[FEATURE] Правила корреляции. Дополнительная валидация между значениями `$importance = "info"` и `$incident.severity = $importance`

[sanguis-meus]

Is there an existing feature request or discussion for this?

• I have searched the existing feature requests and discussions

Problem

[enum] importance может принимать значение "info", которое отсутствует среди значений [enum] incident.severity

Текущая валидация (importanceAndSeverityValidator.ts) проверяет литеральное совпадение значений либо использование $incident.severity = $importance, поэтому следующая конструкция проходит валиадацию:

emit {
    $correlation_type = "incident"
    $importance = "info"
    $incident.severity = $importance
}

При установке же такого правила в MP SIEM "сломается" регистрация соотв. инцидентов.

Solution

Дополнительная проверка для случая с $importance = "info"

Improvements

No response

Anything else?

No response

[paran0id34]

Добрый день.

В таксономии всегда было и есть значение low для incident.severity:

У нас есть коробочные правила с подобным значением, которые нормально работают, и с ними не было проблем при установке в SIEM.

Не могли бы вы показать код проблемного правила? Ну или, возможно, я не правильно понял ваш комментарий.

[sanguis-meus]

Добрый день.

В таксономии всегда было и есть значение low для incident.severity:

@paran0id34,
Спасибо за замечание!

Я неправильно указал: должно быть $importance = "info", и вот "info" как раз нет среди возможных значений $incident.severity

Поправил в названии issue и по тексту.