Интерфейс платформы

Интерфейс платформы состоит из шапки сайта, панели разделов, боковой панели, рабочей области и элементов управления.

Рисунок 1 – Интерфейс Платформы Радар

Шапка сайта

Шапка сайта является единой для всех разделов платформы и содержит следующие элементы управления:

Кнопка	Действие
,	показать/скрыть панель разделов
	выбор инстанса
	доступ к базе знаний платформы
	наименование текущей учетной записи и доступ к выходу из учетной записи

Панель разделов

Для каждого пользователя список разделов формируется индивидуально в соответствии с возможностями, выданными данному пользователю.

В интерфейсе доступны следующие разделы:

• Рабочий стол. Раздел предназначен для оперативного отслеживания данных о состоянии информационной безопасности с помощью интерактивных информационных панелей.
• События. Раздел предназначен для просмотра и анализа событий информационной безопасности.

• Инциденты ИБ. Раздел содержит следующие подразделы:

  • Инциденты – расследование инцидентов информационной безопасности;
  • Типы инцидентов – сведения о уязвимостях, нарушениях политики, аномальной сетевой активности которые могут послужить основой для возникновения инцидента;
  • Группы инцидентов – управление группами инцидентов и массовые операции над инцидентами через группы;
  • Дополнительные поля – настройка параметров дополнительной информации, которую можно добавить к инцидентам.

• Активы. Раздел содержит следующие подразделы:

  • Активы – управление и анализ состояния активов;
  • Группы активов – управление группами активов;
  • Настройки идентификации активов – настройка сравнения отдельных атрибутов актива (его идентификаторов) с атрибутами существующих активов, о которых есть записи в платформе;
  • Сетевые интерфейсы – сведения о сетевых интерфейсах, обнаруженных у активов;
  • Результаты сканирования – изучение данных по наличию уязвимостей, полученные сторонними сканерами уязвимости в ходе работы и импортированные в платформу;
  • Обнаружение хостов – сканирование подсети в результате которого может быть получен набор данных, достаточный для идентификации актива;
  • Обнаружение сервисов – сбор данных о сервисах на выбранных активах;
  • Сбор данных – сбор общих данных на выбранных активах.

• Соответствие ПО. Раздел содержит следующие подразделы:

  • Результаты соответствия ПО – просмотр результатов всех текущих проверок соответствия ПО;
  • Список ПО –  перечень всего программного обеспечения, обнаруженного сканерами уязвимостей при сканировании активов;
  • Список групп ПО – управление группами ПО;
  • Наборы правил соответствия ПО – настройка политик для выполнения проверки соответствия ПО;
  • Правила соответствия ПО – настройка регулярных выражений по которым формируются политики для выполнения проверки соответствия ПО.

• Коррелятор. Раздел содержит следующие подразделы:

  • Правила корреляции – управление правилами корреляции;
  • Пересылка событий – управление фильтрами потока событий, которые применяются для отправки событий на другой экземпляр платформы;
  • Фильтры потока событий – управление фильтрами потока событий, которые применяются в правилах корреляции;
  • Макросы – управление модулями поведения для правил корреляции;
  • Шаблоны алертов – управление шаблонами "алертов";
  • Шаблоны группировки – управление шаблонами группировки событий;
  • Табличные списки – управление справочниками;
  • Ретроспективная корреляция – проведение ретроспективного анализа на основе данных хранимых в платформе.

• Источники. Раздел содержит следующие подразделы:

  • Источники – подключение и настройка источников событий информационной безопасности;
  • Отладка источника – проверка работы правил разбора и обогащения для выбранного источника;
  • Правила разбора – управление правилами разбора поступающих событий;
  • Обогащение – управление правилами обогащения разобранных событий;
  • Группы GROK – управление группами пользовательских GROK паттернов;
  • Паттерны GROK – управление пользовательскими GROK паттернами;
  • Поля события – настройка маппинга полей события, используемых в процессах разбора и нормализации.

• Параметры. Раздел содержит следующие подразделы:

  • Основные параметры – настройка основных параметром Платформы Радар.
  • Оповещения по задержкам – настройки автоматических оповещений по задержкам в обработке инцидентов операторами;
  • Черный список ID плагинов – настройка списка ID плагинов сканеров уязвимости, которые будут игнорироваться в процессе работы
  • Фоновые задачи – просмотр информации о запущенных задачах ретроспективной корреляции, синхронизации и отчетов.

• Сообщения. Раздел предназначен для просмотра и управления личными сообщениями, создаваемые в рамках работы с платформой, а также для обмена сообщениями с другими пользователями платформы.

• Профиль. Раздел предназначен для просмотра и управления своей учетной записью, оповещениями, а также для просмотра истории действий в платформе.

• Список разделов, доступных только администраторам Платформы Радар:

  • Рабочие столы. Раздел предназначен управления интерактивными информационными панелями.
  • Отчеты. Раздел предназначен для формирования отчетов о состоянии информационной безопасности.
  • Мониторинг. Раздел предназначен для отслеживания метрик мониторинга платформы.

  • Пользователи и права. Раздел предназначен для управления доступом к платформе и содержит следующие настройки:

    • Пользователи – управление пользователями платформы;
    • Группы – управление группами пользователей;
    • Роли – управление возможностями, которые доступны пользователям в платформе;
    • Аудит действий – просмотр действий, совершаемых пользователями в платформе;
    • События входа –просмотр событий входа в платформу;
    • LDAP – настройка интеграции с сервером LDAP;
    • Доступ к данным – управление доступом пользователей к данным (активам, событиям и т.д.).

  • Кластер. Раздел предназначен для управления кластером платформы и содержит следующие настройки:

    • Узлы системы – управление узлами кластера;
    • Управление конфигурацией – управление параметрами сервисов;
    • API ключи – управление доверенными ключами API, которые используются для межсервисного взаимодействия и для обращения в Платформу Радар из сторонних решений посредством публичного API;
    • Учетные записи для сбора данных – управление учетными записями для сбора данных с хостов и активов;
    • Планировщик задач – управление и организация периодических задач кластера;
    • Скрипты – управление скриптами, которые можно удаленно запустить на узле кластера для выполнения необходимых действий;
    • Управление мультиарендностью – настройка Платформы Радар для работы в инфраструктуре мультитенант или мультиарендность.

  • Репутационные списки. Раздел предназначен для управления репутационными списками, которые могут использоваться в процедуре обогащения событий;

  • Источники IOC. Раздел предназначен для настройки поставщиков индикаторов компрометации, которые используются при работе репутационных списков.
  • Лицензия. Раздел предназначен для просмотра параметров лицензии и повторной активации лицензии.

Боковая панель

В общем случае боковая панель предназначена для поиска, сортировки, фильтрации и выбора объекта, для вывода информации о нем в рабочей области (см. рисунок 2).

Рисунок 2 – Боковая панель. Список объектов

На боковой панели доступны следующие элементы управления:

Кнопка	Действие
	добавление соответствующего объекта (правила корреляции, макроса, табличного списка и т.д.)
	настройка сортировки и фильтров для поиска
	включение возможности выбора объектов для выполнения над ними массовых операций и доступ к следующим действиям над объектами: - импорт объектов; - экспорт выбранных объектов; - экспорт всех объектов - удаление выбранных объектов; - удаление всех объектов.
Нажатие ЛКМ по объекту	выбор объекта и вывод информации об объекте в рабочую область
	настройка отображения боковой панели

Поиск объектов в списке

Для поиска объекта укажите значение или часть значения в поле Поиск и нажмите кнопку Применить. Будут выданы подходящие данные.

Сортировка и фильтрация объектов в списке

1. Нажмите кнопку . Откроется блок для настройки сортировки и фильтрации объектов в списке (см. рисунок 3).

   

   Рисунок 3 – Боковая панель. Сортировка и фильтрация

2. Если для объекта доступна фильтрация по конкретным полям (для некоторых объектов фильтрация недоступна), то в блоке Фильтрация укажите необходимые значения полей.

3. В блоке Сортировка выполните следующие действия:

   • Добавьте поля, по которым должна выполняться сортировка

   • Выберите направление сортировки:

     • ↓ - от последнего к первому;
     • ↑ - от первого к последнему.

4. Нажмите кнопку Применить. Если необходимо очистить параметры сортировки и фильтрации, то нажмите кнопку Сбросить.

Массовые действия

Количество массовых операций, доступных над объектами в разделах платформы, может отличаться.

В общем случае над объектами доступны следующие массовые действия:

• Импортировать - импорт объектов в платформу;
• Экспортировать - экспорт выбранных объектов;
• Экспортировать все - экспорт всех отфильтрованных объектов. Будут экспортированы все объекты, попавшие под параметры сортировки и фильтрации;
• Удалить - удаление выбранных объектов;
• Удалить все - удаление всех отфильтрованных объектов. Будут удалены все объекты, попавшие под параметры сортировки и фильтрации.

Для выполнения массового действия выполните следующие шаги:

1. Нажмите на кнопку и из выпадающего списка выберите пункт Массовые действия. Появятся флаги для выбора табличных списков (см. рисунок 4).

   

   Рисунок 4 – Массовые действия над табличными списками

2. Выберите объекты, установив соответствующие флаги.

3. Нажмите на соответствующую кнопку действия.
4. Завершите действие в открывшемся окне.

Рабочая область

Для отображения информации в рабочей области могут использоваться таблицы, формы объектов, визуализации или комбинация из различных способов.

Таблицы

Таблица -- это список объектов, представленных в табличном виде (см. рисунок 5).

Рисунок 5 -- Рабочая область. Таблицы

Над таблицей располагаются следующие элементы управления:

Кнопка	Действие
	обновление данных
	настройка сортировки и фильтрации записей таблицы
	если у кнопки есть специальный значок, то это означает что к таблице применяется фильтр
Создать	создание записи/объекта в таблице
Удалить	удаление выбранной записи/объекта из таблицы
Удалить все	удаление всех показанных записей/объектов. Будут удалены все записи/объекты, попавшие под параметры сортировки и фильтрации
Экспортировать	экспорт выбранной записи/объекта
Экспортировать все	экспорт всех показанных записей/объектов. Будут выгружены в архив все записи/объекты, попавшие под параметры сортировки и фильтрации
Импортировать	импорт записей/объектов в таблицу
	настройка столбцов таблицы

Настройка сортировки и фильтрации записей таблицы

Для поиска необходимого объекта по значениям полей и формирования списка может быть использован фильтр. Для настройки фильтра выполните следующие действия:

1. Нажмите на кнопку . Откроется блок для настройки сортировки и фильтрации (см. рисунок 6).

   

   Рисунок 6 – Таблица. Блоки для настройки фильтров и сортировки

2. В блоке Фильтры нажмите кнопку "+" для добавления столбца, по которому будет выполняться фильтрация. Можно выполнить фильтрацию по значения нескольких столбцов.

3. В блоке Сортировка нажмите кнопку "+" для выбора столбца, по значениям которого будет задано направление сортировки:

   • ↓ - от последнего к первому;
   • ↑ - от первого к последнему.

   Можно выполнить сортировку по значениям нескольких столбцов.

4. Нажмите кнопку Применить. При просмотре таблицы к ней будет автоматически применяться настроенный фильтр.

5. Если необходимо очистить параметры фильтра, то нажмите кнопку Сбросить.

Изменение состава столбцов

Для изменения состава столбцов таблицы используйте кнопку . При нажатии на кнопку откроется список, в котором можно выбрать столбцы для отображения (см. рисунок 7).

Рисунок 7 – Настройки отображения полей

Формы объектов

Основная работа пользователя с объектами (просмотр, редактирование, сохранение и др.) осуществляется на странице Форма объекта. Имеет различный вид в зависимости от объекта (см. рисунок 8).

Рисунок 8 – Рабочая область. Форма объекта

В общем случает страница состоит из следующих элементов:

• Панель действий -- содержит кнопки для работы с объектами;
• Поля формы -- содержит поля для указания сведений и выполнения настроек объекта.

Визуализации

Визуализации -- это графики, виджеты, метрики и т.д. (см. рисунок 9).

Рисунок 9 – Рабочая область. Визуализации

Визуализации имеют различные элементы управления, которые подробно расписаны в соответствующих разделах.