Перейти к содержанию

Описание

Раздел «Правила обработки событий» содержит описание этапов обработки событий и рекомендации по настройке правил для их обработки. Описаны поля нормализации. Описаны специальные функции для работы с полями нормализации для дополнительной обработки событий прямо в веб-интерфейсе Платформы Радар.

Платформа Радар позволяет как создавать новые пользовательские правила разбора и нормализации событий, так и редактировать существующие

В рамках услуги по технической поддержке могут быть разработаны правила разбора событий для источников, не входящих в стандартный пакет поставки. Срок разработки от 1 рабочего дня.

Платформа Радар гарантирует обработку и анализ событий в режиме, близком к реальному времени.

Платформа Радар обеспечивает обработку мультиязычных событий.

Этапы обработки события

Событие, поступившее в Платформу Радар, проходит следующие этапы обработки:

  • Сбор – получение события от целевой системы/лог-коллектора, сохранение на диск в raw-формате или добавление в очередь.
  • Фильтрация – выделение событий, удовлетворяющих условиям правил фильтрации.
  • Определение типа – определение типа системы от которой поступило событие для выбора правильных правил разбора и нормализации. Определение типа может быть статическим (задается в конфигурационном файле) и динамическим (с помощью специального правила).
  • Разбор – разбиение необработанного текста события на фрагменты полезных данных.
  • Нормализация – приведение всех данных, содержащихся в событии, к единой форме представления. На данном этапе также происходит категоризация событий.
  • Обогащение – добавление в нормализованное событие дополнительной информации, полезной для выявления и расследования инцидентов.
  • Корреляция – сопоставление данных из одного или нескольких событий с дополнительной информацией с целью выявления инцидента информационной безопасности.