Перейти к содержанию

Табличные списки

Общие данные

Табличные списки (Rapid Value Store), являются видом активного хранилища -- автоматически изменяемого, в зависимости от условий.

Табличные списки могут использоваться для следующих целей:

  • для обращения к справочным данным;
  • для дополнительной фильтрации при работе с обогащением из таких источников как: Active Directory, Активы;
  • для добавления идентификаторов активов и пользователей в "карантин", для исключения повторных "сработок" правил до решения инцидента;
  • для реализации механизма "черных" и "белых" списков.

Хранилища могут быть созданы вручную и автоматически. Автоматическое создание хранилища включает в себя следующие способы:

  • посредством обработки событий от источника "Kaspersky-SecurityCenter-db-host-activity" и правила "AV_KES_Hosts with old bases and without workable antivirus";
  • посредством исполнения скриптов, получающих информацию из Active Directory активов Платформы.

Табличные списки поддерживают следующие типы полей:

  • string - указывается строка;
  • integer - указывается целое число;
  • bigint - указывается целое число произвольной точности;
  • double - указывается целое или дробное число с двойной точностью;
  • IP - указывается IP-адрес,
  • CIDR - указывается IP-адрес подсети.

При написании правил корреляции для их вызова в коде правила необходимо использовать функцию RVS.

Для работы с табличными списками перейдите в раздел КорреляторТабличные списки (см. рисунок 1).

Рисунок 1 – Раздел "Табличные списки"

В разделе отображается следующая информация:

  • Название – наименование табличного списка;
  • Описание – дополнительные сведения о табличном списке;
  • Записей – количество записей в табличном списке;
  • Создано – дата и время создания табличного списка.

Просмотр табличного списка

Для просмотра табличного списка нажмите кнопку в нужной строке таблицы или нажмите по ссылке в колонке Название. Откроется представление через боковую панель и форма просмотра выбранного табличного списка (см. рисунок 2).

Рисунок 2 – Форма просмотра табличного списка

Набор отображаемых данных формируется в зависимости от настроек выбранного табличного списка.

Значком отмечены поля, которые являются "ключами" для формирования уникального идентификатора записи (поле _id). По этому идентификатору правила будут обращаться к нужной записи из табличного списка. Признак "ключа" указывается для поля на этапе создания табличного списка. Необходимо соблюдать уникальность поля _id.

Создание табличного списка

  1. Начните процесс создания табличного списка через универсальную таблицу или боковую панель. Откроется окно "Создание табличного списка" (см. рисунок 3).

    Рисунок 3 – Окно "Создание табличного списка"

  2. Укажите в окне следующую информацию:

    • в поле Название укажите название табличного списка;
    • в поле Описание укажите дополнительные сведения о табличном списке;

    • в блоке Схема данных настройте поля табличного списка:

      • в поле Название укажите название поля схемы данных;

        Примечание: в качестве названия поля схемы данных нельзя использовать следующие значения: _id, _ttl, rewrite.

      • в поле Тип из выпадающего списка выберите тип поля: string, integer, bigint, double, ip-addres, CIDR;

      • в поле Ключ при необходимости установите признак "ключ". Ключ служит для формирования уникального идентификатора записи табличного списка;
      • добавьте необходимое количество полей в схему данных табличного списка. Для этого нажмите кнопку Добавить.

  3. Нажмите кнопку Сохранить.

Работа с записями табличного списка

Добавление записи

  1. Выберите табличный список и нажмите кнопку Добавить запись. Откроется окно "Создание записи" (см. рисунок 4).

    Рисунок 4 – Окно "Создание записи"

  2. Окно "Создание записи" формируется в зависимости от настроенной схемы данных табличного списка. Укажите в окне соответствующие данные.

  3. В поле Время жизни записи укажите дату, до наступления которой запись табличного списка будет действительна.
  4. Нажмите кнопку Сохранить.

Редактирование записи

  1. Выберите из списка необходимый табличный список, найдите нужную запись и в соответствующей строке нажмите кнопку .
  2. Внесите необходимые изменения.
  3. Нажмите кнопку Сохранить.

Дублирование записи

  1. Выберите из списка необходимый табличный список, найдите нужную запись и в соответствующей строке нажмите кнопку .
  2. При необходимости укажите в окне необходимую информацию.
  3. Нажмите кнопку Сохранить.

Экспорт записей

Платформа позволяет экспортировать записи табличного списка в файлы следующих форматов:

  • csv;
  • xlsx;
  • json.

Для экспорта записей выполните следующие действия:

  1. Выберите из списка необходимый табличный список и нажмите кнопку Экспортировать все.
  2. Из выпадающего списка выберите формат, в который необходимо экспортировать записи.
  3. В открывшемся окне нажмите кнопку Сохранить и укажите путь для сохранения файла.

Импорт записей

  1. Выберите из списка необходимый табличный список и нажмите кнопку Импортировать. Откроется окно "Импортировать" (см. рисунок 5).

    Рисунок 5 – Импорт записей табличного списка

  2. В открывшемся окне укажите путь к файлу с записями.

  3. Если необходимо перезаписать данные в табличном списке, то включите соответствующий переключатель.
  4. Нажмите кнопку Импортировать.

Удаление записи

  1. Выберите из списка необходимый табличный список, найдите нужную запись и в соответствующей строке нажмите кнопку .
  2. Подтвердите удаление в открывшемся окне.
  3. Запись будет удалена из табличного списка.

Массовое удаление записей

Массовое удаление записей можно выполнить двумя способами.

Способ 1:

  1. Выберите из списка необходимый табличный список и установите флаги напротив нужных записей.
  2. Нажмите кнопку Удалить.
  3. Подтвердите удаление в открывшемся окне.
  4. Выбранные записи будут удалены из табличного списка.

Способ 2:

  1. Выберите из списка необходимый табличный список и нажмите кнопку Удалить все.
  2. Подтвердите удаление в открывшемся окне.
  3. Все записи будут удалены из табличного списка.

Редактирование табличного списка

  1. Выберите из списка необходимый табличный список и нажмите кнопку Редактировать.
  2. Внесите необходимые изменения.
  3. Нажмите кнопку Сохранить.

Дублирование табличного списка

  1. Выберите из списка необходимый табличный список и нажмите кнопку Дублировать. Откроется окно "Дублирование табличного списка" (см. рисунок 6).

    Рисунок 6 – Окно "Дублирование табличного списка"

  2. Укажите в окне наименование табличного списка.

  3. Нажмите кнопку Сохранить.

Импорт табличных списков

  1. Начните процесс импорта табличных списков через универсальную таблицу или боковую панель.
  2. В открывшемся окне укажите путь к архиву с табличными списками.
  3. Нажмите кнопку Открыть.

Экспорт табличных списков

  1. Начните процесс экспорта табличных списков через универсальную таблицу или боковую панель.
  2. Будет сформирован архив с табличными списками в формате .zip.
  3. Нажмите кнопку Скачать и укажите путь для сохранения архива.

Синхронизация табличных списков

Если Платформа Радар работает в режиме мультиарендности, то табличные списки при необходимости можно синхронизировать между подчиненными инстансами. Подробнее о процессе синхронизации см. раздел Синхронизация пользовательского контента.

Удаление табличного списка

  1. Начините процесс удаления табличного списка через универсальную таблицу или боковую панель.
  2. Подтвердите удаление в открывшемся окне.
  3. Табличный список будет удален из платформы.