Использование списков из библиотек в поисковых запросах

В SIEM начиная с версии ПО 7.2.0 можно использовать списки из библиотек в поисковых запросах везде, где они есть: в правилах аналитики, в поиске, в журналах, в дашбордах, в пользовательских отчетах.

Данные в списки заносятся либо вручную (для локальных списков), либо пополняются через указанный в настройках внешний URL обновления (для обновляемых списков). Если в правилах аналитики в фильтрах условий срабатывания используются списки, то новые элементы поиска будут добавляться в правила динамически по мере их добавления в списки.

Функция поддерживается для следующих видов списков:

Для использования списка в запросах необходимо: 

1. Создать список с включенной опцией Использовать в поисковых запросах.

2. Добавить в него элементы списка.

3. Добавить список в поисковый запрос.

Подробнее о поддерживаемых видах и типах списков читайте в разделе Библиотеки. При активации в свойствах списка опции Использовать в поисковых запросах создается внутренний словарь БД с содержимым этого списка и обработчик событий изменения списка.

В поисковых запросах списки могут использоваться с операторами IN и NOT IN. Синтаксис: <field name> IN <list name>.  При получении запросов значения из запроса сравниваются со значениями из словаря.

Для IP-листов запрос вида: ipSource IN list_1 проверяет, находится ли ipSource в каком-либо из диапазонов IP-адресов из списка list_1.

Для useragent браузеров, типов контента, списков URL, категорий URL, текстовых списков запросы userAgent IN list_1, mime IN list_2, url IN list_3, urlCategory IN games, signatureName IN list1 проверяют, равно ли значение поля какому-либо значению из списка.

Пример:

1. Создадим список вида IP-адреса со следующим содержимым:

2. Создадим список вида Useragent браузеров со следующим содержимым:

3. Добавим созданные списки в фильтр условия правила аналитики:

В результате работы правила произойдет срабатывание на основании выбранных фильтров со списками в условии срабатывания правила: