Перейти к содержанию

Источники

Описание

Примечание: Перед работой с разделом ознакомьтесь со схемой обработки и корреляции событий

Источники событий ИБ это любой актив, устройство, программное обеспечение в инфраструктуре организации, которое может создавать журналы работы.

В Платформе Радар источники делятся на типовые и нетиповые:

  • Типовые – источники, сведения о которых настроены в платформе по умолчанию. Со списком типовых источников можно ознакомиться в разделе Перечень поддерживаемых источников.
  • Нетиповые – источники, сведения о которых необходимо добавить в платформу самостоятельно.

Для корректной обработки данных, поступающих от источников, каждый источник в платформе обладает уникальным номером. Номер источника – это Message ID (уникальный идентификатор сообщения), который приходит от лог-коллектора, и по которому все события от данного источника будут помещаться в один топик для дальнейшей обработки. Обычно, номер источника идентичен порту, который необходимо открыть в платформе для приема событий от источника.

Для источников можно выбрать один из двух способов преобразования данных:

  • RAW-JSON – сервис Log-proxy обернет входящий поток событий в переменную json и дополнит технической информацией;
  • JSON-JSON – сервис Log-proxy дополнит входящий поток событий дополнительными полями с технической информацией.

Подробнее о работе сервиса Log-proxy смотрите раздел Настройка пересылки событий через сервис Log-proxy.

Для каждого источника можно настроить опцию Не сохранять сырое событие:

  • если опция включена, то сырое событие не будет сохраняться в потоке при передаче от лог-коллектора в платформу;
  • если опция выключена, то каждое сырое событие будет сохранено в потоке для дальнейшей обработки.

Работа с источниками событий ИБ включает в себя следующие процессы:

  1. Включение источника.
  2. Добавление источника.
  3. Редактирование источника.
  4. Экспорт источников.
  5. Импорт источников.
  6. Удаление источников.

Для работы с источниками перейдите в раздел ИсточникиИсточники (см. рисунок 1).

Рисунок 1 – Раздел "Источники"

В разделе отображается следующая информация:

  • Номер источника – уникальный номер источника в платформе;
  • Наименование – наименование источника;
  • Вендор – наименование поставщика источника;
  • Тип источника – наименование системы, к которой относится источник
  • Не сохранять сырое событие – опция, не сохранять сырые события для дальнейшей обработки: да, нет;
  • Формат – формат преобразования входящего потока событий;
  • Контроль минимальных поступлений – отправлять ли оповещения при достижении порога минимальных поступлений событий: да, нет;
  • Порог минимальных поступлений – порог минимальных поступлений, при достижении которых будут отправляться уведомления;
  • Контроль максимальных поступлений – отправлять ли оповещения при достижении порога максимальных поступлений событий: да, нет;
  • Порог максимальных поступлений – порог максимальных поступлений, при достижении которых будут отправляться уведомления;
  • Правило активно – активно ли безусловно исполняемое правило для источника: да, нет;
  • Полное наименование – наименование и номер источника.

Включение источника

Для того, чтобы источник был включен, а именно поток событий от источника обрабатывался Платформой Радар, должны быть соблюдены следующие условия:

  1. Источник настроен на отправку событий в лог-коллектор. К описанию настроек типовых источников можно перейти по соответствующим ссылкам из раздела Перечень поддерживаемых источников.
  2. Лог-коллектор настроен на сбор и отправку событий.
  3. В случае использования платформы в режиме мультиарендности, настроена пересылка событий в сервис Log-proxy.
  4. Источник добавлен и настроен через веб-интерфейс платформы.
  5. Для источника настроены безусловные и условные правила разбора.
  6. Для источника настроены правила обогащения.
  7. Параметр источника Правило активно установлен в состояние "Включен".
  8. Опубликованы все изменения внесенные в источники (нажата кнопка Синхронизировать).

Корректность работы правил разбора и обогащения можно проверить с помощью механизма Отладка источника.

Для проверки наличия потока событий от источника выполните следующие действия:

  1. Перейдите в раздел АдминистрированиеМониторинг и откройте рабочий стол Поток событий.

  2. Найдите топик с соответствующим номером (в примере 1514) и удостоверьтесь, что появился поток событий от источника (см. рисунок 2-4).

    Рисунок 2 – Проверка потока событий от источника. Часть 1

    Рисунок 3 – Проверка потока событий от источника. Часть 2

    Рисунок 4 – Проверка потока событий от источника. Часть 3

Добавление источника

  1. Нажмите кнопку Создать. Откроется окно Создание источника (см. рисунок 5).

    Рисунок 5 – Форма "Создание источника"

  2. Укажите на форме информацию об источнике:

    • Наименование – укажите наименование источника;
    • Номер источника – укажите уникальный номер источника;
    • Вендор – укажите поставщика источника;
    • Тип источника – укажите тип источника;
    • Формат – из выпадающего списка выберите формат преобразования потока событий: RAW-JSON или JSON-JSON;
    • Не сохранять сырое событие – при необходимости отключите сохранение сырых событий от данного источника;

    • Настройка оповещений о поступающем потоке событий:

      • Контроль минимальных поступлений – включение отправки оповещения при достижении минимального порога поступлений событий;
      • Порог минимальных поступлений – укажите порог минимальных поступлений, при достижении которого нужно отправлять оповещения;
      • Контроль максимальных поступлений – включение отправки оповещения при достижении максимального порога поступлений событий;
      • Порог максимальных поступлений – укажите порог максимальных поступлений, при достижении которого нужно отправлять оповещения.

    • Правило активно – включите безусловно исполняемое правило для источника.

      Примечание: безусловно исполняемое правило для источника должно быть создано и настроено в разделе Правила разбора.

  3. Нажмите кнопку Сохранить.

  4. Нажмите кнопку Синхронизировать.

Редактирование источника

  1. В строке нужного источника нажмите кнопку .
  2. Внесите необходимые изменения.
  3. Нажмите кнопку Сохранить.
  4. На главной странице раздела нажмите кнопку Синхронизировать.

Экспорт источников

Для массового экспорта источников установите нужные флаги и нажмите кнопку Экспортировать. Будет сформирован архив с источниками в формате .zip.

Для экспорта всех источников нажмите кнопку Экспортировать все.

Для экспорта источников в формат CSV нажмите кнопку Экспортировать в csv.

Импорт источников

  1. Нажмите кнопку Импортировать.
  2. В открывшемся окне укажите путь к архиву с источниками.
  3. Нажмите кнопку Открыть.
  4. Чтобы все изменения вступили в силу нажмите кнопку Синхронизировать.

Удаление источников

Примечание: Для корректной работы Платформы Радар не рекомендуется удалять источники, установленные по умолчанию.

Для удаления источника нажмите кнопку в соответствующей строке.

Для массового удаления источников установите нужные флаги и нажмите кнопку Удалить.

Для удаление всех источников нажмите кнопку Удалить все.

Чтобы все изменения вступили в силу нажмите кнопку Синхронизировать.