Общее описание процесса подключения источников
Руководство по подключению источников содержит рекомендации и инструкции для настройки Платформы Радар для приема событий в пассивном и активном режимах, настройки источников, настройки лог-коллектора, а также обработки событий, включая фильтрацию и обогащение.
ВНИМАНИЕ! Перед внесением изменений в конфигурационные файлы не забудьте сделать их резервную копию.
Пассивный сбор
В Платформе Радар присутствует возможность приема событий от источников в пассивном режиме. Для этого необходимо в веб-интерфейсе Платформы Радар настроить прием событий: включить поддерживаемые источники или создать и настроить новые источники, которые смогут самостоятельно отправлять данные. Подробное описание включения и создание источников дано в разделе «Работа с пассивными источниками событий»
Активный сбор
Для организации активного сбора необходимо использовать лог-коллектор. Он предназначен для организации сбора событий от активов, не имеющих возможности самостоятельной отправки данных в сторонние системы. Подробное описание настройки лог-коллектора дано в разделе «Руководство по настройке лог-коллектора. Активные источники событий».
Процесс подключения типового источника
Подключение типового источника осуществляется в три этапа:
- Настройка Платформы Радар на прием событий путем включения необходимого источника в веб-интерфейсе Платформы Радар. После включения источника Платформа Радар готова к приему событий в пассивном режиме. Подробнее о включении типовых источников в разделе «Работа с пассивными источниками событий».
- Настройка лог-коллектора, если необходимо организовать активный сбор или реализовать цепочку по пересылке событий между двумя и более лог-коллекторами. Подробная настройка лог-коллектора описана в «Руководство по настройке лог-коллектора. Активные источники событий»
- Настройка источника. Настройка производится согласно рекомендациям производителя или в соответствии с разделом с описанием поддерживаемых источников их настройки.
Рисунок 1 -- Добавление типового источника
Процесс подключения нетипового источника
Подключение нетипового источника осуществляется в пять этапов:
- Настройка Платформы Радар на прием событий путем создания нового пассивного источника событий в веб-интерфейсе Платформы Радар. После включения источника Платформа Радар готова к приему событий в пассивном режиме. Подробнее о создании новых источников в разделе «Работа с пассивными источниками событий»
- Настройка Лог-коллектора, если необходимо организовать активный сбор или реализовать цепочку по пересылке событий между двумя и более Лог-коллекторами. Подробная настройка Лог-коллектора описана в "Руководство по настройке лог-коллектора. Активные источники событий"
- Настройка источника. Настройка производится согласно рекомендациям производителя или в соответствии с разделом с описанием поддерживаемых источников и их настройки.
- Создание правил разбора для событий с нового источника. Подробнее в разделе про форматы правил разбора
- Создание правил нормализации для событий с нового источника. Подробнее в разделе «Разработка правил разбора и нормализации событий»
Рисунок 2 -- Добавление нетипового источника
Проверка получения данных от источников
Выполнить проверку поступающих данных можно в веб-интерфейсе Платформы Радар в разделе «Инциденты» — «Просмотр событий», выставив необходимые временные фильтры.