# Нормализация событий ###### tags: `PT 2nd stage` ## Событие входа пользователя по SSH импортируем события в SIEM  создаём текстовый шаблон  вставляем событие  На место даты вставляем токен даты и присваиваем значение переменной time  вместо первого числа вставим числовой шаблон (на всякий случай, вдруг пригодится)  указываем subject account name  указываем протокол  указываем идентификатор события  указываем необязательный блок с форвардером  указываем object account name  Форма отработала для двух событий без ошибок  Добавим информацию о вендоре  парсим статус действия  ### ИТОГО:  ### Метаданные  ## Событие чтения конфигурационного файла операционной системы:  парсим время  парсим имя источника  парсим msgid события  парсим имя пользователя  парсим показатель успешности действия  прасим имя команды  указываем субъект, объект и действие. пользователь, файл и чтение соответственно.  парсим полный путь до файла  id  ### ИТОГО:  ### Метаданные  ## Собираем сценарий  запускаем не запускается  # корреляция  ``` event passwords_snatched: key: event_src.hostname filter { correlation_name == null action == "login" status == "success" object.account.name != null object.account.name != subject.account.name subject.process.fullpath =="/etc/shadow" } event ssh_login: key: event_src.hostname filter { correlation_name == null action == "view" status == "success" } rule aaaaa_gasi_svet: (passwords_snatched -> ssh_login) within 5m init { } on passwords_snatched { } on emit { $correlation_type = "incident" $subject = "account" $action = "access" $object = "system" $status = "success" $importance = "high" } ``` метаданные отказались билдиться, поэтому проверить правило корреляции не удалось