Перейти к содержанию

Обогащение событий

В качестве источников обогащения событий в Платформе Радар используются следующие типы обогащений:

  • GeoIP

  • DNS

  • Threat Intelligence

  • RVS

  • Lookups

Настройка GeoIP обогащения

GeoIP обогащение работает на основе базы IP-адресов GeoLite от MaxMind’s.

  1. Для работы необходимо получить базу GeoLite2-City.mmdb и положить ее на экземпляр модуля обработки событий.(https://dev.maxmind.com/geoip/geolite2-free-geolocation-data?lang=en)

  2. Далее в конфигурации Termite в разделе Кластер - Управление конфигурацией - Termite - GeoIP (см. рисунок 1) включить GeoIP (True) и указать путь к файлу GeoIP обогащения:

    Рисунок 1 -- Настройка GeoIP обогащения

  3. Далее необходимо перезапустить сервис pangeoradar-termite.

В результате, события должны обогащаться GeoIP информацией, как изображено на рисунке 2.

GeoIP обогащение

Рисунок 2 -- Обогащенное GeoIP событие

Настройка DNS обогащения

DNS обогащение может работать как от .csv файла с базой FQDN и IP-адресов, так и получая информацию от DNS сервера. Можно использовать оба способа единовременно.

DNS обогащение по сети

Для организации работы DNS обогащения в конфигурации Termite в разделе Кластер - Управление конфигурацией - Termite - DNS (см. рисунок 3) настроить перечень доменов и включить обогащение DNS (True). Для обогащения в локальной сети включить DNS локально (True) и указать перечень локальных сетей и DNS серверов.

Рисунок 3 -- Настройка DNS обогащения

В результате, события должны обогащаться DNS информацией, как изображено на рисунке 4.

DNS обогащение

Рисунок 4 -- Обогащенное DNS событие

Настройка Threat Intelligence обогащения

Threat Intelligence обогащение работает на основе баз угроз безопасности, получаемых Платформой Радар различных поставщиков.

Для просмотра базы Threat Intelligence необходимо в интерфейсе Платформы Радар перейти в раздел “Репутационные списки”. Раздел изображен на рисунке 5.

Репутационные списки

Рисунок 5 -- Репутационные списки

TI обогащение позволяет наполнять дополнительной информацией события, содержащие:
Домен-URL, IP - адрес, SSL хэш, Хэш файлов из базы угроз.

Для работы TI - обогащения необходимо в конфигурации Termite в разделе Кластер - Управление конфигурацией - Termite - Threatintel (см. рисунок 6) включить обогащение Threatintel (True) и указать путь к файлу Treatintel.

Рисунок 6 -- Настройка Threatintel обогащения

В результате, события должны обогащаться TI информацией, как изображено на рисунке 7.

Обогащенное DNS событие

Рисунок 7 -- Обогащенное TI событие

Настройка RVS обогащения

RVS обогащение работает на основе табличных списков.

  1. Для настройки обогащения событий на основе табличных списков необходимо создать табличный список со схемой данных, соответствующей импортируемому документу формата json (см. п.2).

    Рисунок 8 – Создание хранилища табличного списка для обогащения событий

    Описание работы с интерфейсом табличных списков представлено в руководстве по работе с RVS (табличные списки) ;

  2. В созданном хранилище табличного списка необходимо заполнить данные согласно «Схеме данных». Для примера импортируем документ в формате json согласно «Схеме данных»:

    [
  {
    "_id": "0",
    "name": "172.30.254.85",
    "ip": "172.30.254.85",
    "fqdn": [],
    "mac": "62:cf:a8:7e:b6:c2",
    "groups": "Источники"
  }
]

  3. В разделе Кластер - Управление конфигурацией - Termite - RVS (см. рисунок 9) выполнить следующие действия:

    • Установить переключатель «Задействовать хранилище значений» в состояние «true»;
    • Заполнить маппинг; (см Таблица 1. Пример настройки обогащения событий из табличного списка)

    Следующие значения настраиваются по необходимости:

    • Глобальный маппинг
    • Отключить обязательную проверку TLS при соединении к БД
    • Хранилище значений интервал обновлений
    • Использовать TLS шифрование

    Рисунок 9 -- Настройка обогащения событий из табличного списка

Таблица 1 -- Пример настройки обогащения событий из табличного списка

Поле Значение Описание
Инпут 2674-linux_auditd название источника (event.logsource.input)
Табличный список tabular_list_for_RVS название ранее созданного табличного списка
enrich_from настройка проверки совпадения полей табличного списка и нормализованного события
Normalized field target.host.ip.0 поле в нормализованном событии, сопоставляемое с полем табличного списка
Collection field ip поле в табличном списке, сопоставляемое с полем в нормализованном событии
enrich_to настройка обогащения полей из табличного списка в поля нормализации
Normalized field target.interface.mac.0 целевое поле в нормализованном событии
Collection field mac содержимое поля в табличном списке, которое должно появиться в целевом поле нормализированного события

Важно! В полях Normalized field добавляется окончание «.0» только в версиях Платформы Радар до 3.7. В версиях 3.7+ окончание использоваться не будет.

Результат обогащенного табличным списком события представлен на рисунке 10.

Обогащенное RVS событие

Рисунок 10 -- Обогащенное RVS событие

Lookup обогащение

Lookup обогащение происходит на этапе нормализации событий.

Описание Lookup представлено в разделе Специальные функции для работы с полями нормализации.