Начало работы

Основные возможности

Возможности расширения:

  • Просмотр и редактирование правил нормализации, агрегации, корреляции, обогащения и табличных списков.

  • Создание из шаблонов правил корреляции, обогащения и нормализации.

  • Просмотр, редактирование, создание интеграционных и модульных тестов для правил корреляции, обогащения и нормализации.

  • Запуск интеграционных и модульных тестов для правил корреляции, обогащения и нормализации.

  • Автоматическое дополнение ключевых слов, функций и типовых конструкций языка XP и полей таксономии.

  • Статическая валидация исходного кода на типичные ошибки.

  • Заполнение метаданных правил.

  • Создание и редактирование правил локализации правил.

  • Сбор графов правил, схемы и БД табличных списков.

  • Проверка срабатываний всего графа корреляций на необработанные события.

  • Распаковка и упаковка пакетов экспертизы в файлы формата KB.

*Примечание. Для этих операций расширение использует дополнительные утилиты, которые доступны в отельном репозитории.

Использование проекта VSCode XP Workspace

Вы можете легко получить готовое окружение для разработки на XP, если воспользуетесь проектом VSCode XP Workspace. В нём всё собрано в единый Docker-контейнер, а редактирование происходит через веб-версию VSCode. Подробности в репозитории проекта.

Требования

Вы можете использовать расширение в Visual Studio Code (версия 1.75.0 или выше) и в VSCodium.

Для корректной работы расширения в операционной системе должны быть установлены следующие компоненты:

  • Git версии 2.30 или выше;

  • .NET Runtime версии 6.0.

Установка расширения

Чтобы установить расширение:

  1. Откройте панель Extensions (Ctrl+Shift+X).

  2. В строке поиска введите xplang.

  3. В результатах поиска откройте расширение eXtraction and Processing.

  4. Нажмите Install. Установка может занять несколько минут.

Расширение установлено. В панели Activity Bar появился значок pic.

Настройка расширения

Чтобы настроить расширение:

  1. Перейдите в редактор настроек:

    • В Windows/Linux выберите FilePreferencesSettings.

    • В macOS выберите CodePreferencesSettings.

  2. В списке Extensions выберите SiemContentEditor.

  3. В поле Kbt Base Directory введите путь к папке с утилитами, необходимыми для работы расширения.

  4. В поле Output Directory Path введите путь к папке для собранных графов.

    Примечание. Изменять значение других параметров расширения не рекомендуется.

Выбор продукта

С помощью расширения вы можете разрабатывать экспертизу для MaxPatrol SIEM, PT XDR и SOLDR. Перед началом работы с экспертизой вам нужно выбрать продукт, в который она будет поставляться.

Чтобы выбрать продукт:

  1. В панели Action Bar нажмите на значок pic.

  2. В левом нижнем углу экрана нажмите Тип целевого продукта.

    В верхней части экрана откроется окно выбора продукта.

  3. Выполните одно из следующих действий:

    • Если вы работаете с MaxPatrol SIEM, выберите SIEM.

    • Если вы работаете с PT XDR или SOLDR, выберите EDR.

Открытие базы знаний

Для начала работы с правилами вам нужно открыть базу знаний. Если у вас нет базы знаний и вы хотите создать ее с нуля, вам нужно выбрать папку, в которой она будет размещена.

Чтобы открыть базу знаний:

  1. В панели Action Bar нажмите на значок pic.

  2. В панели Дерево контента нажмите кнопку Открыть базу знаний.

  3. Выберите папку.

  4. Если содержимое папки не соответствует формату выбранного продукта, создайте в ней необходимые папки, нажав Да во всплывающем окне в правом нижнем углу экрана.

  5. В панели Дерево контента нажмите pic.

    В панели отобразится содержимое выбранной папки.

Импорт пакета экспертизы из файла формата KB

Вы можете импортировать в рабочую папку пакеты экспертизы из файла формата KB.

Чтобы импортировать пакеты экспертизы:

  1. В панели Action Bar нажмите на значок pic.

  2. В панели Дерево контента нажмите правой кнопкой мыши на корневой объект со значком pic.

  3. В открывшемся меню выберите Извлечь пакеты из kb-файла.

  4. Выберите файл и нажмите кнопку Открыть.

    Запустится импорт пакетов экспертизы.

  5. В панели Дерево контента нажмите pic.

Пакеты экспертизы импортированы.

Создание и удаление папки

Вы можете создавать и удалять папки в вашей рабочей папке.

Чтобы создать папку:

  1. В панели Action Bar нажмите на значок pic.

  2. В панели Дерево контента нажмите правой кнопкой мыши на папку, в которой вы хотите создать новую папку.

  3. В открывшемся меню выберите Создать директорию.

  4. Введите имя папки и нажмите клавишу ENTER.

Папка создана.

Чтобы удалить папку:

  1. В панели Action Bar нажмите на значок pic.

  2. В панели Дерево контента нажмите правой кнопкой мыши на папку, которую вы хотите удалить.

  3. В открывшемся меню выберите Удалить.

Папка удалена.

Обновление дерева объектов

Если файлы или папки из вашей базы знаний были изменены не в VSCode, то вам нужно обновить дерево объектов.

Чтобы обновить дерево:

  1. В панели Action Bar нажмите на значок pic.

  2. В панели Дерево контента нажмите pic.

Дерево обновлено.