Перейти к содержанию

Табличные списки

Работа с табличными списками из UI

Система использует для обогащения событий безопасности, а также при работе правил корреляции, различные массивы информации. Для хранения статических данных используются хранилища значений, которые входят в пакет поставки, а также могут заполняться пользователем. Для хранения динамических данных используются табличные списки. Табличные списки могут быть пополнены как пользователем, так и правилами корреляции при работе. Правила корреляции могут как вносить новые записи в табличные списки, так и получать и удалять существующие. Также для записей в табличном списке может быть определен срок жизни записи (TTL), по истечение которого запись будет автоматически удалена.

Для управления табличными списками необходимо перейти в раздел “Коррелятор” → “Табличные списки”.

На рисунке 1 изображено окно управления табличными списками.

Табличные списки

Рисунок 1 -- Табличные списки

В рассматриваемом интерфейсе присутствуют следующие функциональные возможности:

  • Создание табличных списков;

    Для этого необходимо ввести название создаваемого списка и нажать на “+”. В результате должен быть создан табличный список, как изображено на рисунке 2.

    Результат создания табличного списка

    Рисунок 2 -- Результат создания табличного списка

  • Удаление табличного списка

    Для этого необходимо выбрать список, который необходимо удалить и нажать на пиктограмму урны. После чего список будет удалён.

Для того, чтобы перейти внутрь списка, необходимо нажать на его название, после чего откроется его содержимое, представленное на рисунке 3.

Содержимое списка Hosts_Without_Workable_Agent

Рисунок 3 -- Содержимое списка Hosts_Without_Workable_Agent

В интерфейсе управления конкретным табличным списком присутствуют следующие функциональные возможности:

  • Создание индексов (сущность, позволяющая упорядочить документы табличного списка по определенному полю, что существенно ускоряет поиск);

    Для создания индекса, необходимо ввести название поля, по которому необходимо проиндексировать документы в табличном списке и нажать на “+”. Результат создания индекса изображен на рисунке 4.

    Результат создания индекса ip

    Рисунок 4 -- Результат создания индекса ip

  • Добавление документов из файла;

    Для этого необходимо нажать на кнопку “Открыть”, выбрать .json файл, содержащий документ и нажать на кнопку “Загрузить из файла”.

    Пример .json файла, содержащего документ:

      {
      "documents": [
        {
          "ip": "192.168.110.2",
          "first_seen": 1628816008.011093,
          "first_seen_timestamp": "2021-08-13T00:53:28.0110938Z"
        }
       ]
      }
    

    В результате приведенных выше действий, в табличный список будет добавлен новый документ.

  • Выгрузка всех документов списка в файл;

    Для этого необходимо нажать на кнопку “Выгрузить файл”, после чего автоматически будет скачан файл, содержащий информацию об актуальных документах табличных списков. Пример содержимого файла выгрузки документов из списка Hosts_Without_Workable_Agent (рассмотренного выше):

      {
      "documents": [
        {
          "ip": "192.168.150.10",
          "hostname": "V-DEMO-DC01",
          "fqdn": "V-DEMO-DC01.demo.local",
          "_id": "611914fb1f7eb2aed3fc74d1",
          "_date": "2021-08-16 13:22:03.799000"
        },
        {
          "ip": "192.168.200.2",
          "hostname": "WINSRV01",
          "fqdn": "WINSRV01.demo.local",
          "_id": "611914fb1f7eb2aed3fc74d2",
          "_date": "2021-08-16 13:22:03.801000"
        },
        {
          "ip": "192.168.150.15",
          "hostname": "DC",
          "fqdn": "DC.demo.local",
          "_id": "611914fb1f7eb2aed3fc74d3",
          "_date": "2021-08-16 13:22:03.806000"
        },
        {
          "ip": "192.168.100.101",
          "hostname": "DEMO-SERVER2012",
          "fqdn": "DEMO-SERVER2012.demo.local",
          "_id": "611914fb1f7eb2aed3fc74d4",
          "_date": "2021-08-16 13:22:03.808000"
        },
        {
          "ip": "192.168.100.102",
          "hostname": "V-DEMO-WIN10",
          "fqdn": "V-DEMO-WIN10.demo.local",
          "_id": "611914fb1f7eb2aed3fc74d5",
          "_date": "2021-08-16 13:22:03.810000"
        },
        {
          "ip": "192.168.200.5",
          "hostname": "REDCHECK-00",
          "fqdn": "REDCHECK-00",
          "_id": "611914fb1f7eb2aed3fc74d6",
          "_date": "2021-08-16 13:22:03.812000"
        },
        {
          "ip": "192.168.100.100",
          "hostname": "WINSRV02",
          "fqdn": "WINSRV02.demo.local",
          "_id": "61191f4b1f7eb2aed3fc74d7",
          "_date": "2021-08-16 14:06:03.158000"
        }
       ]
      }
    
  • Очистка табличных списков;

    Для очистки списков от всех документов необходимо нажать на кнопку “Очистить список”, в результате чего все документы из табличного списка будут удалены (при этом сам список и созданные индексы останутся).

  • Редактирование документов;

    Для редактирования документов необходимо нажать на пиктограмму карандаша возле одного из документов, после чего откроется возможность текстового редактирования документа, как изображено на рисунке 5.

    Изменение документа

    Рисунок 5 -- Изменение документа

    После внесения изменений необходимо нажать на галочку, после чего изменения в документе должны сохраниться.

  • Удаление документов;

    Для удаления документа необходимо нажать на пиктограмму урны возле одного из документов, после чего данный документ будет удален из хранилища.

  • Поиск по документам табличных списков;

    Выборку по документам в списке можно проводить по определенным фильтрам.

    • Поиск по конкретному значению определенного поля;

      Пример представлен на рисунке 6

      Фильтр по конкретному значению

      Рисунок 6 - Фильтр по конкретному значению

    • Поиск по регулярному выражению.

      Пример представлен на рисунке 7

      Фильтр по регулярному выражению

      Рисунок 7 - Фильтр по регулярному выражению