Перейти к содержанию

Табличные списки

Общие данные

Табличные списки (Rapid Value Store), являются видом активного хранилища -- автоматически изменяемого, в зависимости от условий.

Табличные списки могут использоваться для следующих целей:

  • для обращения к справочным данным;
  • для дополнительной фильтрации при работе с обогащением из таких источников как: Active Directory, Активы;
  • для добавления идентификаторов активов и пользователей в "карантин", для исключения повторных "сработок" правил до решения инцидента;
  • для реализации механизма "черных" и "белых" списков.

Хранилища могут быть созданы вручную и автоматически. Автоматическое создание хранилища включает в себя следующие способы:

  • посредством обработки событий от источника "Kaspersky-SecurityCenter-db-host-activity" и правила "AV_KES_Hosts with old bases and without workable antivirus";
  • посредством исполнения скриптов, получающих информацию из Active Directory активов Платформы.

Табличные списки поддерживают следующие типы полей:

  • string - указывается строка;
  • integer - указывается целое число;
  • bigint - указывается целое число произвольной точности;
  • double - указывается целое или дробное число с двойной точностью;
  • IP - указывается IP-адрес,
  • CIDR - указывается IP-адрес подсети.

При написании правил корреляции для их вызова в коде правила необходимо использовать функцию RVS.

Для работы с табличными списками перейдите в раздел КорреляторТабличные списки (см. рисунок 1).

Рисунок 1 – Раздел "Табличные списки"

В разделе отображается следующая информация:

  • Название – наименование табличного списка;
  • Описание – дополнительные сведения о табличном списке;
  • Записей – количество записей в табличном списке;
  • Создано – дата и время создания табличного списка.

Просмотр табличного списка

Для просмотра табличного списка нажмите кнопку в нужной строке таблицы или нажмите по ссылке в колонке Название. Откроется представление через боковую панель и форма просмотра выбранного табличного списка (см. рисунок 2).

Рисунок 2 – Форма просмотра табличного списка

Набор отображаемых данных формируется в зависимости от настроек выбранного табличного списка.

Значком отмечены поля, которые являются "ключами" для формирования уникального идентификатора записи (поле _id). По этому идентификатору правила будут обращаться к нужной записи из табличного списка. Признак "ключа" указывается для поля на этапе создания табличного списка. Необходимо соблюдать уникальность поля _id.

Создание табличного списка

  1. Начните процесс создания табличного списка через универсальную таблицу или боковую панель. Откроется окно "Создание табличного списка" (см. рисунок 3).

    Рисунок 3 – Окно "Создание табличного списка"

  2. Укажите в окне следующую информацию:

    • в поле Название укажите название табличного списка;
    • в поле Описание укажите дополнительные сведения о табличном списке;

    • в блоке Схема данных настройте поля табличного списка:

      • в поле Название укажите название поля схемы данных;

        Примечание: в качестве названия поля схемы данных нельзя использовать следующие значения: _id, _ttl, rewrite.

      • в поле Тип из выпадающего списка выберите тип поля: string, integer, bigint, double, ip-addres, CIDR;

      • в поле Ключ при необходимости установите признак "ключ". Ключ служит для формирования уникального идентификатора записи табличного списка;
      • добавьте необходимое количество полей в схему данных табличного списка. Для этого нажмите кнопку Добавить.

  3. Нажмите кнопку Сохранить.

Работа с записями табличного списка

Добавление записи

  1. Выберите табличный список и нажмите кнопку Добавить запись. Откроется окно "Создание записи" (см. рисунок 4).

    Рисунок 4 – Окно "Создание записи"

  2. Окно "Создание записи" формируется в зависимости от настроенной схемы данных табличного списка. Укажите в окне соответствующие данные.

  3. В поле Время жизни записи укажите дату, до наступления которой запись табличного списка будет действительна.
  4. Нажмите кнопку Сохранить.

Редактирование записи

  1. Выберите из списка необходимый табличный список, найдите нужную запись и в соответствующей строке нажмите кнопку .
  2. Внесите необходимые изменения.
  3. Нажмите кнопку Сохранить.

Дублирование записи

  1. Выберите из списка необходимый табличный список, найдите нужную запись и в соответствующей строке нажмите кнопку .
  2. При необходимости укажите в окне необходимую информацию.
  3. Нажмите кнопку Сохранить.

Экспорт записей

Платформа позволяет экспортировать записи табличного списка в файлы следующих форматов:

  • csv;
  • xlsx;
  • json.

Для экспорта записей выполните следующие действия:

  1. Выберите из списка необходимый табличный список и нажмите кнопку Экспортировать все.
  2. Из выпадающего списка выберите формат, в который необходимо экспортировать записи.
  3. В открывшемся окне нажмите кнопку Сохранить и укажите путь для сохранения файла.

Импорт записей

  1. Выберите из списка необходимый табличный список и нажмите кнопку Импортировать. Откроется окно "Импортировать" (см. рисунок 5).

    Рисунок 5 – Импорт записей табличного списка

  2. В открывшемся окне укажите путь к файлу с записями.

  3. Если необходимо перезаписать данные в табличном списке, то включите соответствующий переключатель.
  4. Нажмите кнопку Импортировать.

Удаление записи

  1. Выберите из списка необходимый табличный список, найдите нужную запись и в соответствующей строке нажмите кнопку .
  2. Подтвердите удаление в открывшемся окне.
  3. Запись будет удалена из табличного списка.

Массовое удаление записей

Массовое удаление записей можно выполнить двумя способами.

Способ 1:

  1. Выберите из списка необходимый табличный список и установите флаги напротив нужных записей.
  2. Нажмите кнопку Удалить.
  3. Подтвердите удаление в открывшемся окне.
  4. Выбранные записи будут удалены из табличного списка.

Способ 2:

  1. Выберите из списка необходимый табличный список и нажмите кнопку Удалить все.
  2. Подтвердите удаление в открывшемся окне.
  3. Все записи будут удалены из табличного списка.

Редактирование табличного списка

  1. Начните процесс редактирования табличного списка через универсальную таблицу или форму просмотра.
  2. Внесите необходимые изменения.
  3. Нажмите кнопку Сохранить.

Дублирование табличного списка

  1. Выберите из списка необходимый табличный список и нажмите кнопку Дублировать. Откроется окно "Дублирование табличного списка" (см. рисунок 6).

    Рисунок 6 – Окно "Дублирование табличного списка"

  2. Укажите в окне наименование табличного списка.

  3. Нажмите кнопку Сохранить.

Импорт табличных списков

  1. Начните процесс импорта табличных списков через универсальную таблицу или боковую панель.
  2. В открывшемся окне укажите путь к архиву с табличными списками.
  3. Нажмите кнопку Открыть.

Экспорт табличных списков

  1. Начните процесс экспорта табличных списков через универсальную таблицу или боковую панель.
  2. Будет сформирован архив с табличными списками в формате .zip.
  3. Нажмите кнопку Скачать и укажите путь для сохранения архива.

Синхронизация табличных списков

Если Платформа Радар работает в режиме мультиарендности, то табличные списки при необходимости можно синхронизировать между подчиненными инстансами. Подробнее о процессе синхронизации см. раздел Синхронизация пользовательского контента.

Удаление табличного списка

  1. Начините процесс удаления табличного списка через универсальную таблицу или боковую панель.
  2. Подтвердите удаление в открывшемся окне.
  3. Табличный список будет удален из платформы.