使用相关性规则构建器创建相关性自定义规则

EventLog Analyzer 内置自定义关联规则构建器，允许您通过组合各种网络操作，并根据贵组织预期的攻击模式指定阈值和过滤条件，从而轻松构建自定义规则。这使您能够创建高度灵活且功能强大的规则集，适合您特定的组织环境。

要打开相关性规则构建器，请单击产品的相关性选项卡。单击选项卡右上角的管理规则，并在右上角选择 +创建相关性规则。创建自定义规则包括：

若要进一步了解什么是相关性、相关性规则的结构等内容，请参阅了解相关性。

要创建关联规则，请从以下组中选择一项或多项操作：

一般活动
MITRE ATT&CK TTP（战术、技术与程序）
自定义操作

构建新规则

要创建新规则，请按照以下步骤操作：

从屏幕左侧的分类操作列表中选择构成该规则的各个操作。
- 您也可以使用列表顶部的搜索栏查找操作。
- 您可以通过拖放操作来重新排列其顺序，或点击其右侧的删除图标（）删除该操作。
- 要检测在特定时间间隔内同一操作的重复，请勾选“阈值限制”复选框，并输入发生次数和时间间隔。
对于每个操作，请在 '在以下时间内跟进' 标签下指定其应在多长时间内由下一个操作跟进。您可以使用提供的下拉菜单以秒或分钟为单位指定时间间隔。
要配置高级选项以用于任一已选择的操作，请单击 筛选器，该按钮位于操作的右上角。

高级选项

关联规则中的每个操作都对应一条日志。日志包含各种字段，每个字段都有特定的值。通过高级选项（位于该操作右侧的 过滤器 下），您可以为日志/操作的每个字段提供过滤条件，为该操作的最小重复次数设置阈值限制，还可以将过滤条件分组，从而用于为复杂场景创建规则。

您可以从提供的下拉列表中选择一个筛选字段。请注意，下拉列表中的筛选项可能会根据所选操作而有所不同。
From the dropdown list provided, you can select the comparison type as one among the following: 等于, 包含, 以…开头, 以…结尾, 小于, 大于, 介于, 是恶意的, 不等于, 不包含, 不以…开头, 不以…结尾, 不介于, 链接到, 是常量, 或是变量.
注意：当您为一次等于比较提供多个值时，所提供的这组值会被视为一个可选值列表，只要列表中的任意一个值为真，就会接受该操作。对于 包含，以…开头，以…结尾，小于，大于，以及介于比较，同样适用。
当您提供多个 不等于 比较时，所提供的值集合必须全部满足条件，操作才会被接受。这同样适用于 不包含, 不以…开头, 不以…结尾，以及 不在…之间 比较。
小于、大于、介于，和 不介于 条件仅适用于 IP、端口号和权限字段。
端口范围为 0 到 65535。
权限范围在 1 到 15 之间。
链接到
该 链接到 比较类型用于将所选字段的值与同一规则中另一操作的某个字段的值进行比较。例如，如果操作 1 的 设备类型 字段链接到操作 2 的 设备类型 值，则仅当两个被链接字段的值相同时才会触发操作 1。
当您选择链接到时，图标会出现在过滤器的末尾。单击该图标将打开一个新标签页。
单击第二个操作中相应字段的复选框，用于与上一个操作的值进行比较。单击 OK 以完成将这两个操作关联起来。
注意: 使用 link to 条件时，无法将一个字段链接到另一个具有 is variable 条件的字段。
是否为常量
is constant 条件用于将特定字段视为常量。选择此条件后，当该字段的值在所有迭代中保持不变时，将触发此操作。例如，如果在某个操作中将 is variable 条件应用于 'Target User' 字段，当该字段的值在所有迭代中相同时，将触发该操作。如果针对该字段生成的事件具有不同的值，则不会触发该操作。
是否为变量
该 '为变量' 条件用于将字段视为变量。选择此条件后，每次检查时如果该字段的值都在变化，此操作将被触发。例如，如果在某个操作中将 为变量 条件应用于 '目标用户' 字段，那么当每次迭代中该字段的值都不相同时，该操作将被触发。
注意: 具有 “是变量” 条件的字段无法使用 “链接到” 条件将其链接到另一个字段。
是否恶意
‘是恶意的’条件仅适用于 IP 地址字段。它可用于检查检测到的 IP 地址是否存在于产品存储在内部数据库中的预定义恶意 IP 地址列表中。
可直接在文本框中输入需要与所选字段比较的值。请在对应的文本框中指定要检查的值。

要在同一日志/操作中添加另一个筛选器，请单击值文本框右侧的图标。新的筛选器会添加到下一行。
- 你可以通过在第二个筛选器左侧的下拉列表中选择 AND 或 OR，来决定这两个筛选器之间是逻辑与还是逻辑或。
- 你可以通过单击其右侧的图标来删除一个筛选器。
可以通过创建组来将过滤器归集在一起。这有助于为复杂场景创建关联规则。要创建新组，请点击日志/操作右下角的 +添加组。
- 在新组中选择过滤器的条件。您还可以向新组添加更多过滤器。
- 您可以点击组右上角的“移除组”图标来删除该组。
您可以在位于两个组之间的下拉列表中选择 AND 或 OR，以决定这两个组是进行逻辑与还是逻辑或。

使用漏洞和错误配置比较器：

这些比较运算符仅在成功与 Endpoint Central 集成后可用，并可用于设备字段。

是否存在漏洞: 检查设备在 Endpoint Central 中是否被标记为存在漏洞。
易受攻击: 识别易受特定攻击（例如，CVE-2023-38831）的设备。
配置不当: 检测由 Endpoint Central 识别的存在配置不当的设备（例如，Windows Credential Guard 已禁用）。

注意：要使用漏洞和错误配置比较器，请为 ManageEngine Endpoint Central 配置数据丰富功能。点击此处了解如何操作。

阈值限制过滤器

针对某个动作的阈值限制过滤器允许你指定，为了触发该规则，该动作必须发生的最少次数（需在为该动作相对于上一个动作所指定的时间窗口内）。要设置阈值限制，点击该动作右侧的 筛选器 链接，并选择 阈值限制 复选框。在提供的文本框中，指定最小出现次数。

注意: 如果该动作是规则中的第一个动作，则还应提供一个时间窗口，在该时间窗口内必须观察到这些重复（因为这是第一个动作，前面没有任何动作或时间窗口）。

指定规则配置

在定义规则的同时，您还可以提供一些描述性信息以完成规则配置：

规则名称：规则的唯一名称。
规则描述：对该规则用于检测的攻击模式的简要说明。

单击保存以保存这些规则配置。

构建完规则模式并指定配置后，点击创建即可保存该规则，EventLog Analyzer 将开始关联日志以检查此规则模式。

现在，您可以通过点击复选框选择要显示的报告。所选报告将在相关性自定义规则界面中显示或隐藏。

创建自定义操作

要创建自定义操作，请单击管理自定义操作。
将打开“管理自定义操作”弹出窗口。在右上角，点击“创建新操作”按钮。

将打开“创建自定义操作”弹出窗口。
输入该操作的名称和操作描述（如需）。
从提供的下拉列表中进行选择，以设置该操作的条件。
单击创建。

MITRE 关联操作

您现在可以使用可用的关联操作，为 Mitre ATT&CK 的 TTP 创建关联规则。

点击此处了解有关 MITRE ATT&CK TTP(s) 的更多信息。

创建关联规则时应遵循的最佳实践

关联报告对于提升组织的安全态势至关重要，因为它们能够为潜在的安全问题提供洞察。它们还可帮助你识别恶意活动的模式，并便于及时采取响应措施。以下是创建关联规则的一些最佳实践。

请确保仅启用组织要求的规则。
根据获取的日志，每条规则在各个组织中的运行方式可能不同。因此，请分批启用规则，然后观察该批次中这组特定规则的行为，并识别实际需要的规则。根据需求，可以对规则进行微调以减少误报。
多事件关联规则通常通过向其中添加各种条件（操作、阈值、高级运算符）来设置。与每个关联条件匹配的日志数量决定了所需的资源量。匹配的数据集越大，所需资源越多，从而导致内存利用率增加。请确保您指定的条件足够严格，以缩小用于分析的数据集；这将限制内存使用。
务必监控每条关联规则所使用的内存。通过确定每条规则的内存使用情况，可以对规则进行微调以提高效率。可以通过导航至设置 -> 系统诊断 -> 系统信息 -> 在关联信息中查看报告来监控关联规则的内存使用情况。