Интерфейс платформы

Интерфейс платформы состоит из шапки сайта, панели разделов, рабочей области и элементов управления.

Рабочая область раздела имеет два варианта представления:

• через универсальные таблицы;
• через боковую панель и формы работы с объектами (просмотр, создание, редактирование).

По умолчанию все разделы открываются в табличном представлении (см. рисунок 1).

Рисунок 1 – Интерфейс Платформы Радар. Табличное представление

Для переключения с табличного представления раздела на боковую панель необходимо открыть объект на просмотр (кнопка или по ссылке в колонке Название). Откроется представление раздела через боковую панель и форма просмотра выбранного объекта (см. рисунок 2).

Рисунок 2 – Интерфейс Платформы Радар. Представление через боковую панель и формы объектов

Шапка сайта

Шапка сайта является единой для всех разделов платформы и содержит следующие элементы управления:

Кнопка	Действие
,	показать/скрыть панель разделов
	выбор инстанса
	доступ к базе знаний платформы
	наименование текущей учетной записи и доступ к выходу из учетной записи

Панель разделов

Для каждого пользователя список разделов формируется индивидуально в соответствии с возможностями, выданными данному пользователю.

В интерфейсе доступны следующие разделы:

• Рабочий стол. Раздел предназначен для оперативного отслеживания данных о состоянии информационной безопасности с помощью интерактивных информационных панелей.
• События. Раздел предназначен для просмотра и анализа событий информационной безопасности.

• Инциденты ИБ. Раздел содержит следующие подразделы:

  • Инциденты – расследование инцидентов информационной безопасности;
  • Типы инцидентов – сведения о уязвимостях, нарушениях политики, аномальной сетевой активности которые могут послужить основой для возникновения инцидента;
  • Группы инцидентов – управление группами инцидентов и массовые операции над инцидентами через группы;
  • Дополнительные поля – настройка параметров дополнительной информации, которую можно добавить к инцидентам.

• Активы. Раздел содержит следующие подразделы:

  • Активы – управление и анализ состояния активов;
  • Группы активов – управление группами активов;
  • Настройки идентификации активов – настройка сравнения отдельных атрибутов актива (его идентификаторов) с атрибутами существующих активов, о которых есть записи в платформе;
  • Сетевые интерфейсы – сведения о сетевых интерфейсах, обнаруженных у активов;
  • Результаты сканирования – изучение данных по наличию уязвимостей, полученные сторонними сканерами уязвимости в ходе работы и импортированные в платформу;
  • Обнаружение хостов – сканирование подсети, в результате которого может быть получен набор данных, достаточный для идентификации актива;
  • Обнаружение сервисов – сбор данных о сервисах на выбранных активах;
  • Сбор данных – сбор общих данных на выбранных активах.

• Соответствие ПО. Раздел содержит следующие подразделы:

  • Результаты соответствия ПО – просмотр результатов всех текущих проверок соответствия ПО;
  • Список ПО – перечень всего программного обеспечения, обнаруженного сканерами уязвимостей при сканировании активов;
  • Список групп ПО – управление группами ПО;
  • Наборы правил соответствия ПО – настройка политик для выполнения проверки соответствия ПО;
  • Правила соответствия ПО – настройка регулярных выражений, по которым формируются политики для выполнения проверки соответствия ПО.

• Коррелятор. Раздел содержит следующие подразделы:

  • Правила корреляции – управление правилами корреляции;
  • Пересылка событий – управление фильтрами потока событий, которые применяются для отправки событий на другой экземпляр платформы;
  • Фильтры потока событий – управление фильтрами потока событий, которые применяются в правилах корреляции;
  • Макросы – управление модулями поведения для правил корреляции;
  • Шаблоны алертов – управление шаблонами "алертов";
  • Шаблоны группировки – управление шаблонами группировки событий;
  • Табличные списки – управление справочниками;
  • Ретроспективная корреляция – проведение ретроспективного анализа на основе данных хранимых в платформе.

• Источники. Раздел содержит следующие подразделы:

  • Источники – подключение и настройка источников событий информационной безопасности;
  • Отладка источника – проверка работы правил разбора и обогащения для выбранного источника;
  • Правила разбора – управление правилами разбора поступающих событий;
  • Обогащение – управление правилами обогащения разобранных событий;
  • Группы GROK – управление группами пользовательских GROK паттернов;
  • Паттерны GROK – управление пользовательскими GROK паттернами;
  • Поля события – настройка маппинга полей события, используемых в процессах разбора и нормализации;
  • Агенты сбора – настройка агентов сбора событий от источников;
  • Профили сбора – управление профилями сбора событий ИБ на выбранных агентах сбора.

• Параметры. Раздел содержит следующие подразделы:

  • Основные параметры – настройка основных параметром Платформы Радар;
  • Оповещения по задержкам – настройки автоматических оповещений по задержкам в обработке инцидентов операторами;
  • Черный список ID плагинов – настройка списка ID плагинов сканеров уязвимости, которые будут игнорироваться в процессе работы;
  • Фоновые задачи – просмотр информации о запущенных задачах ретроспективной корреляции, синхронизации и отчетов.
  • Интеграции. Управление экземплярами интеграций со сторонними системами.
  • Типы интеграций. Просмотр доступных классов систем, с которым можно настроить интеграцию, а также переключение платформы в режим работы с соответствующим типом интеграции.
  • Папки контента. Управление папками для структурирования пользовательского контента.
  • Шаблоны. Управление шаблонами форм пользовательского контента.

• Сообщения. Раздел предназначен для просмотра и управления личными сообщениями, создаваемые в рамках работы с платформой, а также для обмена сообщениями с другими пользователями платформы.

• Профиль. Раздел предназначен для просмотра и управления своей учетной записью, оповещениями, а также для просмотра истории действий в платформе.

• Список разделов, доступных только администраторам Платформы Радар:

  • Рабочие столы. Раздел предназначен управления интерактивными информационными панелями.
  • Отчеты. Раздел предназначен для формирования отчетов о состоянии информационной безопасности.
  • Мониторинг. Раздел предназначен для отслеживания метрик мониторинга платформы.

  • Пользователи и права. Раздел предназначен для управления доступом к платформе и содержит следующие настройки:

    • Пользователи – управление пользователями платформы;
    • Группы – управление группами пользователей;
    • Роли – управление возможностями, которые доступны пользователям в платформе;
    • Аудит действий – просмотр действий, совершаемых пользователями в платформе;
    • События входа –просмотр событий входа в платформу;
    • LDAP – настройка интеграции с сервером LDAP;
    • Доступ к данным – управление доступом пользователей к данным (активам, событиям и т.д.).

  • Кластер. Раздел предназначен для управления кластером платформы и содержит следующие настройки:

    • Узлы системы – управление узлами кластера;
    • Управление конфигурацией – управление параметрами сервисов;
    • API ключи – управление доверенными ключами API, которые используются для межсервисного взаимодействия и для обращения в Платформу Радар из сторонних решений посредством публичного API;
    • Учетные записи для сбора данных – управление учетными записями для сбора данных с хостов и активов;
    • Планировщик задач – управление и организация периодических задач кластера;
    • Скрипты – управление скриптами, которые можно удаленно запустить на узле кластера для выполнения необходимых действий;
    • Управление мультиарендностью – настройка Платформы Радар для работы в инфраструктуре мультитенант или мультиарендность.

  • Репутационные списки. Раздел предназначен для управления репутационными списками, которые могут использоваться в процедуре обогащения событий;

  • Источники IOC. Раздел предназначен для настройки поставщиков индикаторов компрометации, которые используются при работе репутационных списков.
  • Лицензия. Раздел предназначен для просмотра параметров лицензии и повторной активации лицензии.

Универсальные таблицы

Универсальные таблицы в платформе – это список объектов, представленных в табличном виде и имеющие единые элементы управления (см. рисунок 3).

Рисунок 3 -- Рабочая область. Таблицы

Элементы управления располагаются над таблицей и в общем случае состоят из следующих кнопок:

Кнопка	Действие
	обновление данных
	настройка сортировки и фильтрации записей таблицы
	если у кнопки есть специальный значок, то это означает что к таблице применен фильтр
Создать	создание записи/объекта в таблице
Удалить	удаление выбранной записи/объекта из таблицы
Удалить все	удаление всех показанных записей/объектов. Будут удалены все записи/объекты, попавшие под параметры сортировки и фильтрации
Экспортировать	массовый экспорт выбранных объектов
Экспортировать все	экспорт всех показанных записей/объектов. Будут выгружены в архив все записи/объекты, попавшие под параметры сортировки и фильтрации
Экспортировать выбранные в csv	массовый экспорт выбранных записей/объектов в формат csv
Экспортировать в csv	экспорт всех показанных записей/объектов в формат csv. Будут выгружены в файлы формата csv все записи/объекты, попавшие под параметры сортировки и фильтрации
Импортировать	импорт объектов в платформу
Переместить в папку	переместить выбранные объекты в папку
	настройка столбцов таблицы

В колонках таблицы могут располагаться следующие кнопки:

Кнопка	Описание
	выбор направления сортировки выбранной колонки
	просмотр подробных сведений об объекте
	изменение информации об объекте
	удаление объекта

Настройка сортировки и фильтрации записей таблицы

Для поиска необходимого объекта по значениям полей и формирования списка может быть использован фильтр. Для настройки фильтра выполните следующие действия:

1. Нажмите на кнопку . Откроется блок для настройки сортировки и фильтрации (см. рисунок 4).

   

   Рисунок 4 – Таблица. Блоки для настройки фильтров и сортировки

2. В блоке Фильтры нажмите кнопку "+" для добавления столбца, по которому будет выполняться фильтрация. Можно выполнить фильтрацию по значениям нескольких столбцов.

3. В блоке Сортировка нажмите кнопку "+" для выбора столбца, по значениям которого будет задано направление сортировки (↓, ↑). Можно выполнить сортировку по значениям нескольких столбцов.
4. Нажмите кнопку Применить. При просмотре таблицы к ней будет автоматически применяться настроенный фильтр.
5. Если необходимо очистить параметры фильтра, то нажмите кнопку Сбросить.

Настройки отображения полей

Для изменения состава отображаемых полей (колонок таблицы) используйте кнопку .

При нажатии на кнопку откроется список, в котором можно выбрать поля для отображения (см. рисунок 5).

Рисунок 5 – Настройки отображения полей

Боковая панель

В общем случае боковая панель предназначена для поиска, сортировки, фильтрации и выбора объекта, для вывода информации о нем в рабочей области (см. рисунок 6).

Рисунок 6 – Боковая панель. Список объектов

На боковой панели доступны следующие элементы управления:

Кнопка	Действие
	добавление соответствующего объекта (правила корреляции, макроса, табличного списка и т.д.)
	настройка сортировки и фильтров для поиска
	включение возможности выбора объектов для выполнения над ними массовых операций и доступ к следующим действиям над объектами: - импорт объектов; - экспорт выбранных объектов; - экспорт всех объектов - удаление выбранных объектов; - удаление всех объектов.
Нажатие ЛКМ по объекту	выбор объекта и вывод информации об объекте в рабочую область
	настройка отображения боковой панели

Поиск объектов в списке

Для поиска объекта укажите значение или часть значения в поле Поиск и нажмите кнопку Применить. Будут выданы подходящие данные.

Сортировка и фильтрация объектов в списке

1. Нажмите кнопку . Откроется блок для настройки сортировки и фильтрации объектов в списке (см. рисунок 7).

   

   Рисунок 7 – Боковая панель. Сортировка и фильтрация

2. Если для объекта доступна фильтрация по конкретным полям (для некоторых объектов фильтрация недоступна), то в блоке Фильтрация укажите необходимые значения полей.

3. В блоке Сортировка выполните следующие действия:

   • Добавьте поля, по которым должна выполняться сортировка

   • Выберите направление сортировки:

     • ↓ - от последнего к первому;
     • ↑ - от первого к последнему.

4. Нажмите кнопку Применить. Если необходимо очистить параметры сортировки и фильтрации, то нажмите кнопку Сбросить.

Массовые действия

Количество массовых операций, доступных над объектами в разделах платформы, может отличаться.

В общем случае над объектами доступны следующие массовые действия:

• Импортировать - импорт объектов в платформу;
• Экспортировать - экспорт выбранных объектов;
• Экспортировать все - экспорт всех отфильтрованных объектов. Будут экспортированы все объекты, попавшие под параметры сортировки и фильтрации;
• Удалить - удаление выбранных объектов;
• Удалить все - удаление всех отфильтрованных объектов. Будут удалены все объекты, попавшие под параметры сортировки и фильтрации.

Для выполнения массового действия выполните следующие шаги:

1. Нажмите на кнопку и из выпадающего списка выберите пункт Массовые действия. Появятся флаги для выбора табличных списков (см. рисунок 8).

   

   Рисунок 8 – Массовые действия над табличными списками

2. Выберите объекты, установив соответствующие флаги.

3. Нажмите на соответствующую кнопку действия.
4. Завершите действие в открывшемся окне.

Папки контента

Для упрощения работы и структурирования пользовательского контента в платформе используется механизм папок.

Управление папками контента выполняется в разделе Параметры → Папки контента.

Просмотр содержимого папок выполняется через боковую панель соответствующего раздела (см. рисунок 9).

Рисунок 9 – Боковая панель. Папки контента

При просмотре содержимого папок доступны следующие элементы управления:

Кнопка	Действие
/	выбрать/отменить выбор элементов
	выбор направления сортировки
/	включение/выключение режима каскадного выбора. Режим позволяет по клику на папку автоматически выбрать папки на всю глубину вложения. Режим по умолчанию включен

Отображение содержимого папок работает по следующему принципу:

• при клике на папку, в универсальной таблице отобразится содержимое выбранной папки;
• если папка является родительской, то при клике на папку раскрывается дерево дочерних папок;
• если установлены флаги для нескольких папок, в универсальной таблице отобразятся все объекты, содержащиеся в выбранных папках;
• если включен каскадный режим, то при клике на родительскую папку автоматически устанавливаются флаги на дочерние папки.

Для создания пользовательского контента в папке выполните следующие действия:

1. Перейдите в нужный раздел.
2. Начните процесс создания.
3. В поле Папка из выпадающего списка выберите нужную папку.

Для переноса пользовательского контента в папку выполните следующие действия:

1. Перейдите в нужный раздел.
2. Выберите нужные объекты, установив соответствующие флаги.
3. Нажмите кнопку Переместить в папку.
4. В открывшемся окне выберите папку и нажмите кнопку Переместить.

В версии 4.1.0 данный механизм доступен для следующего контента:

• Правила корреляции.

Формы работы с объектами

Основная работа пользователя с объектами осуществляется на странице Форма работы с объектами. Формы объектов могут быть следующих типов:

• Создание;
• Просмотр;
• Редактирование.

Форма работы с объектами имеет различный вид в зависимости от объекта и выполняемого действия (см. рисунок 10).

Рисунок 10 – Рабочая область. Форма просмотра объекта

В общем случает страница состоит из следующих элементов:

• Поля формы – содержит поля для указания сведений и выполнения настроек объекта;
• Панель действий – содержит кнопки для работы с объектами. Кнопки, которые не помещаются на панели действий, будут помещены в выпадающее меню, доступное по кнопке .

Панель действий может содержать следующие элементы управления:

Кнопка	Тип формы объекта	Действие
Редактировать /	Просмотр	Изменение информации об объекте
Дублировать	Просмотр	Создание нового объекта на основе существующего
Назначить пользователю /	Просмотр	Выдача прав на работу с объектом выбранному пользователю
Назначить группе пользователей /	Просмотр	Выдача прав на работу с объектом выбранной группе пользователей
Написать ответственному	Просмотр	Написать сообщение ответственному пользователю. История сообщений доступна в профиле пользователя
Добавить в группу	Просмотр	Добавление объекта в выбранную группу
Опубликовать	Просмотр	Публикация изменений на всех подчиненных инстансах
Сохранить	Создание / Редактирование	Сохранение сведений об объекте
Сбросить	Создание / Редактирование	Сброс введенных сведений объекте
Создать	Создание	Создание объекта
	Все	Возврат на предыдущую страницу

Шаблоны объектов

Для упрощения создания/редактирования объектов в платформе используется механизм шаблонов.

Шаблон будет определять структуру данных, внешний вид и поведение форм создания/редактирования объектов.

Для создания шаблона выполните следующие действия:

1. Откройте необходимый объект на создание или редактирование.
2. Настройте поля формы.
3. Нажмите кнопку Сохранить как шаблон (располагается внизу формы).
4. Укажите название шаблона в открывшемся окне и нажмите кнопку Сохранить.
5. Шаблон будет сохранен в платформе. Информацию о шаблоне можно посмотреть в разделе Параметры → Шаблоны.

Для использования шаблона выполните следующие действия:

1. Откройте форму необходимого объекта на создание или редактирование.
2. В поле Использовать существующий шаблон из выпадающего списка выберите заранее созданный шаблон.
3. Поля формы будут автоматически заполнены данными из шаблона.

В версии 4.1.0 данный механизм доступен для следующих объектов:

• Профили сбора.

Визуализации

Визуализации -- это особые формы объектов, которые представлены в виде графиков, виджетов, метрик и т.д. (см. рисунок 11).

Рисунок 11 – Рабочая область. Визуализации

Визуализации имеют различные элементы управления, которые подробно расписаны в соответствующих разделах.