. Создадим список вида Useragent браузеров со следующим содержимым:

3. Используем созданные списки в поиске аналитики: