Интерфейс платформы

Интерфейс платформы состоит из шапки сайта, панели разделов, рабочей области и элементов управления.

Рабочая область раздела имеет два варианта представления:

• через универсальные таблицы;
• через боковую панель и формы работы с сущностями (просмотр, создание, редактирование).

По умолчанию все разделы открываются в табличном представлении (см. рисунок 1).

Рисунок 1 – Интерфейс Платформы Радар. Табличное представление

Для переключения с табличного представления раздела на боковую панель необходимо открыть сущность на просмотр (кнопка или по ссылке в колонке Название). Откроется представление раздела через боковую панель и форма просмотра выбранной сущности (см. рисунок 2).

Рисунок 2 – Интерфейс Платформы Радар. Представление через боковую панель и формы сущностей

Шапка сайта

Шапка сайта является единой для всех разделов платформы и содержит следующие элементы управления:

Кнопка	Действие
,	показать/скрыть панель разделов
	выбор инстанса
	доступ к базе знаний платформы
	наименование текущей учетной записи и доступ к выходу из учетной записи

Панель разделов

Для каждого пользователя список разделов формируется индивидуально в соответствии с возможностями, выданными данному пользователю.

В интерфейсе доступны следующие разделы:

• Рабочий стол. Раздел предназначен для оперативного отслеживания данных о состоянии информационной безопасности с помощью интерактивных информационных панелей.
• События. Раздел предназначен для просмотра и анализа событий информационной безопасности.

• Инциденты ИБ. Раздел содержит следующие подразделы:

  • Инциденты – расследование инцидентов информационной безопасности;
  • Типы инцидентов – сведения о уязвимостях, нарушениях политики, аномальной сетевой активности которые могут послужить основой для возникновения инцидента;
  • Группы инцидентов – управление группами инцидентов и массовые операции над инцидентами через группы;
  • Дополнительные поля – настройка параметров дополнительной информации, которую можно добавить к инцидентам.

• Активы. Раздел содержит следующие подразделы:

  • Активы – управление и анализ состояния активов;
  • Группы активов – управление группами активов;
  • Настройки идентификации активов – настройка сравнения отдельных атрибутов актива (его идентификаторов) с атрибутами существующих активов, о которых есть записи в платформе;
  • Сетевые интерфейсы – сведения о сетевых интерфейсах, обнаруженных у активов;
  • Результаты сканирования – изучение данных по наличию уязвимостей, полученные сторонними сканерами уязвимости в ходе работы и импортированные в платформу;
  • Обнаружение хостов – сканирование подсети, в результате которого может быть получен набор данных, достаточный для идентификации актива;
  • Обнаружение сервисов – сбор данных о сервисах на выбранных активах;
  • Сбор данных – сбор общих данных на выбранных активах.

• Соответствие ПО. Раздел содержит следующие подразделы:

  • Результаты соответствия ПО – просмотр результатов всех текущих проверок соответствия ПО;
  • Список ПО – перечень всего программного обеспечения, обнаруженного сканерами уязвимостей при сканировании активов;
  • Список групп ПО – управление группами ПО;
  • Наборы правил соответствия ПО – настройка политик для выполнения проверки соответствия ПО;
  • Правила соответствия ПО – настройка регулярных выражений, по которым формируются политики для выполнения проверки соответствия ПО.

• Коррелятор. Раздел содержит следующие подразделы:

  • Правила корреляции – управление правилами корреляции;
  • Пересылка событий – управление фильтрами потока событий, которые применяются для отправки событий на другой экземпляр платформы;
  • Фильтры потока событий – управление фильтрами потока событий, которые применяются в правилах корреляции;
  • Макросы – управление модулями поведения для правил корреляции;
  • Шаблоны алертов – управление шаблонами "алертов";
  • Шаблоны группировки – управление шаблонами группировки событий;
  • Табличные списки – управление справочниками;
  • Ретроспективная корреляция – проведение ретроспективного анализа на основе данных хранимых в платформе.

• Источники. Раздел содержит следующие подразделы:

  • Источники – подключение и настройка источников событий информационной безопасности;
  • Отладка источника – проверка работы правил разбора и обогащения для выбранного источника;
  • Правила разбора – управление правилами разбора поступающих событий;
  • Обогащение – управление правилами обогащения разобранных событий;
  • Группы GROK – управление группами пользовательских GROK паттернов;
  • Паттерны GROK – управление пользовательскими GROK паттернами;
  • Поля события – настройка маппинга полей события, используемых в процессах разбора и нормализации;
  • Агенты сбора – настройка агентов сбора событий от источников;
  • Профили сбора – управление профилями сбора событий ИБ на выбранных агентах сбора.

• Параметры. Раздел содержит следующие подразделы:

  • Основные параметры – настройка основных параметром Платформы Радар;
  • Оповещения по задержкам – настройки автоматических оповещений по задержкам в обработке инцидентов операторами;
  • Черный список ID плагинов – настройка списка ID плагинов сканеров уязвимости, которые будут игнорироваться в процессе работы;
  • Фоновые задачи – просмотр информации о запущенных задачах ретроспективной корреляции, синхронизации и отчетов.
  • Интеграции. Управление экземплярами интеграций со сторонними системами.
  • Типы интеграций. Просмотр доступных классов систем, с которым можно настроить интеграцию, а также переключение платформы в режим работы с соответствующим типом интеграции.
  • Папки контента. Управление папками для структурирования пользовательского контента.
  • Шаблоны. Управление шаблонами форм пользовательского контента.

• Сообщения. Раздел предназначен для просмотра и управления личными сообщениями, создаваемые в рамках работы с платформой, а также для обмена сообщениями с другими пользователями платформы.

• Профиль. Раздел предназначен для просмотра и управления своей учетной записью, оповещениями, а также для просмотра истории действий в платформе.

• Список разделов, доступных только администраторам Платформы Радар:

  • Рабочие столы. Раздел предназначен управления интерактивными информационными панелями.
  • Отчеты. Раздел предназначен для формирования отчетов о состоянии информационной безопасности.
  • Мониторинг. Раздел предназначен для отслеживания метрик мониторинга платформы.

  • Пользователи и права. Раздел предназначен для управления доступом к платформе и содержит следующие настройки:

    • Пользователи – управление пользователями платформы;
    • Группы – управление группами пользователей;
    • Роли – управление возможностями, которые доступны пользователям в платформе;
    • Аудит действий – просмотр действий, совершаемых пользователями в платформе;
    • События входа –просмотр событий входа в платформу;
    • LDAP – настройка интеграции с сервером LDAP;
    • Доступ к данным – управление доступом пользователей к данным (активам, событиям и т.д.).

  • Кластер. Раздел предназначен для управления кластером платформы и содержит следующие настройки:

    • Узлы системы – управление узлами кластера;
    • API ключи – управление доверенными ключами API, которые используются для межсервисного взаимодействия и для обращения в Платформу Радар из сторонних решений посредством публичного API;
    • Учетные записи для сбора данных – управление учетными записями для сбора данных с хостов и активов;
    • Планировщик задач – управление и организация периодических задач кластера;
    • Скрипты – управление скриптами, которые можно удаленно запустить на узле кластера для выполнения необходимых действий;
    • Управление мультиарендностью – настройка Платформы Радар для работы в инфраструктуре мультитенант или мультиарендность.

  • Управление конфигурацией – управление конфигурацией платформы;

  • Репутационные списки. Раздел предназначен для управления репутационными списками, которые могут использоваться в процедуре обогащения событий;
  • Источники IOC. Раздел предназначен для настройки поставщиков индикаторов компрометации, которые используются при работе репутационных списков.
  • Лицензия. Раздел предназначен для просмотра параметров лицензии и повторной активации лицензии.

Универсальные таблицы

Универсальные таблицы в платформе – это список сущностей, представленных в табличном виде и имеющие единые элементы управления (см. рисунок 3).

Рисунок 3 -- Рабочая область. Таблицы

Элементы управления располагаются над таблицей и в общем случае состоят из следующих кнопок:

Кнопка	Действие
	настройка отображения шаблонов фильтрации и сортировки. Подробнее см. раздел Шаблоны сущностей
	обновление данных
	настройка сортировки и фильтрации записей таблицы
	если у кнопки есть специальный значок, то это означает что к таблице применен фильтр
Создать	создание сущности
Удалить	удаление сущности
Удалить все	удаление всех показанных сущностей. Будут удалены все сущности, попавшие под параметры сортировки и фильтрации
Экспортировать	массовый экспорт выбранных сущностей
Экспортировать все	экспорт всех показанных сущностей. В архив будут выгружены все сущности, попавшие под параметры сортировки и фильтрации
Экспортировать выбранные в csv	массовый экспорт выбранных сущностей в формат csv
Экспортировать в csv	экспорт всех показанных сущностей в формат csv. В файлы формата csv будут выгружены все сущности, попавшие под параметры сортировки и фильтрации
Импортировать	импорт сущностей в платформу
Синхронизировать	синхронизация изменений между инстансами. Кнопка доступна в режиме мультиарендности и предоставляет доступ к следующим действиям: - Синхронизировать выбранные - синхронизация выбранных изменений на подчиненных инстансах; - Синхронизировать все - синхронизация всех изменений на подчиненных инстансах. Подробнее о процессе синхронизации см. раздел Синхронизация пользовательского контента.
Переместить в папку	переместить выбранные сущности в папку
	настройка столбцов таблицы
	поделиться параметрами фильтрации и сортировки. При нажатии на кнопку текущие параметры будут скопированы в буфер обмена.

В колонках таблицы могут располагаться следующие кнопки:

Кнопка	Описание
	выбор направления сортировки выбранной колонки
	просмотр подробных сведений о сущности
	изменение информации о сущности
	удаление сущности

Текстовый поиск

Для поиска сущностей укажите значение или часть значения в поле Текстовый поиск. По мере ввода текста в поле поиска, в таблице будут формироваться подходящие данные.

Для поиска сущностей по точному соответствию введенному запросу, установите флаг Строгий поиск.

Настройка сортировки и фильтрации сущностей

Для поиска необходимой сущности по значениям полей и формирования списка может быть использован фильтр. Для настройки фильтра выполните следующие действия:

1. Нажмите на кнопку . Откроется блок для настройки сортировки и фильтрации (см. рисунок 4).

   

   Рисунок 4 – Универсальная таблица. Блоки для настройки фильтров и сортировки

2. В блоке Фильтры нажмите кнопку "+" для добавления столбца, по которому будет выполняться фильтрация.

   Можно выполнить фильтрацию по значениям нескольких столбцов.

   Для каждого столбца предусмотрена настройка дополнительных параметров фильтрации. Для вызова настройки необходимо добавить столбец в блок фильтры и нажать по нему ЛКМ. Откроется окно дополнительных настроек (см. рисунок 5).

   

   Рисунок 5 – Универсальная таблица. Окно для дополнительных настроек параметров фильтрации

3. В блоке Сортировка нажмите кнопку "+" для выбора столбца, по значениям которого будет задано направление сортировки (↓, ↑). Можно выполнить сортировку по значениям нескольких столбцов.

4. Нажмите кнопку Применить. К таблице будет применен настроенный фильтр.
5. Если необходимо очистить параметры фильтра, то нажмите кнопку Сбросить.

При необходимости можно сохранить параметры фильтрации и сортировки в "Шаблон". Подробнее см. раздел Шаблоны.

Настройки отображения полей

Для изменения состава отображаемых полей (колонок таблицы) используйте кнопку .

При нажатии на кнопку откроется список, в котором можно выбрать поля для отображения (см. рисунок 6).

Рисунок 6 – Настройки отображения полей

Быстрая сортировка

Универсальные таблицы позволяют выполнять быструю сортировку с помощью нажатия ЛКМ на заголовок столбца таблицы. Быстрая сортировка работает следующим образом:

• При нажатии на заголовок столбца таблицы добавляется сортировка по этому полю:

  • при первом клике добавляется сортировка от последней записи к первой;
  • при втором клике – от первой записи к последней.

• При нажатии на другой заголовок столбца, сортировка будет переключена на указанное поле. Предыдущие сортировки сбрасываются;

• При нажатии на другой заголовок с зажатой клавишей CTRL/CMD будет добавлено новое поле в текущую сортировку. Повторное нажатие на заголовок с зажатой клавишей CTRL/CMD уберёт выбранное поле из сортировки;
• При добавлении сортировки по любому столбцу, в соответствующем заголовке будет отображено направление сортировки (стрелочкой) и приоритет сортировки (цифрой) рядом с заголовком;
• При нажатии на цифру, обозначающую приоритет сортировки, с зажатым CTRL/CMD, приоритет сортировки будет соответственно повышен или понижен;

• Нажатие ПКМ на заголовок столбца таблицы, который не участвует в сортировке, предоставляет доступ к следующим функциям:

  • Добавить выбранное поле в сортировку по убыванию;
  • Добавить выбранное поле в сортировку по возрастанию;
  • Скрыть столбец.

• Нажатие ПКМ на заголовок столбца таблицы, который участвует в сортировке, предоставляет доступ к следующим функциям:

  • Включить сортировку по убыванию;
  • Включить сортировку по возрастанию;
  • Повысить приоритет сортировки по выбранному полю;
  • Понизить приоритет сортировки по выбранному полю;
  • Убрать поле из сортировки;
  • Скрыть столбец.

Боковая панель

В общем случае боковая панель предназначена для поиска, сортировки, фильтрации и выбора сущности, для вывода информации о ней в рабочей области (см. рисунок 7).

Рисунок 7 – Боковая панель. Список сущностей

На боковой панели доступны следующие элементы управления:

Кнопка	Действие
	создание сущности (правила корреляции, макроса, табличного списка и т.д.)
	настройка параметров фильтрации и сортировки
	включение возможности выбора сущностей для выполнения над ними массовых операций и доступ к следующим действиям над сущностями: - импорт сущностей; - экспорт выбранных сущностей; - экспорт всех сущностей; - удаление выбранных сущностей; - удаление всех сущностей.
Нажатие ЛКМ по сущности	выбор сущности и вывод информации о сущности в рабочую область
	настройка отображения боковой панели

Поиск сущности в списке

Для поиска сущностей укажите значение или часть значения в поле Текстовый поиск и нажмите кнопку Применить. Будут выданы подходящие данные.

Для поиска сущностей по точному соответствию введенному запросу, установите флаг Строгий поиск.

Сортировка и фильтрация сущностей в списке

1. Нажмите кнопку . Откроется блок для настройки сортировки и фильтрации сущностей в списке (см. рисунок 8).

   

   Рисунок 8 – Боковая панель. Сортировка и фильтрация

2. Если для сущности доступна фильтрация по конкретным полям (для некоторых сущностей фильтрация недоступна), то в блоке Фильтрация укажите необходимые значения полей.

   Можно выполнить фильтрацию по значениям нескольких полей.

   Для каждого поля предусмотрена настройка дополнительных параметров фильтрации. Для вызова настройки необходимо добавить поле в блок фильтры и нажать по нему ЛКМ. Откроется окно дополнительных настроек (см. рисунок 9).

   

   Рисунок 9 – Боковая панель. Окно для дополнительных настроек параметров фильтрации

3. В блоке Сортировка выполните следующие действия:

   • Добавьте поля, по которым должна выполняться сортировка

   • Выберите направление сортировки:

     • ↓ - от последнего к первому;
     • ↑ - от первого к последнему.

4. Нажмите кнопку Применить. Если необходимо очистить параметры сортировки и фильтрации, то нажмите кнопку Сбросить.

Массовые действия

Количество массовых операций, доступных над сущностями в разделах платформы, может отличаться.

В общем случае над сущностями доступны следующие массовые действия:

• Удалить - удаление выбранных сущностей;
• Удалить все - удаление всех отфильтрованных сущностей. Будут удалены все сущности, попавшие под параметры сортировки и фильтрации;
• Экспортировать выбранные в csv - экспорт выбранных сущностей в файлы формата CSV;
• Экспортировать выбранные - экспорт выбранных сущностей в zip-архив;
• Экспортировать все - экспорт всех отфильтрованных сущностей в zip-архив;. Будут экспортированы все сущности, попавшие под параметры сортировки и фильтрации;
• Импортировать - импорт сущностей в платформу.

В режиме мультиарендности появляются дополнительные массовые действия:

• Синхронизировать выбранные - синхронизация выбранных изменений на подчиненных инстансах;
• Синхронизировать все - синхронизация всех изменений на подчиненных инстансах.

Подробнее о процессе синхронизации см. раздел Синхронизация пользовательского контента.

Для выполнения массового действия выполните следующие шаги:

1. Нажмите на кнопку и из выпадающего списка выберите пункт Массовые действия. Появятся флаги для выбора сущностей (см. рисунок 10).

   

   Рисунок 10 – Массовые действия над сущностями

2. Выберите сущности, установив соответствующие флаги.

3. Нажмите на соответствующую кнопку действия.
4. Завершите действие в открывшемся окне.

Папки контента

Для упрощения работы и структурирования пользовательского контента в платформе используется механизм папок.

Управление папками контента выполняется в разделе Параметры → Папки контента.

Просмотр содержимого папок выполняется через боковую панель соответствующего раздела (см. рисунок 11).

Рисунок 11 – Боковая панель. Папки контента

При просмотре содержимого папок доступны следующие элементы управления:

Кнопка	Действие
/	выбрать/отменить выбор элементов
	выбор направления сортировки
/	включение/выключение режима каскадного выбора. Режим позволяет по клику на папку автоматически выбрать папки на всю глубину вложения. Режим по умолчанию включен

Отображение содержимого папок работает по следующему принципу:

• при клике на папку, в универсальной таблице отобразится содержимое выбранной папки;
• если папка является родительской, то при клике на папку раскрывается дерево дочерних папок;
• если установлены флаги для нескольких папок, в универсальной таблице отобразятся все сущности, содержащиеся в выбранных папках;
• если включен каскадный режим, то при клике на родительскую папку автоматически устанавливаются флаги на дочерние папки.

Для создания пользовательского контента в папке выполните следующие действия:

1. Перейдите в нужный раздел.
2. Начните процесс создания.
3. В поле Папка из выпадающего списка выберите нужную папку.

Для переноса пользовательского контента в папку выполните следующие действия:

1. Перейдите в нужный раздел.
2. Выберите нужные сущности, установив соответствующие флаги.
3. Нажмите кнопку Переместить в папку.
4. В открывшемся окне выберите папку и нажмите кнопку Переместить.

В версии 4.1.0 данный механизм доступен для следующего контента:

• Правила корреляции.

Формы работы с сущностями

Основная работа пользователя с сущностями осуществляется на странице Форма работы с сущностями. Формы сущностей могут быть следующих типов:

• Создание;
• Просмотр;
• Редактирование.

Форма работы с сущностями имеет различный вид в зависимости от сущности и выполняемого действия (см. рисунок 12).

Рисунок 12 – Рабочая область. Форма просмотра сущности

В общем случает страница состоит из следующих элементов:

• Поля формы – содержит поля для указания сведений и выполнения настроек параметров сущности;
• Панель действий – содержит кнопки для работы с сущностью. Кнопки, которые не помещаются на панели действий, будут помещены в выпадающее меню, доступное по кнопке .

Панель действий может содержать следующие элементы управления:

Кнопка	Тип формы объекта	Действие
Редактировать /	Просмотр	Изменение информации о сущности
Дублировать	Просмотр	Создание новой сущности на основе существующей
Назначить пользователю /	Просмотр	Выдача прав на работу с сущностью выбранному пользователю
Назначить группе пользователей /	Просмотр	Выдача прав на работу с сущностью выбранной группе пользователей
Написать ответственному	Просмотр	Написать сообщение ответственному пользователю. История сообщений доступна в профиле пользователя
Добавить в группу	Просмотр	Добавление сущности в выбранную группу
Сохранить	Создание / Редактирование	Сохранение сведений об сущности
Сбросить	Создание / Редактирование	Сброс введенных сведений о сущности
Создать	Создание	Создание сущности
	Все	Возврат на предыдущую страницу

Шаблоны сущностей

Для упрощения поиска, создания/редактирования сущностей в платформе используется механизм шаблонов.

В платформе шаблоны делятся на два типа:

• Редактирование – шаблон будет определять структуру данных, внешний вид и поведение форм создания/редактирования сущностей;
• Фильтр – шаблон будет определять параметры фильтрации и сортировки выбранных сущностей в универсальной таблице.

Создание шаблона

Тип "Редактирование":

1. Откройте необходимую сущность на создание или редактирование.
2. Настройте поля формы.
3. Нажмите кнопку Сохранить как шаблон (располагается внизу формы).
4. Укажите название шаблона в открывшемся окне и нажмите кнопку Сохранить.
5. Шаблон будет сохранен в платформе. Информацию о шаблоне можно посмотреть в разделе Параметры → Шаблоны.

Тип "Фильтр":

1. Перейдите в раздел для работы с нужной сущностью, например Инциденты.

2. Выполните настройку сортировки и фильтрации записей таблицы (см. рисунок 13).

   

   Рисунок 13 – Пример настроенных параметров фильтрации и сортировки

   Примечание: Обратите внимание, что в примере фильтрации и сортировки включены два шаблона фильтрации: Server и Все закрытые.

3. Нажмите кнопку . Откроется окно Сохранение шаблона (см. рисунок 14).

   

   Рисунок 14 – Окно "Сохранение шаблона"

4. Выполните в окне следующие действия:

   • в поле Название укажите название шаблона;

   • в блоке Настройки выберите параметры сохранения шаблона:

     • Учитывать выбранные шаблоны – опция включает/выключает сохранение параметров шаблонов, которые были применены при настройке фильтрации и сортировки. В примере это шаблоны Server и Все закрытые;
     • Сохранить фильтры – опция включает/выключает сохранение параметров фильтрации, которые были применены при настройке фильтрации и сортировки;
     • Сохранить сортировку – опция включает/выключает сохранение параметров сортировки, которые были применены при настройке фильтрации и сортировки;

   • в блоке Итоговый шаблон проверьте правильность заданных параметров фильтрации и сортировки в шаблоне перед сохранением.

5. Нажмите кнопку Сохранить.

6. Шаблон будет сохранен в платформе. Информацию о шаблоне можно посмотреть в разделе Параметры → Шаблоны.

Использование шаблона

Тип "Редактирование":

1. Откройте форму необходимой сущности на создание или редактирование.
2. В поле Использовать существующий шаблон из выпадающего списка выберите заранее созданный шаблон.
3. Поля формы будут автоматически заполнены данными из шаблона.

Тип "Фильтр":

1. Перейдите в раздел для работы с нужной сущностью, например Инциденты.

2. Нажмите кнопку . Откроется окно "Настройка отображения шаблонов" (см. рисунок 15).

   

   Рисунок 15 – Окно "Настройка отображения шаблонов"

3. Выберите шаблоны, которые должны отображаться над универсальной таблицей, установив соответствующие флаги.

4. Нажмите кнопку Применить. Над универсальной таблицей будут доступны выбранные шаблоны для фильтрации и сортировки.
5. Для включения/выключения шаблона необходимо нажать по нему ЛКМ.

6. Выбранный шаблон будет автоматически применен (см. рисунок 16).

   

   Рисунок 16 – Применение шаблона фильтрации и сортировки

Визуализации

Визуализации -- это способ вывода информации о сущностях или группах сущностей в виде графиков, виджетов, метрик и т.д. (см. рисунок 17).

Рисунок 17 – Рабочая область. Визуализации

Визуализации имеют различные элементы управления, которые подробно расписаны в соответствующих разделах.

Синхронизация пользовательского контента

Пользовательским контентом являются следующие сущности, создаваемые пользователями в платформе:

• Правила корреляции;
• Фильтры потока событий;
• Табличные списки;
• Макросы;
• Типы инцидентов;
• Источники;
• Правила разбора;
• Правила обогащения;
• Профили сбора.

Если Платформа Радар работает в режиме мультиарендности, то пользовательский контент при необходимости можно синхронизировать между подчиненными инстансами.

Синхронизацию можно выполнить в двух режимах:

• добавление – в этом режиме пользовательский контент будет добавлен на подчиненный инстанс, а весь контент, который был на инстансе, останется без изменений;

• перезапись – в этом режиме пользовательский контент будет перезаписан на подчиненном инстансе.

  Внимание! Перезапись контента может вызвать потерю данных на подчиненных инстансах.

Для выполнения синхронизации выполните следующие действия:

1. Начините процесс синхронизации контента через универсальную таблицу или боковую панель. Откроется окно "Синхронизация контента" (см. рисунок 18).

   

   Рисунок 18 – Окно "Синхронизация контента"

2. В открывшемся окне выберите инстансы, на которые необходимо внести изменения.

3. При необходимости включите режим перезаписи данных на подчиненном инстансе, установив переключатель Перезаписать в положение "Включен".
4. Нажмите кнопку Синхронизировать.