Correlation rule
Thiết lập Custom rule
Các bước tạo Custom rule
Bước 1: Truy cập tính năng Rule
- Từ thanh menu trái, chọn Detections → Rule.
- Trên giao diện màn Rules, nhấn button "Create Rule" → "Correlation rule"
- Hệ thống hiển thị popup, người dùng chọn "Custom rule"
Bước 2: Cấu hình Rule
Điền thông tin cơ bản
| Trường | Bắt buộc | Mô tả |
|---|---|---|
| Title | ✅ | Tên của rule |
| Description | ❌ | Mô tả ngắn gọn về mục đích của rule |
| Product source | ✅ | Xác định rule thuộc log source nào. Hệ thống hiển thị danh sách log source sẵn có trong Project |
| Level | ✅ | Mức độ nghiêm trọng của cảnh báo khi rule được kích hoạt: Low (mặc định), Medium, High, Critical. |
| Select Tactic & Technique (MITRE ATT&CK) | ❌ | Cho phép ánh xạ rule với 1 hoặc nhiều cặp Tactic – Technique trong thư viện MITRE ATT&CK. Cấu hình Tactic & Technique (MITRE ATT&CK): 1. Tick checkbox "Select Tactic & Technique from MITRE ATT&CK". 2. Chọn ATT&CK Library: - Enterprise (Doanh nghiệp) - Mobile (Thiết bị di động) 3. Chọn Tactic ID từ danh sách. 4. Sau khi chọn Tactic, hệ thống sẽ tự động lọc và hiển thị các Technique ID tương ứng. 5. Chọn Technique phù hợp để tạo một cặp Tactic – Technique Thao tác: - Nhấn button "Add Mapping" để thêm cặp ATT&CK - Nhấn biểu tượng thùng rác 🗑️ để xóa. Giới hạn: Có thể thêm tối đa 10 cặp Tactic & Technique trong một rule. |
| Sigma's Status | ✅ | Trạng thái sẵn sàng sử dụng của rule: - Experimental (mặc định) - Test - Stable - Deprecated - Unsupported |
| References | ❌ | Đường dẫn tham khảo hoặc tài liệu bên ngoài liên quan đến rule. |
| False Positive Description | ❌ | Giải thích ngắn gọn về trường hợp cảnh báo sai (false positive). |
Viết rule logic bằng câu lệnh truy vấn SQL
Tham khảo 1 vài usecase: Đọc chi tiết
Bước 3: Test rule
Sau khi hoàn tất câu lệnh truy vấn SQL, người dùng có thể kiểm tra kết quả trực tiếp ngay trên giao diện trước khi lưu rule.
- Chọn khoảng thời gian cần truy vấn bằng Time quick selection. Hệ thống hỗ trợ các mốc nhanh: Last 15 mins, Last 30 mins, Last 60 mins.
- Nhấn nút "Test" để thực thi câu truy vấn.
- Hệ thống sẽ hiển thị bảng kết quả tương ứng với dữ liệu trong khoảng thời gian đã chọn.
Lưu ý: Kết quả Test chỉ mang tính tham khảo để xác minh logic câu truy vấn. Rule sẽ chỉ chính thức sinh cảnh báo sau khi được lưu và kích hoạt.
Bước 4: Cấu hình thời gian
1. Tần suất (Frequency)
Xác định chu kỳ rule được thực thi. Rule sẽ chạy lại sau mỗi khoảng thời gian được cấu hình.
| Trường | Bắt buộc | Mô tả |
|---|---|---|
| Period of time | ✅ | Điền thời gian mà rule chạy lại (số nguyên) Giá trị mặc định: 5 |
| Unit | ✅ | Đơn vị thời gian để rule chạy lại. Hệ thống hỗ trợ các đơn vị: - Minutes (mặc định) - Hours - Days |
2. Thời gian rule query (Look back time window)
Xác định thời gian rule query mỗi lần chạy
| Trường | Bắt buộc | Mô tả |
|---|---|---|
| Period of time | ✅ | Điền thời gian mà rule query mỗi lần chạy (số nguyên) Giá trị mặc định: 5 |
| Unit | ✅ | Đơn vị thời gian để rule query lại Hệ thống hỗ trợ các đơn vị: - Minutes (mặc định) - Hours - Days |
3. Thời gian rule bắt đầu chạy (Start running time)
Có 2 cấu hình cho người dùng chọn:
- Now (default): Khi chọn option này thì Rule sẽ bắt đầu chạy ngay khi Rule tạo thành công.
- Specific time: Khi chọn option này, người dùng được phép chọn 1 khoảng thời gian bất kỳ trong tương lai để Rule chạy.
4. Giảm độ nhiễu (Suppresion)
Xác định khoảng thời gian mà rule không đẩy alert.
| Trường | Bắt buộc | Mô tả |
|---|---|---|
| Period of time | ✅ | Điền thời gian rule chạy nhưng không sinh alert Giá trị mặc định: 0 |
| Unit | ✅ | Đơn vị thời gian để rule không sinh alert Hệ thống hỗ trợ các đơn vị: - Minutes (mặc định) - Hours - Days |