Een volledig nieuwe aangepaste analyseregel maken

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

U hebt connectors en andere manieren ingesteld voor het verzamelen van activiteitsgegevens in uw digitale activa. Nu moet u al die gegevens doorzoeken om patronen van activiteit te detecteren en activiteiten te ontdekken die niet voldoen aan deze patronen en die een beveiligingsrisico kunnen vormen.

Microsoft Sentinel en de vele oplossingen in de Content Hub bieden sjablonen voor de meest gebruikte typen analyseregels. U wordt ten zeerste aangeraden deze sjablonen te gebruiken en deze aan te passen aan uw specifieke scenario's. Maar het is mogelijk dat u iets heel anders nodig hebt, dus in dat geval kunt u een volledig nieuwe regel maken met behulp van de wizard Analyseregels.

In dit artikel wordt u begeleid bij de wizard Analyseregels en worden alle beschikbare opties uitgelegd. De wizard wordt vergezeld van schermopnamen en instructies voor toegang tot de wizard in zowel Azure Portal, voor Microsoft Sentinel-gebruikers die geen Microsoft Defender-abonnees zijn en de Defender-portal, voor gebruikers van het geïntegreerde Microsoft Defender-beveiligingsbewerkingsplatform.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Vereisten

  • U moet de rol Microsoft Sentinel-inzender hebben, of een andere rol of set machtigingen die schrijfmachtigingen bevatten voor uw Log Analytics-werkruimte en de bijbehorende resourcegroep.

Uw query ontwerpen en bouwen

Voordat u iets anders doet, moet u een query ontwerpen en bouwen in Kusto-querytaal (KQL) die door uw regel wordt gebruikt om een query uit te voeren op een of meer tabellen in uw Log Analytics-werkruimte.

  1. Bepaal een gegevensbron die u wilt zoeken om ongebruikelijke of verdachte activiteiten te detecteren. Zoek de naam van de Log Analytics-tabel waarin gegevens uit die bron worden opgenomen. U vindt de tabelnaam op de pagina van de gegevensconnector voor die bron. Gebruik deze tabelnaam (of een functie op basis hiervan) als basis voor uw query.

  2. Bepaal welk type analyse u wilt uitvoeren voor deze query in de tabel. Met deze beslissing wordt bepaald welke opdrachten en functies u in de query moet gebruiken.

  3. Bepaal welke gegevenselementen (velden, kolommen) u wilt uit de queryresultaten. Met deze beslissing wordt bepaald hoe u de uitvoer van de query structurereert.

Aanbevolen procedures voor query's voor analyseregels

  • Het is raadzaam om een ASIM-parser (Advanced Security Information Model) als querybron te gebruiken in plaats van een systeemeigen tabel te gebruiken. Dit zorgt ervoor dat de query ondersteuning biedt voor alle huidige of toekomstige relevante gegevensbronnen of -familie van gegevensbronnen, in plaats van te vertrouwen op één gegevensbron.

  • De querylengte moet tussen 1 en 10.000 tekens lang zijn en mag geen 'search *' of 'union *' bevatten. U kunt door de gebruiker gedefinieerde functies gebruiken om de beperking van de querylengte te overwinnen.

  • Het gebruik van ADX-functies voor het maken van Azure Data Explorer-query's in het Log Analytics-queryvenster wordt niet ondersteund.

  • Als u de bag_unpack functie in een query gebruikt en u de kolommen projecteert als velden met 'project field1' en de kolom niet bestaat, mislukt de query. Als u dit wilt voorkomen, moet u de kolom als volgt projecteren:

    project field1 = column_ifexists("field1","")

Zie Kusto-querytaal in Microsoft Sentinel en best practices voor Kusto-querytaal query's voor meer hulp bij het bouwen van Kusto-query's.

Bouw en test uw query's in het scherm Logboeken . Wanneer u tevreden bent, slaat u de query op voor gebruik in uw regel.

Uw analyseregel maken

In deze sectie wordt beschreven hoe u een regel maakt met behulp van de Azure- of Defender-portals.

De wizard Analyseregel starten

  1. Selecteer Analytics in de sectie Configuratie van het navigatiemenu van Microsoft Sentinel.

  2. Selecteer +Maken en selecteer Geplande queryregel in de actiebalk bovenaan. Hiermee opent u de wizard Analyseregels.

    Schermopname van het scherm Analyse in Azure Portal.

Geef de regel een naam en definieer algemene informatie

In Azure Portal worden fasen visueel weergegeven als tabbladen. In de Defender-portal worden ze visueel weergegeven als mijlpalen op een tijdlijn. Zie de onderstaande schermopnamen voor voorbeelden.

  1. Geef een unieke naam en een beschrijving op.

  2. Stel de ernst van de waarschuwing in, zodat deze overeenkomt met de impact die de activiteit die de regel activeert, mogelijk heeft in de doelomgeving, als de regel een terecht positief is.

    Ernst Beschrijving
    Informatieve Geen invloed op uw systeem, maar de informatie kan duiden op toekomstige stappen die zijn gepland door een bedreigingsacteur.
    Laag De onmiddellijke impact zou minimaal zijn. Een bedreigingsacteur moet waarschijnlijk meerdere stappen uitvoeren voordat een impact op een omgeving wordt bereikt.
    Gemiddeld De bedreigingsacteur kan enige invloed hebben op de omgeving met deze activiteit, maar deze is beperkt in het bereik of vereist extra activiteit.
    Hoog De geïdentificeerde activiteit biedt de bedreigings actor uitgebreide toegang tot het uitvoeren van acties op de omgeving of wordt geactiveerd door impact op de omgeving.

    Standaardwaarden voor ernstniveau zijn geen garantie voor huidig of milieu-impactniveau. Pas waarschuwingsdetails aan om de ernst, tactieken en andere eigenschappen van een bepaald exemplaar van een waarschuwing aan te passen met de waarden van relevante velden uit een query-uitvoer.

    Ernstdefinities voor microsoft Sentinel-analyseregelsjablonen zijn alleen relevant voor waarschuwingen die zijn gemaakt door analyseregels. Voor waarschuwingen die zijn opgenomen vanuit andere services, wordt de ernst gedefinieerd door de bronbeveiligingsservice.

  3. In het veld Tactieken en technieken kunt u kiezen uit categorieën bedreigingsactiviteiten waarmee u de regel kunt classificeren. Deze zijn gebaseerd op de tactieken en technieken van het MITRE ATT&CK-framework .

    Incidenten die zijn gemaakt op basis van waarschuwingen die worden gedetecteerd door regels die zijn toegewezen aan MITRE ATT&CK-tactieken en -technieken, nemen automatisch de toewijzing van de regel over.

    Zie Understand security coverage by the MITRE ATT&CK framework (Beveiligingsdekking begrijpen door het MITRE ATT&CK-framework®) voor meer informatie over het maximaliseren van uw dekking van miTRE ATT&CK-bedreigingen

  4. Wanneer u de regel maakt, is de status standaard ingeschakeld, wat betekent dat deze direct wordt uitgevoerd nadat u de regel hebt gemaakt. Als u niet wilt dat deze onmiddellijk wordt uitgevoerd, selecteert u Uitgeschakeld en wordt de regel toegevoegd aan het tabblad Actieve regels en kunt u deze vanaf daar inschakelen wanneer u deze nodig hebt.

    Notitie

    Er is een andere manier, momenteel in preview, om een regel te maken zonder dat deze onmiddellijk wordt uitgevoerd. U kunt de regel plannen om eerst te worden uitgevoerd op een specifieke datum en tijd. Zie Planning en bereik de onderstaande query .

  5. Selecteer Volgende: Regellogica instellen.

De regellogica definiëren

  1. Voer een query in voor uw regel.

    Plak de query die u hebt ontworpen, gebouwd en getest in het venster Regelquery . Elke wijziging die u in dit venster aanbrengt, wordt direct gevalideerd, dus als er fouten zijn, ziet u een indicatie direct onder het venster.

  2. Entiteiten toewijzen.

    Entiteiten zijn essentieel voor het detecteren en onderzoeken van bedreigingen. Wijs de entiteitstypen die door Microsoft Sentinel worden herkend, toe aan velden in uw queryresultaten. Met deze toewijzing worden de gedetecteerde entiteiten geïntegreerd in het veld Entiteiten in uw waarschuwingsschema.

    Zie Gegevensvelden toewijzen aan entiteiten in Microsoft Sentinel voor volledige instructies voor het toewijzen van entiteiten.

  3. Aangepaste details van surface in uw waarschuwingen.

    Standaard zijn alleen de waarschuwingsentiteiten en metagegevens zichtbaar in incidenten zonder in te zoomen op de onbewerkte gebeurtenissen in de queryresultaten. Met deze stap worden andere velden in uw queryresultaten gebruikt en geïntegreerd in het veld ExtendedProperties in uw waarschuwingen, waardoor ze vooraf worden weergegeven in uw waarschuwingen en in eventuele incidenten die zijn gemaakt op basis van deze waarschuwingen.

    Zie details van aangepaste gebeurtenissen van Surface in waarschuwingen in Microsoft Sentinel voor volledige instructies over het weergeven van aangepaste details.

  4. Waarschuwingsdetails aanpassen.

    Met deze instelling kunt u anders standaardwaarschuwingseigenschappen aanpassen op basis van de inhoud van verschillende velden in elke afzonderlijke waarschuwing. Deze aanpassingen zijn geïntegreerd in het veld ExtendedProperties in uw waarschuwingen. U kunt bijvoorbeeld de naam of beschrijving van de waarschuwing aanpassen om een gebruikersnaam of IP-adres op te nemen dat in de waarschuwing wordt vermeld.

    Zie Waarschuwingsgegevens aanpassen in Microsoft Sentinel voor volledige instructies over het aanpassen van waarschuwingsdetails.

  5. Plan en beperk de query.

    1. Stel de volgende parameters in de sectie Queryplanning in:

      Instelling Gedrag
      Elke query uitvoeren Bepaalt het queryinterval: hoe vaak de query wordt uitgevoerd.
      Opzoekgegevens uit de laatste Bepaalt de lookbackperiode: de periode die wordt gedekt door de query.

      • Het toegestane bereik voor beide parameters is van 5 minuten tot 14 dagen.

      • Het queryinterval moet korter zijn dan of gelijk zijn aan de lookbackperiode. Als deze korter is, overlappen de queryperioden elkaar en kan dit leiden tot duplicatie van resultaten. Met de regelvalidatie kunt u echter geen interval instellen dat langer is dan de lookbackperiode, omdat dit leidt tot hiaten in uw dekking.

    2. Start instellen:

      Instelling Gedrag
      Automatisch De regel wordt voor het eerst uitgevoerd zodra deze wordt gemaakt en daarna wordt elke instelling bij het interval ingesteld in de runquery .
      Op een bepaald tijdstip (preview) Stel een datum en tijd in waarop de regel voor het eerst moet worden uitgevoerd, waarna deze wordt uitgevoerd op het interval dat is ingesteld in de runquery elke instelling.

      • De begintijd moet tussen 10 minuten en 30 dagen na het maken van de regel (of inschakeling) duren.

      • De tekstregel onder de instelling Voor het starten van de uitvoering (met het informatiepictogram aan de linkerkant) bevat een overzicht van de huidige instellingen voor het plannen en terugkijken van query's.

        Schermopname van de wisselknop geavanceerde planning en instellingen.

    Notitie

    Opnamevertraging

    Om rekening te houden met latentie die kan optreden tussen het genereren van een gebeurtenis bij de bron en de opname in Microsoft Sentinel, en om volledige dekking zonder gegevensduplicatie te garanderen, voert Microsoft Sentinel geplande analyseregels uit op een vertraging van vijf minuten vanaf de geplande tijd.

    Zie Opnamevertraging afhandelen in geplande analyseregels voor meer informatie.

  6. Stel de drempelwaarde in voor het maken van waarschuwingen.

    Gebruik de sectie Waarschuwingsdrempel om het gevoeligheidsniveau van de regel te definiëren.

    • Stel Een waarschuwing genereren in wanneer het aantal queryresultatengroter is dan en voer het minimale aantal gebeurtenissen in dat moet worden gevonden gedurende de periode van de query voor de regel om een waarschuwing te genereren.
    • Dit is een verplicht veld, dus als u geen drempelwaarde wilt instellen( dat wil bijvoorbeeld als u de waarschuwing wilt activeren voor zelfs één gebeurtenis in een bepaalde periode), voert 0 u het numerieke veld in.

  7. Instellingen voor het groeperen van gebeurtenissen instellen.

    Kies onder Gebeurtenisgroepering een van de twee manieren om de groepering van gebeurtenissen in waarschuwingen af te handelen:

    Instelling Gedrag
    Alle gebeurtenissen groeperen in één waarschuwing
    (standaard)    		 De regel genereert elke keer dat deze wordt uitgevoerd één waarschuwing, zolang de query meer resultaten retourneert dan de opgegeven waarschuwingsdrempel. Deze enkele waarschuwing bevat een overzicht van alle gebeurtenissen die worden geretourneerd in de queryresultaten.
    Een waarschuwing activeren voor elke gebeurtenis De regel genereert een unieke waarschuwing voor elke gebeurtenis die door de query wordt geretourneerd. Dit is handig als u wilt dat gebeurtenissen afzonderlijk worden weergegeven of als u ze wilt groeperen op bepaalde parameters, per gebruiker, hostnaam of iets anders. U kunt deze parameters definiëren in de query.

    Analyseregels kunnen maximaal 150 waarschuwingen genereren. Als gebeurtenisgroepering is ingesteld op Een waarschuwing activeren voor elke gebeurtenis en de query van de regel meer dan 150 gebeurtenissen retourneert, genereren de eerste 149 gebeurtenissen elk een unieke waarschuwing (voor 149 waarschuwingen) en de 150e waarschuwing bevat een overzicht van de volledige set geretourneerde gebeurtenissen. Met andere woorden, de 150e waarschuwing is wat er zou zijn gegenereerd als gebeurtenisgroepering is ingesteld op Alle gebeurtenissen groeperen in één waarschuwing.

  8. Regel tijdelijk onderdrukken nadat een waarschuwing is gegenereerd.

    In de sectie Onderdrukking kunt u de stopquery inschakelen nadat de waarschuwing is gegenereerd als u, nadat u een waarschuwing hebt ontvangen, de bewerking van deze regel gedurende een bepaalde periode wilt onderbreken die het queryinterval overschrijdt. Als u dit inschakelt, moet u De actieve query stoppen instellen voor de tijdsduur dat de query niet meer wordt uitgevoerd, tot 24 uur.

  9. Simuleer de resultaten van de query- en logische instellingen.

    Selecteer Testen met huidige gegevens in het gebied Resultatensimulatie en Microsoft Sentinel geeft een grafiek weer van de resultaten (logboekgebeurtenissen) die de query de afgelopen 50 keer zou hebben gegenereerd, volgens de momenteel gedefinieerde planning. Als u de query wijzigt, selecteert u Testen met de huidige gegevens opnieuw om de grafiek bij te werken. In de grafiek ziet u het aantal resultaten gedurende de gedefinieerde periode. Dit wordt bepaald door de instellingen in de sectie Queryplanning .

    Hier ziet u hoe de resultatensimulatie eruit kan zien voor de query in de bovenstaande schermopname. De linkerkant is de standaardweergave en de rechterkant is wat u ziet wanneer u de muisaanwijzer boven een bepaald tijdstip in de grafiek beweegt.

    Schermopnamen van resultatensimulatie

    Als u ziet dat uw query te veel of te frequente waarschuwingen activeert, kunt u experimenteren met de instellingen in de secties Queryplanning en Waarschuwingsdrempel en Opnieuw testen met de huidige gegevens selecteren.

  10. Selecteer Volgende: Incidentinstellingen.

De instellingen voor het maken van incidenten configureren

Kies op het tabblad Incidentinstellingen of Microsoft Sentinel waarschuwingen verandert in bruikbare incidenten en of en hoe waarschuwingen worden gegroepeerd in incidenten.

  1. Het maken van incidenten inschakelen.

    In de sectie Incidentinstellingen wordt het maken van incidenten op basis van waarschuwingen die door deze analyseregel worden geactiveerd, standaard ingesteld op Ingeschakeld, wat betekent dat Microsoft Sentinel één afzonderlijk incident maakt van elke waarschuwing die wordt geactiveerd door de regel.

    • Als u niet wilt dat deze regel resulteert in het maken van incidenten (bijvoorbeeld als deze regel alleen informatie voor de volgende analyse verzamelt), stelt u deze in op Uitgeschakeld.

      Belangrijk

      Als u Microsoft Sentinel hebt toegevoegd aan het geïntegreerde beveiligingsbewerkingsplatform in de Microsoft Defender-portal en deze regel query's uitvoert op waarschuwingen van Microsoft 365- of Microsoft Defender-bronnen, moet u deze instelling instellen op Uitgeschakeld.

    • Zie de volgende sectie als u één incident wilt maken op basis van een groep waarschuwingen, in plaats van één voor elke waarschuwing.

  2. Instellingen voor het groeperen van waarschuwingen instellen.

    Als u in de sectie Waarschuwingsgroepering wilt dat één incident wordt gegenereerd op basis van een groep van maximaal 150 vergelijkbare of terugkerende waarschuwingen (zie opmerking), stelt u groepswaarschuwingen in, geactiveerd door deze analyseregel, in incidenten op Ingeschakeld en stelt u de volgende parameters in.

    1. Beperk de groep tot waarschuwingen die zijn gemaakt binnen het geselecteerde tijdsbestek: Bepaal het tijdsbestek waarin de vergelijkbare of terugkerende waarschuwingen worden gegroepeerd. Alle bijbehorende waarschuwingen binnen dit tijdsbestek genereren gezamenlijk een incident of een set incidenten (afhankelijk van de onderstaande groeperingsinstellingen). Waarschuwingen buiten dit tijdsbestek genereren een afzonderlijk incident of een set incidenten.

    2. Waarschuwingen groeperen die worden geactiveerd door deze analyseregel in één incident door: Kies de basis waarop waarschuwingen worden gegroepeerd:

      Optie Omschrijving
      Waarschuwingen groeperen in één incident als alle entiteiten overeenkomen Waarschuwingen worden gegroepeerd als ze identieke waarden delen voor elk van de toegewezen entiteiten (gedefinieerd op het tabblad Regellogica instellen hierboven). Dit is de aanbevolen instelling.
      Alle waarschuwingen die door deze regel worden geactiveerd, groeperen in één incident Alle waarschuwingen die door deze regel worden gegenereerd, worden gegroepeerd, zelfs als ze geen identieke waarden delen.
      Waarschuwingen groeperen in één incident als de geselecteerde entiteiten en details overeenkomen Waarschuwingen worden gegroepeerd als ze identieke waarden delen voor alle toegewezen entiteiten, waarschuwingsgegevens en aangepaste details die zijn geselecteerd in de desbetreffende vervolgkeuzelijsten.

      U kunt deze instelling gebruiken als u bijvoorbeeld afzonderlijke incidenten wilt maken op basis van de bron- of doel-IP-adressen, of als u waarschuwingen wilt groeperen die overeenkomen met een specifieke entiteit en ernst.

      Opmerking: Wanneer u deze optie selecteert, moet er ten minste één entiteitstype of -veld zijn geselecteerd voor de regel. Anders mislukt de validatie van de regel en wordt de regel niet gemaakt.

    3. Gesloten overeenkomende incidenten opnieuw openen: als een incident is opgelost en gesloten en later een andere waarschuwing wordt gegenereerd die bij dat incident hoort, stelt u deze instelling in op Ingeschakeld als u wilt dat het gesloten incident opnieuw wordt geopend en laat u uitgeschakeld als u wilt dat de waarschuwing een nieuw incident maakt.

    Notitie

    Maximaal 150 waarschuwingen kunnen worden gegroepeerd in één incident.

    • Het incident wordt alleen gemaakt nadat alle waarschuwingen zijn gegenereerd. Alle waarschuwingen worden onmiddellijk na het maken aan het incident toegevoegd.

    • Als er meer dan 150 waarschuwingen worden gegenereerd door een regel die deze in één incident groepeert, wordt er een nieuw incident gegenereerd met dezelfde incidentdetails als het origineel en worden de overtollige waarschuwingen gegroepeerd in het nieuwe incident.

  3. Selecteer Volgende: Geautomatiseerd antwoord.

Geautomatiseerde antwoorden instellen en de regel maken

Op het tabblad Geautomatiseerde antwoorden kunt u automatiseringsregels gebruiken om geautomatiseerde antwoorden in te stellen op elk van de volgende drie typen situaties:

  • Wanneer een waarschuwing wordt gegenereerd door deze analyseregel.
  • Wanneer een incident wordt gemaakt op basis van waarschuwingen die door deze analyseregel worden gegenereerd.
  • Wanneer een incident wordt bijgewerkt met waarschuwingen die worden gegenereerd door deze analyseregel.

In het raster dat wordt weergegeven onder Automation-regels worden de automatiseringsregels weergegeven die al van toepassing zijn op deze analyseregel (door deze regels te voldoen aan de voorwaarden die in deze regels zijn gedefinieerd). U kunt deze bewerken door de naam van de regel of het beletselteken aan het einde van elke rij te selecteren. U kunt ook Nieuwe toevoegen selecteren om een nieuwe automatiseringsregel te maken.

Gebruik automatiseringsregels voor het uitvoeren van eenvoudige triage, toewijzing, werkstroom en het sluiten van incidenten.

Automatiseer complexere taken en roep reacties van externe systemen aan om bedreigingen op te lossen door playbooks aan te roepen vanuit deze automatiseringsregels. U kunt playbooks aanroepen voor incidenten en voor afzonderlijke waarschuwingen.

  • Zie Bedreigingsreacties automatiseren voor meer informatie en instructies over het maken van playbooks en automatiseringsregels.

  • Zie Triggers en acties gebruiken in Microsoft Sentinel-playbooks voor meer informatie over het gebruik van de door het incident gemaakte trigger, de bijgewerkte trigger of de waarschuwing die is gemaakt.

  • Onder Waarschuwingsautomatisering (klassiek) onder aan het scherm ziet u eventuele playbooks die u hebt geconfigureerd om automatisch te worden uitgevoerd wanneer een waarschuwing wordt gegenereerd met behulp van de oude methode.

Selecteer Volgende: Controleren en maken om alle instellingen voor uw nieuwe analyseregel te controleren. Wanneer het bericht 'Validatie geslaagd' wordt weergegeven, selecteert u Maken.

De regel en de uitvoer ervan weergeven

De regeldefinitie weergeven:

  • U vindt de zojuist gemaakte aangepaste regel (van het type Gepland) in de tabel onder het tabblad Actieve regels op het hoofdscherm van Analytics . In deze lijst kunt u elke regel inschakelen, uitschakelen of verwijderen.

Bekijk de resultaten van de regel:

  • Als u de resultaten wilt bekijken van de analyseregels die u in Azure Portal maakt, gaat u naar de pagina Incidenten , waar u incidenten kunt sorteren, onderzoeken en de bedreigingen kunt oplossen.

De regel afstemmen:

Notitie

Waarschuwingen die in Microsoft Sentinel worden gegenereerd, zijn beschikbaar via Microsoft Graph Security. Zie de documentatie voor Microsoft Graph Security-waarschuwingen voor meer informatie.

De regel exporteren naar een ARM-sjabloon

Als u uw regel wilt verpakken om te worden beheerd en geïmplementeerd als code, kunt u de regel eenvoudig exporteren naar een ARM-sjabloon (Azure Resource Manager). U kunt ook regels importeren uit sjabloonbestanden om ze in de gebruikersinterface weer te geven en te bewerken.

Volgende stappen

Wanneer u analyseregels gebruikt om bedreigingen van Microsoft Sentinel te detecteren, moet u ervoor zorgen dat u alle regels inschakelt die zijn gekoppeld aan uw verbonden gegevensbronnen om een volledige beveiligingsdekking voor uw omgeving te garanderen.

Als u het inschakelen van regels wilt automatiseren, pusht u regels naar Microsoft Sentinel via API en PowerShell, maar hiervoor zijn extra inspanningen vereist. Wanneer u API of PowerShell gebruikt, moet u eerst de regels exporteren naar JSON voordat u de regels inschakelt. API of PowerShell kan handig zijn bij het inschakelen van regels in meerdere exemplaren van Microsoft Sentinel met identieke instellingen in elk exemplaar.

Zie voor meer informatie:

Leer ook van een voorbeeld van het gebruik van aangepaste analyseregels bij het bewaken van Zoom met een aangepaste connector.