Таб­лич­ные спис­ки типа «с­пра­воч­ни­к» пред­на­зна­че­ны для хра­не­ния дан­ных, ис­поль­зу­е­мых в пра­ви­лах обо­га­ще­ния и кор­ре­ля­ции (но не мо­гут за­пол­нят­ся из пра­вил). Вы мо­же­те ра­бо­тать с таб­лич­ны­ми спис­ка­ми типа «с­пра­воч­ни­к» на стра­ни­це Па­ке­ты экс­пер­ти­зы.

Таб­лич­ные спис­ки типа «с­пра­воч­ни­к» мо­гут быть стан­дарт­ны­ми и поль­зо­ва­тель­ски­ми. Стан­дарт­ные таб­лич­ные спис­ки на­стро­е­ны спе­ци­а­ли­ста­ми по ин­фор­ма­ци­он­ной без­опас­но­сти Positive Technologies их па­ра­мет­ры не мо­гут быть из­ме­не­ны. Вы мо­же­те про­смат­ри­вать стан­дарт­ные таб­лич­ные спис­ки и ко­пи­ро­вать их для со­зда­ния поль­зо­ва­тель­ских спис­ков. Поль­зо­ва­тель­ские таб­лич­ные спис­ки вы мо­же­те со­зда­вать, из­ме­нять, ко­пи­ро­вать и уда­лять. Вы мо­же­те вруч­ную до­бав­лять и из­ме­нять за­пи­си в стан­дарт­ных и поль­зо­ва­тель­ских таб­лич­ных спис­ках, если это преду­смот­ре­но при их со­зда­нии.

Па­ра­мет­ры таб­лич­но­го спис­ка

Таб­лич­ный спи­сок типа «с­пра­воч­ни­к» об­ла­да­ет сле­ду­ю­щи­ми осо­бен­но­стя­ми:

• пред­на­зна­чен для со­зда­ния спра­воч­ни­ка;
• дол­жен иметь на­зва­ние, ко­то­рое мо­жет со­сто­ять из букв ла­тин­ско­го ал­фа­ви­та, цифр, зна­ков под­чер­ки­ва­ния и то­чек, долж­но на­чи­нать­ся с про­пис­ной бук­вы;
• мо­жет иметь опи­са­ние на рус­ском или ан­глий­ском язы­ке;
• мо­жет иметь стан­дарт­ный или поль­зо­ва­тель­ский шаб­лон ис­клю­че­ний для ав­то­ма­ти­че­ско­го за­пол­не­ния дан­ны­ми по ссыл­кам из кор­ре­ля­ци­он­ных со­бы­тий;
• мо­жет иметь раз­ре­ше­ние на из­ме­не­ние за­пи­сей поль­зо­ва­те­ля­ми;
• поз­во­ля­ет ак­ти­ви­ро­вать и де­ак­ти­ви­ро­вать за­пи­си (де­ак­ти­ви­ро­ван­ные за­пи­си не ис­поль­зу­ют­ся в пра­ви­лах кор­ре­ля­ции и обо­га­ще­ния);
• рас­по­ла­га­ет­ся в пап­ке или па­ке­те экс­пер­ти­зы для хра­не­ния в БД;
• мо­жет вхо­дить в на­бо­ры для уста­нов­ки объ­ек­тов в MaxPatrol SIEM;

Па­ра­мет­ры ко­ло­нок таб­лич­но­го спис­ка

Клю­че­вая ко­лон­ка — это ко­лон­ка, зна­че­ния в ко­то­рой яв­ля­ют­ся иден­ти­фи­ка­то­ра­ми за­пи­сей таб­лич­но­го спис­ка. Если клю­че­вых ко­ло­нок несколь­ко, то за­пись иден­ти­фи­ци­ру­ет­ся по со­во­куп­но­сти зна­че­ний всех клю­че­вых ко­ло­нок.

Ко­лон­ки таб­лич­но­го спис­ка об­ла­да­ют сле­ду­ю­щи­ми осо­бен­но­стя­ми:

• долж­ны иметь на­зва­ние, ко­то­рое мо­жет со­сто­ять из букв ла­тин­ско­го ал­фа­ви­та, цифр, зна­ка под­чер­ки­ва­ния и точ­ки, долж­но на­чи­нать­ся с про­пис­ной бук­вы;
• мо­гут со­дер­жать дан­ные ти­пов DateTime, Number, String или Perl-сов­ме­сти­мые ре­гу­ляр­ные вы­ра­же­ния (PCRE);
  Вы мо­же­те ис­поль­зо­вать ко­лон­ки с ти­пом дан­ных String для хра­не­ния IP-ад­ре­сов в виде: a.b.c.d/<Мас­ка>.
• мо­гут быть клю­че­вы­ми. Зна­че­ния всех клю­че­вых ко­ло­нок ин­дек­си­ру­ют­ся и не мо­гут быть пу­сты­ми (null). По умол­ча­нию клю­че­вой яв­ля­ет­ся пер­вая ко­лон­ка;
• мо­гут ин­дек­си­ро­вать­ся. Ис­поль­зо­ва­ние ин­дек­си­ру­е­мых ко­ло­нок по­вы­ша­ет ско­рость по­ис­ка по за­пи­сям таб­лич­но­го спис­ка. По умол­ча­нию для ин­дек­си­ро­ва­ния ис­поль­зу­ет­ся пер­вая клю­че­вая ко­лон­ка;
• мо­гут явно до­пус­кать зна­че­ние null. В таб­лич­ный спи­сок мо­жет до­бав­лять­ся за­пись, в ко­то­рой ка­кое-то из по­лей от­сут­ству­ет. Если со­от­вет­ству­ю­щая ко­лон­ка таб­лич­но­го спис­ка не мо­жет за­пол­нять­ся пу­стым зна­че­ни­ем, то до­бав­ле­ние та­кой за­пи­си не про­из­во­дит­ся. По умол­ча­нию все ко­лон­ки таб­лич­но­го спис­ка кро­ме клю­че­вых мо­гут за­пол­нять­ся пу­сты­ми зна­че­ни­я­ми.