Перейти к содержанию

Обогащение событий информацией об активах

Платформа Радар позволяет обогащать события информацией об активах (далее – обогащение по активам).

Принцип работы:

  1. При настройке правила обогащения оператор выбирает поля события (таксономии) для определения актива. Можно использовать следующие поля для определения актива:

    • FQDN;
    • IP;
    • HOSTNAME;
    • Локальная сеть;
    • DHCP-сегмент.

  2. При настройке правила обогащения оператор выбирает поля события (таксономии) для определения мета информации об активе. Можно использовать следующие поля для определения мета информацию об активе:

    • Идентификатор актива;
    • Идентификатор группы активов;
    • Статус КИИ;
    • Ответственный;
    • Расположение;
    • Критичность актива;
    • Идентификатор группы ответственных;
    • Наименование актива;
    • Операционная система;
    • Процессор.

    Данной информацией будет обогащено событие.

  3. Перед запуском процесса обогащения, сервис получает информацию обо всех активах, зарегистрированных в платформе.

  4. Выполняется поиск актива по следующему сценарию:

    • определяется стратегия идентификации актива (подробнее см. раздел Настройки идентификации активов);
    • выполняется поиск актива. Для выполнения поиска используются поля события, определяющие актив и соответствующая стратегия идентификации актива;
    • если актив не найден, то создается новый актив;
    • если создается несколько активов, то автоматически выполняется объединение активов (подробнее см. раздел Объединение активов).

  5. В событие добавляется мета информация об активе.

    Примечание: обогащение по активам будет применено после DNS обогащения.

Настройка:

Возможность использования обогащения по активам настраивается в разделе АдминистрированиеУправление конфигурацией → вкладка Параметры сервисов, где в древовидном списке нужно выбрать EnrichServiceAsset (см. рисунок 1).

Рисунок 1 – Включение обогащения по активам

Пример настройки параметров обогащения по активам, при создании правила обогащения, приведен на рисунке 2.

Рисунок 2 – Параметры обогащения по активам

Пример работы правила обогащения приведен на рисунке 3 – красным подсвечены поля, которые были обогащены в результате работы правила.

Рисунок 3 – Раздел "События". Результат работы правила обогащения по активам