Zasady Alertów
Zasady i parametry funkcjonowania parametrów w Syteca On-Premises
Zasady alertów pozwalają określić, jakie zdarzenia na komputerach będących przedmiotem monitorowania zostaną uznane za alert i w efekcie wywołają zdarzenie alertowe. Każdy alert musi zawierać co najmniej jedną regułę.
Każda reguła alertu składa się z następujących elementów (określanych w 3 polach w sekcji Reguły, od lewej do prawej):
- parametr
- operator porównania
- wartość (z którą będzie porównywany parametr)
Spis treści
| 1. Parametry | Przejdź |
| 2. Operatory porównania | Przejdź |
| 3. Przykłady użycia wielu reguł w jednym alercie | Przejdź |
1. Parametry
Dostępne są następujące typy parametrów do użycia w regułach:
| Parametr | Opis | Przykładowa wartość |
|---|---|---|
| Parametry stosowane do wszystkich agentów monitorowania | ||
| Username | Nazwa użytkownika, którego aktywność ma być monitorowana. Można podać nazwę domeny lub komputera przed nazwą użytkownika: <domena>\<nazwa_użytkownika> |
John |
| Parametry dla Windows, macOS i Linux (tylko GUI w X Window System) | ||
| Application | Nazwa aplikacji uruchomionej na komputerze | winword.exe |
| Title | Tytuł okna | My document |
| Parametry tylko dla Windows i macOS | ||
| Keystrokes | Wpisywane znaki | download |
| URL | Adres URL odwiedzony przez użytkownika | facebook.com |
| Clipboard Copy | Skopiowana wartość schowka | confidential |
| Clipboard Paste | Wklejona wartość schowka | confidential |
| File Upload | Nazwa przesyłanego pliku | *.exe |
| Parametry tylko dla Linux (SSH i GUI) | ||
| Command | Polecenie wpisane w terminalu | sudo |
| Parameter | Parametr podany do polecenia | ImportantDocument |
| Parametry dla grup domenowych AD (Windows/macOS) | ||
| User Belonging to Domain Group | Nazwa grupy domenowej | Marketing |
| Parametry tylko dla Windows z AD | ||
| Computer Belonging to Domain Group | Nazwa grupy domenowej | Accounting |
2. Operatory porównania
Dla wszystkich parametrów (poza AD):
| Operator | Opis | Przykład – Wartość | Znalezione | Nieznalezione |
|---|---|---|---|---|
| Equals | Wartość dokładnie pasuje | Jon | Jon | Jonnie |
| Like | Wartość zawiera ciąg znaków | Jon | Jonnie, Jonathan | Johan |
| Not equals | Wartość nie pasuje | Jon | Oliver, Jonnie | Jon |
| Not like | Wartość nie zawiera ciągu | Jon | Oliver, Johan | Jon, Jonnie |
Dostępny jest także operator Matches (Regex) – do użycia wyrażeń regularnych.
3. Przykłady użycia wielu reguł w jednym alercie
Przykład 1 – logika OR między systemami
| Reguła | Parametr | Operator | Wartość |
|---|---|---|---|
| 1 | Command | Equals | su |
| 2 | URL | Like | facebook.com |
Alert zostanie wywołany przy wpisaniu su w terminalu Linux lub wejściu na facebook.com w Windowsie.
Przykład 2 – OR z tym samym parametrem
| Reguła | Parametr | Operator | Wartość |
|---|---|---|---|
| 1 | Application | Equals | excel.exe |
| 2 | Application | Equals | winword.exe |
Alert zostanie wywołany przy uruchomieniu Excela lub Worda.
Przykład 3 – AND z różnymi parametrami
| Reguła | Parametr | Operator | Wartość |
|---|---|---|---|
| 1 | Application | Equals | winword.exe |
| 2 | Username | Like | Nancy |
Alert zostanie wywołany, gdy Nancy otworzy Worda.
Przykład 4 – OR i AND z różnymi parametrami
| Reguła | Parametr | Operator | Wartość |
|---|---|---|---|
| 1 | Application | Equals | excel.exe |
| 2 | Application | Equals | winword.exe |
| 3 | Username | Equals | Nancy |
Alert zostanie wywołany, gdy Nancy otworzy Worda lub Excela.
Przykład 5 – AND z Not equals
| Reguła | Parametr | Operator | Wartość |
|---|---|---|---|
| 1 | Application | Not equals | excel.exe |
| 2 | Application | Not equals | winword.exe |
Alert zostanie wywołany przy otwarciu jakiejkolwiek aplikacji innej niż Excel i Word.