Tính năng Rule (Quy tắc) cho phép nhà phân tích tạo và quản lý các quy tắc phát hiện (Detection Rules) giúp hệ thống tự động phân tích và phát hiện các sự kiện đáng ngờ trong dữ liệu đầu vào.

Tùy vào điều kiện của từng Rule, hệ thống sẽ lọc các sự kiện phù hợp với điều kiện và tự động sinh cảnh báo (Alert) để nhà phân tích điều tra thêm.

Hệ thống hỗ trợ các loại rule sau:

1. Streaming rule

Streaming Rule là loại rule xử lý dữ liệu theo thời gian thực (real-time).

Ngay khi log hoặc event được hệ thống ghi nhận, hệ thống liên tục đánh giá từng sự kiện so với điều kiện trong rule. Khi có sự kiện khớp, hệ thống sẽ tạo cảnh báo (Alert) ngay lập tức

Đọc chi tiết

2. Correlation rules (Rule tương quan)

Correlation Rule là loại rule dùng để phân tích mối liên hệ giữa nhiều sự kiện khác nhau trong một khoảng thời gian xác định.

Thay vì chỉ nhìn một event đơn lẻ, hệ thống sẽ:

• Gom nhóm các sự kiện
• So sánh theo điều kiện
• Tìm ra một chuỗi hành vi hoặc mẫu tấn công (attack pattern)

Hệ thống cung cấp ba loại quy tắc chính để tối ưu hóa khả năng giám sát:

• Custom rules (Coming soon)
• Threshold rules Đọc chi tiết
  Tính năng tạo Threshold rule cho phép người dùng tạo các quy tắc giám sát dựa trên tần suất xuất hiện của một hoặc một chuỗi sự kiện tương tự nhau trong một khoảng thời gian xác định. Thay vì cảnh báo cho từng sự kiện riêng lẻ, quy tắc này chỉ kích hoạt khi số lượng sự kiện vượt quá một ngưỡng (threshold) nhất định mà người dùng đã thiết lập.
• Sequence rules (Coming soon)