Rule
Thiết lập quy tắc phát hiện cảnh báo theo thời gian thực (Streaming rule)
Các bước tạo Streaming rule
Bước 1: Truy cập tính năng Rule
- Từ thanh menu trái, chọn Detections → Rule.
- Trên giao diện màn Rules, nhấn button "Create Rule" → "Streaming rule"
- Điều hướng người dùng sang màn "Create a new rule"
Bước 2: Cấu hình Rule
Hệ thống hỗ trợ 2 chế độ tạo Rule:
| Chế độ | Mô tả |
|---|---|
| a. Visual Editor (mặc định) | Giao diện trực quan, phù hợp cho người dùng thao tác bằng form. |
| b. YAML Editor | Giao diện nâng cao, cho phép nhập rule trực tiếp bằng cú pháp YAML. |
Bạn có thể chuyển đổi giữa 2 chế độ bằng cách thay đổi ở trường Mode
a. Chế độ Visual Editor
1. Điền thông tin cơ bản (Basic Information)
| Trường | Bắt buộc | Mô tả |
|---|---|---|
| Title | ✅ | Tên của rule |
| Description | ❌ | Mô tả ngắn gọn về mục đích của rule |
| Product | ✅ | Xác định rule thuộc về sản phẩm nào. Hiển thị danh sách Product sẵn có trong Project |
| Service | ✅ | Phân loại rule theo dịch vụ cụ thể. Danh sách hiển thị các Data Source Type thuộc Product đã chọn. |
| Category | ❌ | Phân loại rule theo danh mục cụ thể. Danh sách hiển thị các Category thuộc Service đã chọn. |
| Level | ✅ | Mức độ nghiêm trọng của cảnh báo khi rule được kích hoạt: - Low (mặc định): thấp - Medium: Trung bình - High: Cao - Critical: Nguy hiểm |
| Select Tactic & Technique (MITRE ATT&CK) | ❌ | Cho phép ánh xạ rule với 1 hoặc nhiều cặp Tactic – Technique trong thư viện MITRE ATT&CK. Cấu hình Tactic & Technique (MITRE ATT&CK): 1. Tick checkbox "Select Tactic & Technique from MITRE ATT&CK". 2. Chọn ATT&CK Library: - Enterprise (Doanh nghiệp) - Mobile (Thiết bị di động) 3. Chọn Tactic ID từ danh sách. 4. Sau khi chọn Tactic, hệ thống sẽ tự động lọc và hiển thị các Technique ID tương ứng. 5. Chọn Technique phù hợp để tạo một cặp Tactic – Technique Thao tác: - Nhấn button "Add Mapping" để thêm cặp ATT&CK - Nhấn biểu tượng thùng rác 🗑️ để xóa. Giới hạn: Có thể thêm tối đa 10 cặp Tactic & Technique trong một rule. |
| Sigma's Status | ✅ | Trạng thái sẵn sàng sử dụng của rule: - Experimental (mặc định) - Test - Stable - Deprecated - Unsupported |
| References | ❌ | Đường dẫn tham khảo hoặc tài liệu bên ngoài liên quan đến rule. |
| False Positive Description | ❌ | Giải thích ngắn gọn về trường hợp cảnh báo sai (false positive). |
2. Cấu hình Detection
Phần này cho phép bạn định nghĩa điều kiện phát hiện (Detection Logic). Các sự kiện thỏa điều kiện sẽ tự động sinh cảnh báo (Alert).
Cấu trúc của một Rule:
- Mỗi rule gồm một hoặc nhiều Selection.
- Các Selection được kết hợp với nhau bằng các toán tử logic (AND, OR, AND NOT, OR NOT).
Cách để tạo 1 Selection?
| Trường | Bắt buộc | Mô tả | |||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Selection | ✅ | Đặt tên nhóm điều kiện (Selection) Không được chứa khoảng trắng hoặc ký tự đặc biệt. | |||||||||||||||||
| Field | ✅ | Hệ thống hiển thị danh sách trường dữ liệu (CSM field) sau khi log được parse. Ví dụ: host.name, event.category, … | |||||||||||||||||
| Operator | ✅ | Chọn toán tử phù hợp từ danh sách cho sẵn Hệ thống hiện tại đang hỗ trợ các toán tử sau: Bảng quy tắc áp dụng hàm tổng hợp
| |||||||||||||||||
| Value | ✅ | Người dùng nhập các giá trị thực để hệ thống so sánh với trường dữ liệu. |
Cách tạo nhiều Selection?
- Nhấn button "Add Selection" để thêm nhóm điều kiện mới.
- Một selection sẽ hiển thị lên để người dùng cấu hình
- Để xóa một nhóm không cần thiết → nhấn biểu tượng "x".
Giới hạn: Có thể tạo tối đa 10 Selectios trong một rule.
Cách để kết hợp nhiều Selection?
- Sau khi tạo ít nhất 1 Selection, nhấn Add Selection ở phần "Condition".
- Hệ thống sẽ mặc định dùng toán tử AND để kết hợp.
- Bạn có thể thay đổi sang các toán tử khác bằng cách nhấn vào Toán tử:
- AND NOT – Cả 2 điều kiện đúng và sai xen kẽ.
- OR – Chỉ cần 1 điều kiện đúng.
- OR NOT – Một điều kiện đúng, điều kiện kia sai.
b. Chế độ Yaml Editor
- Hệ thống sẽ hiển thị sẵn một template chuẩn Sigma.
- Người dùng chỉnh sửa và điền thông tin cần thiết vào template để cấu hình rule.
- Sau khi hoàn tất, nhấn "Save rule" để hệ thống thực hiện kiểm tra cú pháp (syntax check).
- Nếu cấu hình hợp lệ, hệ thống sẽ cho phép lưu rule.
Bước 3: Tạo rule
Nhấn "Save rule":
- Hệ thống lưu cấu hình rule hiện tại.
- Rule sẽ tự động được chuyển sang trạng thái Active.
- Rule được hiển thị trong danh sách Rule tại tab Custom.