Retrospectiva automată a evenimentelor

CYBERQUEST expune funcționalități pentru a privi înapoi în evenimente, pentru a urmări și corela noile informații cu informațiile primite în trecut. În acest scop special, Serviciul de transformare a datelor expune următoarele metode, care pot fi utilizate la crearea unui script:

Clasa de evenimente:

getCount (query, days = 0) // returnează numărul de rezultate pentru o anumită interogare. Interogarea poate fi orice șir de întrebări. Vă rugăm să consultați sintaxa interogării.
getBackLogs (query, days = 0, maxcount = 100) // returnează evenimentele bazate pe interogare, ordonate descrescător în funcție de ora locală, numărul maxim de evenimente.

Aceste metode pot fi utilizate prin accesarea secțiunii Reguli > Obiecte DTS, adăugarea unui obiect și crearea unui script personalizat. Sintaxa prezentată mai jos poate fi utilizată împreună cu informațiile din Threat Intelligence Source. În acest fel, fiecare nou indicator de compromitere (IOC) este validat în raport cu lista de așteptare și, dacă se găsesc evenimente cu acele adrese IP malițioase, poate fi emisă o alertă:

let query = "SourceIP:192.168.1.1 OR DestinationIP:192.168.0.1";

let numberOfEvents = Events.getCount(query, 30);

if (numberOfEvents > 2) {

    let cqEvents = Events.getBackLogs(query, 30);

    Alert.create({
        emails:"notificaitAddress1@company.com, notificaitAddress2@company.com", // separated by comma
        name:"Alert created by DTS for backEvents",
        secLevel:5, // security level (between 1-10) 
        secScore:10 // security score (between 1-100)
        inputLogs:cqEvents
    });
}

Puteți accesa următorul link pentru a vedea cum se creează o alertă DTS.