Управление правилами обогащения

Общие данные

Обогащение событий – это процесс заполнения полей нормализованных событий согласно правилам обогащения.

В Платформе Радар правила могут быть настроены по следующим типам обогащения:

• DNS обогащение. Наполнение событий дополнительной информацией на основе данных DNS-сервера;
• GeoIP-обогащение. Добавление информации о географическом местоположении IP-адресов, например, о стране и городе расположения;
• По табличному списку. Наполнение событий дополнительной информацией на основе данных табличных списков, добавленных в платформу;
• По справочнику. Наполнение событий дополнительной информацией на основе данных локальных справочников;
• По локальному адресу. Обогащение данных об IP-адресе: входит ли он в локальную сеть или нет.

Поток событий перед обработкой предварительно фильтруется с помощью условий. Условия настраиваются для каждого правила.

Платформа Радар позволяет дополнять событие тегами при "сработке" правила обогащения. Теги служат для отслеживания сработавших правил обогащения при просмотре и анализе событий, при построении рабочих столов, а также могут использоваться для настройки правил корреляции.

Правила обогащения исполняются в определенном порядке. Последовательность исполнения правил обогащения выглядит следующим образом:

1. Правила обогащения исполняются только на потоке нормализованных событий от источников.
2. Выбираются все правила обогащения, которые подходят для источников, от которых идет поток событий.
3. Для каждого правила фильтруется поток событий по условиям фильтрации, заданных в правилах.
4. Если не сработало какое-то из условий фильтраций, добавленных в правило, то правило исполняться не будет.
5. Исполняются все правила по конкретным источникам в следующем порядке: DNS-обогащение → GeoIP-обогащение → По табличному списку → По справочнику → По локальному адресу.
6. Затем применяются условия, заданные в правилах, например, выставление тегов.

Платформа Радар поставляется с набором правил обогащения, необходимых для работы. При необходимости вы можете настроить свои правила обогащения нормализованных событий.

Работа с правилами обогащения включает в себя следующие процессы:

1. Создание правила.
2. Редактирование правила.
3. Удаления правила

Для работы с правилами обогащения перейдите в раздел Источники → Обогащение.

Рисунок 1 – Раздел "Обогащение"

В разделе отображается следующая информация:

• Наименование правила – наименование правила в интерфейсе платформы;
• Включить правило – используется ли правило для обогащения событий: да, нет;
• Источники – список источников, поток событий от которых обрабатывается правилом;
• Тип обогащения – тип обогащения, используемый правилом;
• Теги – список тегов.

Создание правила

Для создания правила обогащения нажмите кнопку Создать. Начнется процесс создания правила, который состоит из следующих шагов:

• Шаг 1. Основные настройки.
• Шаг 2. Настройка условий фильтрации входящего потока событий.
• Шаг 3. Настройка параметров обогащения.

Пример формы создания правила обогащения приведен на рисунке 2.

Рисунок 2 – Форма создания правила обогащения

Шаг 1. Основные настройки

1. В поле Наименование правила укажите наименование правила.
2. В поле Теги добавьте теги, которые будут характеризировать правило. Платформа Радар позволяет использовать одни и те же теги в разных правилах.
3. В поле Источники из выпадающего списка выберите источники, нормализованные события от которых будут проходить процесс обогащения данным правилом.
4. Для того, чтобы правило учувствовало в процессе обогащения событий, установите переключатель Включить правило в положение "включен".

Шаг. 2 Настройка условий фильтрации

На данном шаге настраивается фильтрация потока событий по заданным условиям.

Условия фильтрации задаются одной из следующих функций сравнения:

• Проверить равенство выражений – будет выполняться сравнение значения поля события, с указанным в условиях фильтрации;
• Проверить наличие значения – будет проверяться наличие значения (отличное от "0") в поле события;
• Проверить наличие в массиве – будет проверяться наличие значения в поле события из указанного массива значений в условиях фильтрации. Проверка выполняется до первого вхождения значения в массив;
• Поиск подстроки в строке – будет проверятся наличие указанного значения в подстроке поля события.

Для функций сравнения доступны следующие настройки:

• без учета регистра – если функция включена, то при выполнении функции сравнения не будет учитываться регистр;
• для каждой функции можно включить отрицание: "не равно", "не существует".

Созданные условия фильтрации можно скопировать, а затем применить в другом правиле:

• – скопировать условия фильтрации;
• – вставить скопированные условия фильтрации.

В правило может быть добавлено несколько условий фильтрации. Условия будут исполняться по порядку (см. рисунок 3).

Рисунок 3 – Порядок исполнения условий фильтрации

Внимание! Если не сработало какое-то из условий фильтраций, добавленных в правило, то правило исполняться не будет.

Для изменения порядка исполнения условий фильтрации используйте кнопки ↓ / ↑.

Для добавления условий фильтрации выполните следующие действия:

1. В блоке Условия фильтрации нажмите кнопку Добавить. Откроется окно "Добавить условие фильтрации" (см. рисунок 4).

   

   Рисунок 4 – Окно "Добавить условие фильтрации"

2. Выполните в окне следующие действия:

   • Поле события – из выпадающего списка выберите поле события, по которому будет выполняться фильтрация;

   • Функция сравнения – из выпадающего списка выберите функцию сравнения. В зависимости от выбранной функции сравнения, укажите дополнительную информацию:

     • для функции Проверить равенство выражений в поле Значение укажите значение поля, по которому будет выполняться функция;
     • для функции Проверить наличие в массиве добавьте массив и укажите соответствующие значения;
     • для функции Поиск подстроки в строке в поле Значение укажите значение подстроки поля, по которому будет выполняться функция;
     • при необходимости включите настройки Без учета регистра и Отрицание, установив соответствующие флаги.

3. Нажмите кнопку Сохранить.

Шаг 3. Настройка параметров обогащения

1. В поле Тип обогащения из выпадающего списка выберите способ, который будет применяться для обогащения событий при сработке правила.

2. В зависимости от выбранного типа обогащения будет сформировать блок Параметры обогащения. Укажите в блоке соответствующие параметры в зависимости от типа обогащения:

   • DNS обогащение;
   • GeoIP-обогащение;
   • По табличному списку;
   • По справочнику;
   • По локальному адресу.

3. Нажмите кнопку Сохранить.

Редактирование правила

1. В строке нужного правила обогащения нажмите кнопку .
2. Внесите необходимые изменения.
3. Нажмите кнопку Сохранить.

Удаление правила

Для удаления правила нажмите кнопку в соответствующей строке.

Для массового удаления правил, установите соответствующие флаги и нажмите кнопку Удалить.

Для удаление всех правил нажмите кнопку Удалить все.