Обогащение событий
В качестве источников обогащения событий в Платформе Радар используются следующие типы обогащений:
-
GeoIP
-
DNS
-
Threat Intelligence
-
RVS
-
Lookups
Настройка GeoIP обогащения
GeoIP обогащение работает на основе базы IP-адресов GeoLite от MaxMind’s.
-
Для работы необходимо получить базу GeoLite2-City.mmdb и положить ее на экземпляр модуля обработки событий.(https://dev.maxmind.com/geoip/geolite2-free-geolocation-data?lang=en)
-
Далее в конфигурации Termite в разделе Кластер - Управление конфигурацией - Termite - GeoIP (см. рисунок 1) включить GeoIP (True) и указать путь к файлу GeoIP обогащения:
Рисунок 1 -- Настройка GeoIP обогащения
-
Далее необходимо перезапустить сервис pangeoradar-termite.
В результате, события должны обогащаться GeoIP информацией, как изображено на рисунке 2.
Рисунок 2 -- Обогащенное GeoIP событие
Настройка DNS обогащения
DNS обогащение может работать как от .csv файла с базой FQDN и IP-адресов, так и получая информацию от DNS сервера. Можно использовать оба способа единовременно.
DNS обогащение по сети
Для организации работы DNS обогащения в конфигурации Termite в разделе Кластер - Управление конфигурацией - Termite - DNS (см. рисунок 3) настроить перечень доменов и включить обогащение DNS (True). Для обогащения в локальной сети включить DNS локально (True) и указать перечень локальных сетей и DNS серверов.
Рисунок 3 -- Настройка DNS обогащения
В результате, события должны обогащаться DNS информацией, как изображено на рисунке 4.
Рисунок 4 -- Обогащенное DNS событие
Настройка Threat Intelligence обогащения
Threat Intelligence обогащение работает на основе баз угроз безопасности, получаемых Платформой Радар различных поставщиков.
Для просмотра базы Threat Intelligence необходимо в интерфейсе Платформы Радар перейти в раздел “Репутационные списки”. Раздел изображен на рисунке 5.
Рисунок 5 -- Репутационные списки
TI обогащение позволяет наполнять дополнительной информацией события, содержащие:
Домен-URL, IP - адрес, SSL хэш, Хэш файлов из базы угроз.
Для работы TI - обогащения необходимо в конфигурации Termite в разделе Кластер - Управление конфигурацией - Termite - Threatintel (см. рисунок 6) включить обогащение Threatintel (True) и указать путь к файлу Treatintel.
Рисунок 6 -- Настройка Threatintel обогащения
В результате, события должны обогащаться TI информацией, как изображено на рисунке 7.
Рисунок 7 -- Обогащенное TI событие
Настройка RVS обогащения
RVS обогащение работает на основе табличных списков.
-
Для настройки обогащения событий на основе табличных списков необходимо создать табличный список со схемой данных, соответствующей импортируемому документу формата json (см. п.2).
Рисунок 8 – Создание хранилища табличного списка для обогащения событий
Описание работы с интерфейсом табличных списков представлено в руководстве по работе с RVS (табличные списки) ;
-
В созданном хранилище табличного списка необходимо заполнить данные согласно «Схеме данных». Для примера импортируем документ в формате json согласно «Схеме данных»:
[ { "_id": "0", "name": "172.30.254.85", "ip": "172.30.254.85", "fqdn": [], "mac": "62:cf:a8:7e:b6:c2", "groups": "Источники" } ]
-
В разделе Кластер - Управление конфигурацией - Termite - RVS (см. рисунок 9) выполнить следующие действия:
- Установить переключатель «Задействовать хранилище значений» в состояние «true»;
- Заполнить маппинг; (см Таблица 1. Пример настройки обогащения событий из табличного списка)
Следующие значения настраиваются по необходимости:
- Глобальный маппинг
- Отключить обязательную проверку TLS при соединении к БД
- Хранилище значений интервал обновлений
- Использовать TLS шифрование
Рисунок 9 -- Настройка обогащения событий из табличного списка
Таблица 1 -- Пример настройки обогащения событий из табличного списка
Поле | Значение | Описание |
---|---|---|
Инпут | 2674-linux_auditd | название источника (event.logsource.input) |
Табличный список | tabular_list_for_RVS | название ранее созданного табличного списка |
enrich_from | настройка проверки совпадения полей табличного списка и нормализованного события | |
Normalized field | target.host.ip.0 | поле в нормализованном событии, сопоставляемое с полем табличного списка |
Collection field | ip | поле в табличном списке, сопоставляемое с полем в нормализованном событии |
enrich_to | настройка обогащения полей из табличного списка в поля нормализации | |
Normalized field | target.interface.mac.0 | целевое поле в нормализованном событии |
Collection field | mac | содержимое поля в табличном списке, которое должно появиться в целевом поле нормализированного события |
Важно! В полях Normalized field добавляется окончание «.0» только в версиях Платформы Радар до 3.7. В версиях 3.7+ окончание использоваться не будет.
Результат обогащенного табличным списком события представлен на рисунке 10.
Рисунок 10 -- Обогащенное RVS событие
Lookup обогащение
Lookup обогащение происходит на этапе нормализации событий.
Описание Lookup представлено в разделе Специальные функции для работы с полями нормализации.