Табличные списки
Работа с табличными списками из UI
Система использует для обогащения событий безопасности, а также при работе правил корреляции, различные массивы информации. Для хранения статических данных используются хранилища значений, которые входят в пакет поставки, а также могут заполняться пользователем. Для хранения динамических данных используются табличные списки. Табличные списки могут быть пополнены как пользователем, так и правилами корреляции при работе. Правила корреляции могут как вносить новые записи в табличные списки, так и получать и удалять существующие. Также для записей в табличном списке может быть определен срок жизни записи (TTL), по истечение которого запись будет автоматически удалена.
Для управления табличными списками необходимо перейти в раздел “Коррелятор” → “Табличные списки”.
На рисунке 1 изображено окно управления табличными списками.
Рисунок 1 -- Табличные списки
В рассматриваемом интерфейсе присутствуют следующие функциональные возможности:
-
Создание табличных списков;
Для этого необходимо ввести название создаваемого списка и нажать на “+”. В результате должен быть создан табличный список, как изображено на рисунке 2.
Рисунок 2 -- Результат создания табличного списка
-
Удаление табличного списка
Для этого необходимо выбрать список, который необходимо удалить и нажать на пиктограмму урны. После чего список будет удалён.
Для того, чтобы перейти внутрь списка, необходимо нажать на его название, после чего откроется его содержимое, представленное на рисунке 3.
Рисунок 3 -- Содержимое списка Hosts_Without_Workable_Agent
В интерфейсе управления конкретным табличным списком присутствуют следующие функциональные возможности:
-
Создание индексов (сущность, позволяющая упорядочить документы табличного списка по определенному полю, что существенно ускоряет поиск);
Для создания индекса, необходимо ввести название поля, по которому необходимо проиндексировать документы в табличном списке и нажать на “+”. Результат создания индекса изображен на рисунке 4.
Рисунок 4 -- Результат создания индекса ip
-
Добавление документов из файла;
Для этого необходимо нажать на кнопку “Открыть”, выбрать .json файл, содержащий документ и нажать на кнопку “Загрузить из файла”.
Пример .json файла, содержащего документ:
{ "documents": [ { "ip": "192.168.110.2", "first_seen": 1628816008.011093, "first_seen_timestamp": "2021-08-13T00:53:28.0110938Z" } ] }
В результате приведенных выше действий, в табличный список будет добавлен новый документ.
-
Выгрузка всех документов списка в файл;
Для этого необходимо нажать на кнопку “Выгрузить файл”, после чего автоматически будет скачан файл, содержащий информацию об актуальных документах табличных списков. Пример содержимого файла выгрузки документов из списка Hosts_Without_Workable_Agent (рассмотренного выше):
{ "documents": [ { "ip": "192.168.150.10", "hostname": "V-DEMO-DC01", "fqdn": "V-DEMO-DC01.demo.local", "_id": "611914fb1f7eb2aed3fc74d1", "_date": "2021-08-16 13:22:03.799000" }, { "ip": "192.168.200.2", "hostname": "WINSRV01", "fqdn": "WINSRV01.demo.local", "_id": "611914fb1f7eb2aed3fc74d2", "_date": "2021-08-16 13:22:03.801000" }, { "ip": "192.168.150.15", "hostname": "DC", "fqdn": "DC.demo.local", "_id": "611914fb1f7eb2aed3fc74d3", "_date": "2021-08-16 13:22:03.806000" }, { "ip": "192.168.100.101", "hostname": "DEMO-SERVER2012", "fqdn": "DEMO-SERVER2012.demo.local", "_id": "611914fb1f7eb2aed3fc74d4", "_date": "2021-08-16 13:22:03.808000" }, { "ip": "192.168.100.102", "hostname": "V-DEMO-WIN10", "fqdn": "V-DEMO-WIN10.demo.local", "_id": "611914fb1f7eb2aed3fc74d5", "_date": "2021-08-16 13:22:03.810000" }, { "ip": "192.168.200.5", "hostname": "REDCHECK-00", "fqdn": "REDCHECK-00", "_id": "611914fb1f7eb2aed3fc74d6", "_date": "2021-08-16 13:22:03.812000" }, { "ip": "192.168.100.100", "hostname": "WINSRV02", "fqdn": "WINSRV02.demo.local", "_id": "61191f4b1f7eb2aed3fc74d7", "_date": "2021-08-16 14:06:03.158000" } ] }
-
Очистка табличных списков;
Для очистки списков от всех документов необходимо нажать на кнопку “Очистить список”, в результате чего все документы из табличного списка будут удалены (при этом сам список и созданные индексы останутся).
-
Редактирование документов;
Для редактирования документов необходимо нажать на пиктограмму карандаша возле одного из документов, после чего откроется возможность текстового редактирования документа, как изображено на рисунке 5.
Рисунок 5 -- Изменение документа
После внесения изменений необходимо нажать на галочку, после чего изменения в документе должны сохраниться.
-
Удаление документов;
Для удаления документа необходимо нажать на пиктограмму урны возле одного из документов, после чего данный документ будет удален из хранилища.
-
Поиск по документам табличных списков;
Выборку по документам в списке можно проводить по определенным фильтрам.
-
Поиск по конкретному значению определенного поля;
Пример представлен на рисунке 6
Рисунок 6 - Фильтр по конкретному значению
-
Поиск по регулярному выражению.
Пример представлен на рисунке 7
Рисунок 7 - Фильтр по регулярному выражению
-