Skip to content

[FEATURE] Правила корреляции. Дополнительная валидация между значениями $importance = "info" и $incident.severity = $importance #201

Description

@sanguis-meus

Is there an existing feature request or discussion for this?

  • I have searched the existing feature requests and discussions

Problem

[enum] importance может принимать значение "info", которое отсутствует среди значений [enum] incident.severity

Текущая валидация (importanceAndSeverityValidator.ts) проверяет литеральное совпадение значений либо использование $incident.severity = $importance, поэтому следующая конструкция проходит валиадацию:

emit {
    $correlation_type = "incident"
    $importance = "info"
    $incident.severity = $importance
}

При установке же такого правила в MP SIEM "сломается" регистрация соотв. инцидентов.

Solution

Дополнительная проверка для случая с $importance = "info"

Improvements

No response

Anything else?

No response

Metadata

Metadata

Assignees

No one assigned

    Labels

    No labels
    No labels

    Type

    No type

    Fields

    No fields configured for issues without a type.

    Projects

    Status
    Todo

    Milestone

    No milestone

    Relationships

    None yet

    Development

    No branches or pull requests

    Issue actions