?user=<ваш_user_id>.В SOC поток алертов от одного правила сейчас 850 в день — 99% ложные. Аналитики его отключают вручную. Тебе показывают исходное правило и 200 алертов (примерно: 198 ложных, 2 истинных). Перепиши правило: оно должно по-прежнему ловить оба истинных алерта, но дать ≤20 ложных на этом наборе.
Текущее правило:
event.action: "process_started"
and process.name: "powershell.exe"
Артефакт: alerts-sample.json (200 алертов с метаданными)
Backend: твоё новое правило применяется к скрытому тестовому набору; вернёт прошёл ли ты.
Формат флага: flag{siem_surgery_{USER_HASH}}
SOC-та бір ережеден кейінгі алерт ағыны қазіргі уақытта күніне 850 — олардың 99%-ы жалған. Аналитиктер оларды қолмен өшіреді. Саған бастапқы ереже мен 200 алерт көрсетіледі (шамамен: 198 жалған, 2 шын). Ережені қайта жаз: екі шын алертты бұрынғыдай ұстау керек, бірақ бұл жиында ≤20 жалған берсе болғаны.
Қазіргі ереже:
event.action: "process_started"
and process.name: "powershell.exe"
Артефакт: alerts-sample.json (метадеректерімен 200 алерт)
Backend: жаңа ережең жасырын тест жиынында іске қосылады; өткеніңді қайтарады.
Жалаушаның форматы: flag{siem_surgery_{USER_HASH}}
^flag\{siem_tuning_[a-f0-9]{16}\}$Платные подсказки. Открывайте, если действительно нужно. / Ақылы кеңестер. Шынымен қажет болса ашыңыз.
RU: Задача о настройке существующего SIEM-правила: оно ловит атаки, но имеет проблему точности.
KK: Бар SIEM ережесін реттеу туралы тапсырма: ол шабуылдарды ұстайды, бірақ дәлдік мәселесі бар.
RU: Логика правила правильная — проблема в синтаксисе matching. Класс — edge cases в pattern matching: где подстрока vs точное совпадение vs позиция в строке.
KK: Ереже логикасы дұрыс — мәселе matching синтаксисінде. Класс — pattern matching-тегі edge cases: substring vs дәл сәйкестік vs жолдағы позиция.