Somut Örnekle Başlangıç
Cuma gecesi saat 19:23'te, 'ssh:ahmet@dc01' kullanıcı hesabına yönelik 200 başarısız RDP denemesi tespit edildi. Alarm sisteminiz üretime yanlış kalibre edilmiş bir kural koyduğunuzda ya bu önemli olayı sessiz bir şekilde atlıyor ya da her küçük güvenlik ihlaline gün boyu spam oluşturarak yanıt veriyor. ShamashAi, bu problemle başa çıkmanıza yardımcı olabilir.
Alarm Kurallarını Test Etmek
ShamashAi'in 'Alert Rule Preview Mode', yeni bir alarm kuralının üretime geçirilmeden önce, geçmiş 7 günün gerçek etkinliklerine nasıl yanıt vereceğini değerlendirmek için kullanılır. Böylece, kuralı sessizliği ya da yanlış alarmları engellemek amacıyla doğru bir şekilde kalibre edebilirsiniz.
Nasıl Çalışır?
- POST /alert-rules/preview Endpoint: Bu endpoint, alarm kuralımızın önizlemesini yapmamıza olanak tanır.
- Parametreler:
Sonuç olarak, bu işlemlerden sonra aldığınız geri bildirim: kuralın kaç kere tetikleneceğini gösteren 'hit count' ve ilk 50 örnek olayın detaylarını içerir.
Kural Alanları
- match_event_type: Hangi tür olayların eşleşeceğini belirler.
- match_severity: Ciddiyet seviyesini tanımlar.
- match_user_re: Kullanıcı düzeni eşleştirmeleri içerir.
- group_by: Kümelendirme için kullanılır.
- threshold: Eşik ayarını yaparsınız.
- window: Zaman penceresini belirler.
- cooldown: Sakinleşme süresi tanımlar.
Sonuç
Eğer kural uygun şekilde çalışırsa, birleştirilmiş olaylar ALERT_RULE_FIRED olarak yayımlanır. Bu da size, belirli bir zamanda ne tür olayların tetiklendiği hakkında açık ve net bilgi sağlar.
Limitler ve Dürüst Notlar
- Testler geçmiş 7 günle sınırlıdır, daha uzun tarihli analizler yapılamaz.
- Detaylar sadece ilk 50 olayla sınırlıdır; daha geniş analizler için geliştirme gereklidir.
- Küçük ofisler için karmaşık kurallar fazla zaman alabilir.
- Uygulama henüz tüm olası olay tiplerini kapsamıyor.
