# Нормализация и корреляция событий информационной безопасности 1.Создание правила нормализации А) Событие входа пользователя по SSH: - импортируем исходные события в утилиту PTSIEMSDK GUI и выбираем формат TEXT (поле MIME)  - копируем в форматную строку "TEXT" текст события и заполняем поля нормализованного события в форматной строке, присваивая им значения токенов внутри шаблона - первое сообщение  - второе сообщение  - сохраняем формулы в папку results  - заполняем метаданные  - заполняем сценарии  - запускаем  - проверяем  Б) Событие чтения конфигурационного файла операционной системы: - первое сообщение  - второе сообщение  - заполняем метаданные  - заполняем сценарии  - проверяем  2. Разработка правила корреляции ``` event User_read: key: event_src.hostname filter { correlation_name == null and action == "view" and object == "file_object" and status == "success" } event User_Login: key: event_src.hostname filter { correlation_name == null and action == "login" and object == "system" and status == "success" } rule User_read_failed_user_login_system:(User_read[1,] -> User_Login with different object.account.name) within 5m init { $first_event = true } on User_read { $subject.account.name = subject.account.name } on User_Login { if $fist_even then $first_event = false $event_src.hostname = event_src.hostname $event_src.vendor = event_src.vendor $event_src.title = event_src.title $event_src.category = event_src.category endif } emit { $correlation_type = "event" $subject = "account" $action = "login" $object = "system" $status = "success" $category.generic = "Attack" $category.high = "Initial Access" $category.low = "Valid Accounts" $importance = "low" } ``` - проверяем