Перейти к содержанию

Общее описание процесса подключения источников

Руководство по подключению источников содержит рекомендации и инструкции для настройки Платформы Радар для приема событий в пассивном и активном режимах, настройки источников, настройки лог-коллектора, а также обработки событий, включая фильтрацию и обогащение.

ВНИМАНИЕ! Перед внесением изменений в конфигурационные файлы не забудьте сделать их резервную копию.

Пассивный сбор

В Платформе Радар присутствует возможность приема событий от источников в пассивном режиме. Для этого необходимо в веб-интерфейсе Платформы Радар настроить прием событий: включить поддерживаемые источники или создать и настроить новые источники, которые смогут самостоятельно отправлять данные. Подробное описание включения и создание источников дано в разделе «Работа с пассивными источниками событий»

Активный сбор

Для организации активного сбора необходимо использовать лог-коллектор. Он предназначен для организации сбора событий от активов, не имеющих возможности самостоятельной отправки данных в сторонние системы. Подробное описание настройки лог-коллектора дано в разделе «Руководство по настройке лог-коллектора. Активные источники событий».

Процесс подключения типового источника

Подключение типового источника осуществляется в три этапа:

  1. Настройка Платформы Радар на прием событий путем включения необходимого источника в веб-интерфейсе Платформы Радар. После включения источника Платформа Радар готова к приему событий в пассивном режиме. Подробнее о включении типовых источников в разделе «Работа с пассивными источниками событий».
  2. Настройка лог-коллектора, если необходимо организовать активный сбор или реализовать цепочку по пересылке событий между двумя и более лог-коллекторами. Подробная настройка лог-коллектора описана в «Руководство по настройке лог-коллектора. Активные источники событий»
  3. Настройка источника. Настройка производится согласно рекомендациям производителя или в соответствии с разделом с описанием поддерживаемых источников их настройки.

Схема добавления типового источника

Рисунок 1 -- Добавление типового источника

Процесс подключения нетипового источника

Подключение нетипового источника осуществляется в пять этапов:

  1. Настройка Платформы Радар на прием событий путем создания нового пассивного источника событий в веб-интерфейсе Платформы Радар. После включения источника Платформа Радар готова к приему событий в пассивном режиме. Подробнее о создании новых источников в разделе «Работа с пассивными источниками событий»
  2. Настройка Лог-коллектора, если необходимо организовать активный сбор или реализовать цепочку по пересылке событий между двумя и более Лог-коллекторами. Подробная настройка Лог-коллектора описана в "Руководство по настройке лог-коллектора. Активные источники событий"
  3. Настройка источника. Настройка производится согласно рекомендациям производителя или в соответствии с разделом с описанием поддерживаемых источников и их настройки.
  4. Создание правил разбора для событий с нового источника. Подробнее в разделе про форматы правил разбора
  5. Создание правил нормализации для событий с нового источника. Подробнее в разделе «Разработка правил разбора и нормализации событий»

Схема добавления нетипового источника

Рисунок 2 -- Добавление нетипового источника

Проверка получения данных от источников

Выполнить проверку поступающих данных можно в веб-интерфейсе Платформы Радар в разделе «Инциденты» — «Просмотр событий», выставив необходимые временные фильтры.