Функционирование Платформы радар
Структура
СПО РАДАР состоит из программных модулей (сервисов), каждый из которых предназначен для выполнения определенных функций. Модули могут объединяться в подсистемы (наборы модулей) в зависимости от их функционального назначения.
СПО РАДАР включает в себя основные подсистемы:
- PANGEORADAR-CORE – подсистема управления Платформой Радар;
- PANGEORADAR-WORKER – подсистема обработки событий;
- PANGEORADAR-CORRELATOR – подсистема корреляции событий;
- PANGEORADAR-EVENT-STORAGE – подсистема хранения событий;
- PANGEORADAR-LOG-COLLECTOR – подсистема сбора событий.
Помимо основных подсистем в состав СПО РАДАР входят подсистемы, которые можно установить как самостоятельные, в случае распределенной установки, или в составе подсистемы PANGEORADAR-CORE:
- PANGEORADAR-MONITORING – подсистема мониторинга работоспособности платформы;
- PANGEORADAR-BALANCER – подсистема балансировки событий;
- PANGEORADAR-TI – подсистема справочной информации об угрозах.
Перечень сервисов СПО РАДАР приведены в таблице 1.
Таблица 1 – Перечень сервисов (модулей) в составе подсистем Платформы Радар
| № | Сервис (Модуль) | Описание | Подсистема |
|---|---|---|---|
| 1 | Alert-manager | Менеджер уведомлений. Отвечает за пересылку уведомлений от PANGEORADAR-MONITORING в PANGEORADAR-CORE | PANGEORADAR-MONITORING |
| 2 | Beaver | Балансировщик обработчика событий | PANGEORADAR-BALANCER |
| 3 | Cerberus | Межсервисный шлюз | PANGEORADAR-CORE |
| 4 | ClusterAgent | Агент управления узлом кластера. | PANGEORADAR-CORE |
| 5 | Cm | Менеджер кластера | PANGEORADAR-CORE |
| 6 | Cruddy | Центр управления API | PANGEORADAR-CORE |
| 7 | DatasApi | Отчетность | PANGEORADAR-CORE |
| 8 | Docs | Документация | PANGEORADAR-CORE |
| 9 | Enricher | Обогащение событий | PANGEORADAR-WORKER |
| 10 | EventAnt | Интеграция с ГосСОПКА | PANGEORADAR-CORE |
| 11 | FlowBalancer | Балансировщик коррелятора | PANGEORADAR-CORRELATOR |
| 12 | Grafana | Визуализация метрик | PANGEORADAR-MONITORING |
| 13 | KafkaExporter | Экспорт метрик с сервиса Kafka | PANGEORADAR-MONITORING |
| 14 | Kafka | Передача данных и событий между модулями | PANGEORADAR-WORKER |
| 15 | Karaken | Провайдер мультиарендности | PANGEORADAR-CORE |
| 16 | KeyCloak | Аутентификация | PANGEORADAR-CORE |
| 17 | Logcollector | Сбор событий от источников и их передача в платформу. За сбор отвечают агенты сбора лог-коллектора (logcollector-agent) | PANGEORADAR-LOG-COLLECTOR |
| 18 | Logmule | Коррелятор событий | PANGEORADAR-CORRELATOR |
| 19 | Logproxy | Пересылка событий от лог-коллектора в сервис Kafka. Замена сервиса Rsyslog | PANGEORADAR-WORKER |
| 20 | NodeExporter | Сбор метрик с узлов кластера | PANGEORADAR-MONITORING |
| 21 | Opensearch | Хранение и поиск обработанных событий | PANGEOEVENT-STORAGE |
| 22 | Opensearch-exporter | Сбор метрик с хранилища событий | PANGEORADAR-MONITORING |
| 23 | Pg | База данных | RADAR-CORE |
| 24 | Prometheus | Сбор и хранение метрик работы Платформы Радар | PANGEORADAR-MONITORING |
| 25 | Sonar | Сканирование активов | PANGEORADAR-CORE |
| 26 | Termit | Разбор, нормализация событий | PANGEORADAR-WORKER |
| 27 | Ti | Обновление информации об угрозах | PANGEORADAR-TI (RADAR-CORE) |
| 28 | Toller | Оповещения | PANGEORADAR-CORE |
| 29 | Ui | Главный интерфейс | PANGEORADAR-CORE |
| 30 | Wal-listener | Интеграционный слой | PANGEORADAR-CORE |
Схема обработки и корреляции событий
Схема взаимодействия подсистем, отвечающих за сбор, обработку и корреляцию событий приведена на рисунке 1.
Рисунок 1 – Схема обработки и корреляции событий
Принцип работы:
- Источники событий ИБ это любой актив, устройство, программное обеспечение в инфраструктуре организации, которое может создавать журналы работы. Со списком поддерживаемых источников можно ознакомиться в разделе Перечень поддерживаемых источников.
-
Log-Collector (лог-коллектор) осуществляет сбор событий от источников. Сбор может выполняться двумя способами:
- Активный сбор – лог-коллектор обращается к источнику для сбора событий;
- Пассивный сбор – источник самостоятельно отправляет события в лог-коллектор.
Подробнее о лог-коллекторе см. раздел Общие сведения о лог-коллекторе.
-
Log-proxy обрабатывает полученные события и оптимизирует их для быстрой пересылки в сервис Kafka.
- Kafka направляет полученный поток событий в обработчик Termit.
-
Termit обрабатывает события согласно правилам разбора и распределяет их по трем топикам:
- Error – в ходе разбора события возникли ошибки и его не удалось разобрать;
- Parsed – событие разобрано на пары «Ключ-Значение»;;
- Normalized – полученные пары «Ключ-Значение» подготовлены для передачи в таксономию.
-
Топики Error, Parsed и Normalized возвращаются в Kafka. При этом топик Normalized дополнительно проходит процедуру обогащения сервисом Enricher.
- Балансировщик Beaver забирает все топики из сервиса Kafka и направляет их в базу данных OpenSearch. При этом Beaver по меткам времени раскладывает события в индексы OpenSearch.
- Балансировщик FlowBalancer работает параллельно Beaver и забирает из сервиса Kafka только события из топика Normalized. Затем фильтрует их согласно фильтрам потока событий и если событие подходит под условие, то оно пересылается в коррелятор (сервис Logmule).
- Logmule осуществляет корреляцию событий согласно правилам корреляции. Результаты корреляции возвращаются в сервис Kafka.
- Балансировщик FlowBalancer забирает результаты корреляции и через центр управления API они отправляются в базу данных платформы.
Серверные роли
Наборам модулей или подсистемам (установленным на сервере и выполняющим определенные функции для пользователей или других серверов), присваиваются серверные роли.
Серверная роль определяет основную функцию сервера, при этом одному серверу могут быть назначены несколько ролей, и одна роль может исполняться несколькими серверами. Перечень используемых ролей приведён в таблице 2.
Таблица 2 -- Серверные роли подсистем и модулей СПО РАДАР
| Наименование роли | Базовая функция | Ролевой состав |
|---|---|---|
| MASTER | Управление Платформой Радар | Включает подсистемы RADAR-CORE и RADAR-TI |
| BALANCER | Балансировка входящего потока событий | Включает подсистему RADAR-BALANCER |
| WORKER | Обработка входящего потока событий | Включает подсистему RADAR-TERMITE |
| CORRELATOR | Корреляция обработанного потока событий | Включает подсистему RADAR-LOGMULE |
| MONITORING | Мониторинг работоспособности Платформы Радар | Включает подсистему RADAR-MONITORING. Часто устанавливается вместе с ролью MASTER |
| DATA | Хранение данных обработанных событий | Включает подсистему RADAR-EVENT-STORAGE |
| LOG-COLLECTOR | Сбор событий c агентов | Включает модуль logcollector-agent. |
Важно! Модуль logcollector-manager устанавливается в составе роли MASTER.
Управление серверными ролями происходит через веб-интерфейс Платформы Радар в разделе управления кластером.
Возможности масштабирования
Каждый модуль СПО РАДАР может масштабироваться следующим образом:
- «вертикально» — путем наращивания мощности конфигурации серверов;
- «горизонтально» — путем увеличения количества параллельно работающих единиц аппаратного обеспечения с копией масштабируемого модуля или подсистемы.
В случае необходимости увеличения производительности конкретной подсистемы Платформы Радар можно оперировать как отдельно взятыми модулями и/или подсистемами, так и серверными ролями.