Функционирование Платформы радар
Структура
СПО РАДАР состоит из программных модулей (сервисов), каждый из которых предназначен для выполнения определенных функций. Модули могут объединяться в подсистемы (наборы модулей) в зависимости от их функционального назначения.
СПО РАДАР включает в себя основные подсистемы:
- PANGEORADAR-CORE – подсистема управления Платформой Радар;
- PANGEORADAR-WORKER – подсистема обработки событий;
- PANGEORADAR-CORRELATOR – подсистема корреляции событий;
- PANGEORADAR-EVENT-STORAGE – подсистема хранения событий;
- PANGEORADAR-LOG-COLLECTOR – подсистема сбора событий.
Помимо основных подсистем в состав СПО РАДАР входят подсистемы, которые можно установить как самостоятельные, в случае распределенной установки, или в составе подсистемы PANGEORADAR-CORE:
- PANGEORADAR-MONITORING – подсистема мониторинга работоспособности платформы;
- PANGEORADAR-BALANCER – подсистема балансировки событий;
- PANGEORADAR-TI – подсистема справочной информации об угрозах.
Перечень сервисов СПО РАДАР приведены в таблице 1.
Таблица 1 – Перечень сервисов (модулей) в составе подсистем Платформы Радар
№ | Сервис (Модуль) | Описание | Подсистема |
---|---|---|---|
1 | Alert-manager | Менеджер уведомлений. Отвечает за пересылку уведомлений от PANGEORADAR-MONITORING в PANGEORADAR-CORE | PANGEORADAR-MONITORING |
2 | Beaver | Балансировщик обработчика событий | PANGEORADAR-BALANCER |
3 | Cerberus | Межсервисный шлюз | PANGEORADAR-CORE |
4 | ClusterAgent | Агент управления узлом кластера. | PANGEORADAR-CORE |
5 | Cm | Менеджер кластера | PANGEORADAR-CORE |
6 | Cruddy | Центр управления API | PANGEORADAR-CORE |
7 | DatasApi | Отчетность | PANGEORADAR-CORE |
8 | Docs | Документация | PANGEORADAR-CORE |
9 | Enricher | Обогащение событий | PANGEORADAR-WORKER |
10 | EventAnt | Интеграция с ГосСОПКА | PANGEORADAR-CORE |
11 | FlowBalancer | Балансировщик коррелятора | PANGEORADAR-CORRELATOR |
12 | Grafana | Визуализация метрик | PANGEORADAR-MONITORING |
13 | KafkaExporter | Экспорт метрик с сервиса Kafka | PANGEORADAR-MONITORING |
14 | Kafka | Передача данных и событий между модулями | PANGEORADAR-WORKER |
15 | Karaken | Провайдер мультиарендности | PANGEORADAR-CORE |
16 | KeyCloak | Аутентификация | PANGEORADAR-CORE |
17 | Logcollector | Сбор событий от источников и их передача в платформу. За сбор отвечают агенты сбора лог-коллектора (logcollector-agent) | PANGEORADAR-LOG-COLLECTOR |
18 | Logmule | Коррелятор событий | PANGEORADAR-CORRELATOR |
19 | Logproxy | Пересылка событий от лог-коллектора в сервис Kafka. Замена сервиса Rsyslog | PANGEORADAR-WORKER |
20 | NodeExporter | Сбор метрик с узлов кластера | PANGEORADAR-MONITORING |
21 | Opensearch | Хранение и поиск обработанных событий | PANGEOEVENT-STORAGE |
22 | Opensearch-exporter | Сбор метрик с хранилища событий | PANGEORADAR-MONITORING |
23 | Pg | База данных | RADAR-CORE |
24 | Prometheus | Сбор и хранение метрик работы Платформы Радар | PANGEORADAR-MONITORING |
25 | Sonar | Сканирование активов | PANGEORADAR-CORE |
26 | Termit | Разбор, нормализация событий | PANGEORADAR-WORKER |
27 | Ti | Обновление информации об угрозах | PANGEORADAR-TI (RADAR-CORE) |
28 | Toller | Оповещения | PANGEORADAR-CORE |
29 | Ui | Главный интерфейс | PANGEORADAR-CORE |
30 | Wal-listener | Интеграционный слой | PANGEORADAR-CORE |
Схема обработки и корреляции событий
Схема взаимодействия подсистем, отвечающих за сбор, обработку и корреляцию событий приведена на рисунке 1.
Рисунок 1 – Схема обработки и корреляции событий
Принцип работы:
- Источники событий ИБ это любой актив, устройство, программное обеспечение в инфраструктуре организации, которое может создавать журналы работы. Со списком поддерживаемых источников можно ознакомиться в разделе Перечень поддерживаемых источников.
-
Log-Collector (лог-коллектор) осуществляет сбор событий от источников. Сбор может выполняться двумя способами:
- Активный сбор – лог-коллектор обращается к источнику для сбора событий;
- Пассивный сбор – источник самостоятельно отправляет события в лог-коллектор.
Подробнее о лог-коллекторе см. раздел Общие сведения о лог-коллекторе.
-
Log-proxy обрабатывает полученные события и оптимизирует их для быстрой пересылки в сервис Kafka.
- Kafka направляет полученный поток событий в обработчик Termit.
-
Termit обрабатывает события согласно правилам разбора и распределяет их по трем топикам:
- Error – в ходе разбора события возникли ошибки и его не удалось разобрать;
- Parsed – событие разобрано на пары «Ключ-Значение»;;
- Normalized – полученные пары «Ключ-Значение» подготовлены для передачи в таксономию.
-
Топики Error, Parsed и Normalized возвращаются в Kafka. При этом топик Normalized дополнительно проходит процедуру обогащения сервисом Enricher.
- Балансировщик Beaver забирает все топики из сервиса Kafka и направляет их в базу данных OpenSearch. При этом Beaver по меткам времени раскладывает события в индексы OpenSearch.
- Балансировщик FlowBalancer работает параллельно Beaver и забирает из сервиса Kafka только события из топика Normalized. Затем фильтрует их согласно фильтрам потока событий и если событие подходит под условие, то оно пересылается в коррелятор (сервис Logmule).
- Logmule осуществляет корреляцию событий согласно правилам корреляции. Результаты корреляции возвращаются в сервис Kafka.
- Балансировщик FlowBalancer забирает результаты корреляции и через центр управления API они отправляются в базу данных платформы.
Серверные роли
Наборам модулей или подсистемам (установленным на сервере и выполняющим определенные функции для пользователей или других серверов), присваиваются серверные роли.
Серверная роль определяет основную функцию сервера, при этом одному серверу могут быть назначены несколько ролей, и одна роль может исполняться несколькими серверами. Перечень используемых ролей приведён в таблице 2.
Таблица 2 -- Серверные роли подсистем и модулей СПО РАДАР
Наименование роли | Базовая функция | Ролевой состав |
---|---|---|
MASTER | Управление Платформой Радар | Включает подсистемы RADAR-CORE и RADAR-TI |
BALANCER | Балансировка входящего потока событий | Включает подсистему RADAR-BALANCER |
WORKER | Обработка входящего потока событий | Включает подсистему RADAR-TERMITE |
CORRELATOR | Корреляция обработанного потока событий | Включает подсистему RADAR-LOGMULE |
MONITORING | Мониторинг работоспособности Платформы Радар | Включает подсистему RADAR-MONITORING. Часто устанавливается вместе с ролью MASTER |
DATA | Хранение данных обработанных событий | Включает подсистему RADAR-EVENT-STORAGE |
LOG-COLLECTOR | Сбор событий c агентов | Включает модуль logcollector-agent. |
Важно! Модуль logcollector-manager устанавливается в составе роли MASTER.
Управление серверными ролями происходит через веб-интерфейс Платформы Радар в разделе управления кластером.
Возможности масштабирования
Каждый модуль СПО РАДАР может масштабироваться следующим образом:
- «вертикально» — путем наращивания мощности конфигурации серверов;
- «горизонтально» — путем увеличения количества параллельно работающих единиц аппаратного обеспечения с копией масштабируемого модуля или подсистемы.
В случае необходимости увеличения производительности конкретной подсистемы Платформы Радар можно оперировать как отдельно взятыми модулями и/или подсистемами, так и серверными ролями.