Tüm yazılar
·1 dk okuma·ShamashAi Ekibi

ShamashAi ile Alarm Kurallarını Test Edin, Spamden Kaçının

ShamashAi'in önizleme modu ile alarm kurallarını, geçmiş 7 günün verilerine göre test ederek yanlış alarmlardan kaçının.

Somut Örnekle Başlangıç

Cuma gecesi saat 19:23'te, 'ssh:ahmet@dc01' kullanıcı hesabına yönelik 200 başarısız RDP denemesi tespit edildi. Alarm sisteminiz üretime yanlış kalibre edilmiş bir kural koyduğunuzda ya bu önemli olayı sessiz bir şekilde atlıyor ya da her küçük güvenlik ihlaline gün boyu spam oluşturarak yanıt veriyor. ShamashAi, bu problemle başa çıkmanıza yardımcı olabilir.

Alarm Kurallarını Test Etmek

ShamashAi'in 'Alert Rule Preview Mode', yeni bir alarm kuralının üretime geçirilmeden önce, geçmiş 7 günün gerçek etkinliklerine nasıl yanıt vereceğini değerlendirmek için kullanılır. Böylece, kuralı sessizliği ya da yanlış alarmları engellemek amacıyla doğru bir şekilde kalibre edebilirsiniz.

Nasıl Çalışır?

  • POST /alert-rules/preview Endpoint: Bu endpoint, alarm kuralımızın önizlemesini yapmamıza olanak tanır.
  • Parametreler:
- window_minutes: Zaman penceresini belirler. - threshold_count: Eşik sayısını ayarlayarak kaç olayda tetikleneceğini kontrol edersiniz.

Sonuç olarak, bu işlemlerden sonra aldığınız geri bildirim: kuralın kaç kere tetikleneceğini gösteren 'hit count' ve ilk 50 örnek olayın detaylarını içerir.

Kural Alanları

  • match_event_type: Hangi tür olayların eşleşeceğini belirler.
  • match_severity: Ciddiyet seviyesini tanımlar.
  • match_user_re: Kullanıcı düzeni eşleştirmeleri içerir.
  • group_by: Kümelendirme için kullanılır.
  • threshold: Eşik ayarını yaparsınız.
  • window: Zaman penceresini belirler.
  • cooldown: Sakinleşme süresi tanımlar.

Sonuç

Eğer kural uygun şekilde çalışırsa, birleştirilmiş olaylar ALERT_RULE_FIRED olarak yayımlanır. Bu da size, belirli bir zamanda ne tür olayların tetiklendiği hakkında açık ve net bilgi sağlar.

Limitler ve Dürüst Notlar

  • Testler geçmiş 7 günle sınırlıdır, daha uzun tarihli analizler yapılamaz.
  • Detaylar sadece ilk 50 olayla sınırlıdır; daha geniş analizler için geliştirme gereklidir.
  • Küçük ofisler için karmaşık kurallar fazla zaman alabilir.
  • Uygulama henüz tüm olası olay tiplerini kapsamıyor.
Pilot programı 30 gün ücretsiz: shamashai.com.tr/iletisim
Paylaş

Bu konuyu projenize uygulayalım

Pilot programı kapsamında ürünü gerçek altyapınızda 30 gün ücretsiz deneyin.