Белые списки

Общие данные

Белые списки – это списки исключений, которые позволяют исключить определенные данные при работе правила корреляции.

Для каждого белого списка оператором определяется список полей события (таксономии), являющихся ключевыми для данного списка исключений. Во время сработки правила корреляции по ключевым полям будет выполняться сравнение с записями белого списка:

• событие проверяется на исключения до первого совпадения по одной из следующих функций:

  • проверка равенства выражений – проверяются значения, указанные в белом списке со соответствующими значениями полей события (таксономии);
  • поиск подстроки в строке – проверяются значения, указанные в белом списке со соответствующими значениями, которые могут входить в итоговое значение полей события (таксономии).

• если событие удовлетворяет любому из исключений, то оно не участвует в корреляции.

Таким образом белые списки помогают определить безопасные события в потоке событий и исключить их из процесса корреляции.

Для белого списка можно указать набор правил, в которых он должен исполняться. Если же для белого списка не указан набор правил, то исключения будут исполняться всеми правилами корреляции.

Для работы с белыми списками перейдите в раздел Коррелятор → Белые списки (см. рисунок 1).

Рисунок 1 – Раздел "Белые списки"

В разделе отображается следующая информация:

• Название – наименование белого списка;
• Описание – дополнительные сведения о белом списке;
• Записей – количество записей в белом списке;
• Создано – дата и время создания белого списка;
• Правила корреляции – набор правил корреляции, в которых исполняется белый список.

Создание белого списка

1. Начните процесс создания белого списка через универсальную таблицу или боковую панель. Откроется окно "Создание белого списка" (см. рисунок 3).

   

   Рисунок 3 – Окно "Создание белого списка"

2. Укажите в окне следующую информацию:

   • в поле Название укажите название белого списка;
   • в поле Описание укажите дополнительные сведения о белом списке;

   • в блоке Схема данных настройте поля белого списка:

     • в поле Название укажите название поля схемы данных;

       Примечание: данное поле должно быть уникальным в рамках белого списка, так как служит для формирования уникального идентификатора записи. В качестве названия поля схемы данных нельзя использовать следующие значения: _id, _ttl, rewrite.

     • в поле Функция преобразования из выпадающего списка выберите функцию: "Проверить равенство выражений", "Поиск подстроки в строке";

     • при необходимости включите логическое отрицание результатов сравнения ("не равно", "не существует"), установив соответствующий флаг;
     • при необходимости включите игнорирование регистра при сравнении, установив соответствующий флаг;
     • в поле Поле при необходимости выберите поле события (таксономии), которое будет определять использование белого списка во время сработки правила корреляции.
     • добавьте необходимое количество полей в схему данных белого списка. Для этого нажмите кнопку Добавить.

3. Нажмите кнопку Сохранить.

Просмотр белого списка

Для просмотра белого списка нажмите кнопку в нужной строке таблицы или нажмите по ссылке в колонке Название. Откроется представление через боковую панель и форма просмотра выбранного белого списка (см. рисунок 3).

Рисунок 3 – Форма просмотра белого списка

Набор отображаемых данных формируется в зависимости от настроек выбранного белого списка.

Значком отмечены поля, которые являются "ключами" для формирования уникального идентификатора записи (поле _id). По этому идентификатору правила будут обращаться к нужной записи из белого списка. Признак "ключа" указывается для поля на этапе создания белого списка. Необходимо соблюдать уникальность поля _id.

Работа с записями белого списка

Добавление записи

1. Откройте белый список на просмотр и нажмите кнопку Добавить запись. Откроется окно "Создание записи" (см. рисунок 4).

   

   Рисунок 4 – Окно "Создание записи"

2. Окно "Создание записи" формируется в зависимости от настроенной схемы данных белого списка. Укажите в окне соответствующие данные.

3. Нажмите кнопку Сохранить.

Редактирование записи

1. Откройте белый список на просмотр, найдите нужную запись и в соответствующей строке нажмите кнопку .
2. Внесите необходимые изменения.
3. Нажмите кнопку Сохранить.

Создание записи

1. Откройте белый список на просмотр и нажмите кнопку Добавить запись. Откроется окно "Создание записи" (см. рисунок 5).

   

   Рисунок 5 – Окно "Создание записи"

2. Окно "Создание записи" формируется в зависимости от настроенной схемы данных белого списка. Укажите значения в доступных полях записи.

3. Нажмите кнопку Сохранить.

Настройка исключений для правил корреляции

1. Откройте белый список на просмотр, найдите нужную запись и в соответствующей строке нажмите кнопку .

2. В поле Правило корреляции (см. рисунок 6) из выпадающего списка выберите правило, для которого будет применяться исключение.

   

   Рисунок 6 – Настройка времени жизни записи

3. Нажмите кнопку Сохранить.

Экспорт записей

Платформа позволяет экспортировать записи белого списка в файлы следующих форматов:

• csv;
• xlsx;
• json.

Для экспорта записей выполните следующие действия:

1. Откройте белый список на просмотр и нажмите кнопку Экспортировать все.
2. Из выпадающего списка выберите формат, в который необходимо экспортировать записи.
3. В открывшемся окне нажмите кнопку Сохранить и укажите путь для сохранения файла.

Импорт записей

1. Откройте белый список на просмотр и нажмите кнопку Импортировать. Откроется окно "Импортировать" (см. рисунок 7).

   

   Рисунок 7 – Импорт записей белого списка

2. В открывшемся окне укажите путь к файлу с записями.

3. Если необходимо перезаписать данные в белом списке, то включите соответствующий переключатель.
4. Нажмите кнопку Импортировать.

Удаление записи

1. Откройте белый список на просмотр, найдите нужную запись и в соответствующей строке нажмите кнопку .
2. Подтвердите удаление в открывшемся окне.
3. Запись будет удалена из белого списка.

Массовое удаление записей

Массовое удаление записей можно выполнить двумя способами.

Способ 1:

1. Откройте белый список на просмотр и установите флаги напротив нужных записей.
2. Нажмите кнопку Удалить.
3. Подтвердите удаление в открывшемся окне.
4. Выбранные записи будут удалены из белого списка списка.

Способ 2:

1. Откройте белый список на просмотр и нажмите кнопку Удалить все.
2. Подтвердите удаление в открывшемся окне.
3. Все записи будут удалены из белого списка.

Редактирование белого списка

1. Начните процесс редактирования белого списка через универсальную таблицу или форму просмотра.
2. Внесите необходимые изменения.
3. Нажмите кнопку Сохранить.

Настройка расписания работы белого списка

1. Начните процесс редактирования белого списка через универсальную таблицу или форму просмотра.

2. Перейдите на вкладку Расписание (см. рисунок 8).

   

   Рисунок 8 – Настройка расписания работы белого списка

3. В блоке Настройка расписания укажите период работы белого списка, нажав ЛКМ на соответствующие значения в таблице.

4. В блоке Расписание проверьте настроенное расписание работы белого списка.
5. Нажмите кнопку Сохранить.

Импорт белых списков

1. Начните процесс импорта белых списков через универсальную таблицу или боковую панель.
2. В открывшемся окне укажите путь к архиву с белыми списками.
3. Нажмите кнопку Открыть.

Экспорт белых списков

1. Начните процесс экспорта белых списков через универсальную таблицу или боковую панель.
2. Будет сформирован архив с белыми списками в формате .zip.
3. Нажмите кнопку Скачать и укажите путь для сохранения архива.

Синхронизация белых списков

Если Платформа Радар работает в режиме мультиарендности, то белые списки при необходимости можно синхронизировать между подчиненными инстансами. Подробнее о процессе синхронизации см. раздел Синхронизация пользовательского контента.

Удаление белого списка

1. Начините процесс удаления белого списка через универсальную таблицу или боковую панель.
2. Подтвердите удаление в открывшемся окне.
3. Белый список будет удален из платформы.