Описание

Обработка событий ИБ в Платформе Радар состоит из следующих этапов:

• Сбор событий.

  Этап на котором собираются события от источника одним из методов сбора: активным или пассивным.

  За этап отвечает сервис Pangeoradar-Logcollector (далее лог-коллектор).

• Разбор событий.

  Преобразование входящего события на пары «Ключ-Значение» согласно правилам разбора.

• Нормализация событий.

  Передача полученных на этапе разбора пары «Ключ-Значение» в таксономию, согласно правилам разбора. Настройка таксономии выполняется в разделе Поля события.

  Поля таксономии по умолчанию приведены в разделе Описание полей таксономии.

• Обогащение событий.

  Наполнение нормализованных событий дополнительной информацией (например, гео ip, dns, табличные списки и т.д.) согласно правилам обогащения.

• Корреляция событий.

  Процесс обнаружения инцидентов информационной безопасности путем анализа потока нормализованных событий согласно правилам корреляции.

  Коррелятор выявляет последовательности в потоке событий, отфильтрованных с помощью фильтров потока событий и удовлетворяющих условиям, описанным в правиле корреляции.

  Результатом работы коррелятора является "сработка" правила корреляции, на основании которой может быть создан инцидент и проведен анализ (подробнее см. раздел Коррелятор).

Схема обработки и корреляции событий приведена в разделе Функционирование платформы.