Перейти к содержанию

Работа с правилами корреляции

Раздел содержит описание процессов, связанных с настройкой и обслуживанием правил корреляции.

Предустановленные правила корреляции. Разработка правил корреляции

Платформа Радар поставляется с набором готовых правил, которые при необходимости можно быстро включить, следующих категорий:

  • обнаружение вредоносного кода;
  • обнаружение подозрительных объектов в сетевом трафике;
  • обнаружение подозрительной активности;
  • аномалии в событиях аутентификации;
  • контроль изменения конфигураций.

При необходимости можно разработать собственные правила корреляции.

Управление правилами корреляции

Параметры правила корреляции

Перечень правил корреляции представлен на рисунке 1.

Для управления правилами корреляции при нажатии на кнопку "Действие" разворачивается перечень пунктов:

  • Активировать - позволяет включить выбранные правила корреляции;
  • Выключить - позволяет выключить выбранные правила корреляции;
  • Экспортировать - позволяет экспортировать выбранные правила корреляции в файл;
  • Импортировать - позволяет импортировать правила корреляции из файла;
  • Удалить - позволяет удалить выбранные правила корреляции;
  • Экспортировать всё - позволяет экспортировать все правила корреляции в файл;
  • Удалить всё - позволяет удалить все правила корреляции.


Рисунок 1 -- Перечень правил корреляции

В перечне доступна фильтрация по наименованию правила корреляции. Для поиска подходящего правила введите часть его названия и кликните на иконку поиска . Для сброса условий поиска очистите поле ввода наименования правила и снова кликните на иконку поиска.

Также при клике на иконку установки фильтра можно задать дополнительную фильтрацию (см. рисунок 2).


Рисунок 2 -- Фильтрация правил корреляции

Выберите из списка статус правил корреляции (все, активные, выключенные) и нажмите кнопку "Применить", после чего в списке будут отображены только правила корреляции, удовлетворяющие установленным фильтрам.

Для добавления нового правила корреляции кликните на кнопку "Добавить новое правило", после чего откроется окно редактирования нового правила корреляции.

Для настройки параметров правила корреляции выберите правило из перечня. При клике на правило корреляции откроются свойства правила (см. рисунок 3).


Рисунок 3 -- Свойства правила корреляции.

На экране отображаются:

  • ползунок активации или деактивации правила корреляции;
  • кнопка "Перезапустить", клик по которой перезапустит правило корреляции;
  • кнопка "Дублировать", клик по которой сделает копию правила корреляции;
  • кнопка "Редактировать", которая откроет окно редактирования правила корреляции;
  • ID - идентификатор правила корреляции;
  • Создано - дата создания правила;
  • Изменено - дата последнего изменения правила;
  • Вид правила - может принимать значения "Визуальный конструктор" или "Скрипт Lua";
  • надпись с действием по конвертации правила в скрипт Lua (доступно только для правила, выполненного в виде визуального конструктора);
  • Тип инцидента - тип иницдента, связанного с правилом (может быть изменено);
  • Описание правила (необязательное поле);
  • Фильтры потока событий - подключенные к правилу фильтры потока событий;
  • Ретроспективное - такое правило обрабатывает уже существующие исторические события;
  • Сбор метрик;
  • Ограничение памяти (в мегабайтах) для правила;
  • вкладки с информацией по работе правила корреляции.

Включенное правило корреляции начинает работать сразу же, результат работы правила отображается на вкладках с информацией по его работе.

При включении правила корреляции проверяются условия указания типа инцидента и фильтра потока событий.
Если хотя бы одно условие не выполнено, то при попытке активации правила появляется сообщение об ошибке (см. рисунок 4).


Рисунок 4 -- Ошибка активации правила корреляции.

Для установки типа инцидента кликните на иконку редактирования напротив текста "Тип инцидента" и в открывшемся окне (см. рисунок 5) выберите тип инцидента.

Рисунок 5 -- Выбор типа инцидента.

Напротив выбранного типа инцидента не будет отображаться кнопка "Выбрать", а будет отображен текст "Выбрано".

Для установки фильтров кликните на иконку редактирования напротив текста "Фильтры потока событий" и в открывшемся окне (см. рисунок 6) выберите необходимые фильтры.


Рисунок 6 -- Выбор фильтров потока событий.

В левой части отображены доступные фильтры, в правой - подключенные к правилу фильтры потока событий. Иконка позволяет привязать выбранный фильтр потока событий к правилу корреляции, иконка - отвязать фильтр от правила.

На вкладках с информацией о работе правила корреляции доступна информация: - Инциденты - перечень созданных инцидентов по результатам работы правила; - Результаты - результаты работы коррелятора; - Лог изменений - журнал изменений правила корреляции; - Лог ошибок - журнал ошибок отработки правила корреляции; - Метрики.

Вкладка "Инциденты" (см. рисунок 7) содержит перечень всех созданных уникальных инцидентов.


Рисунок 7 -- Вкладка "Инциденты"

При клике на кнопку "Показать инцидент" будет осуществлен переход к созданному правилом корреляции инциденту.

Вкладка "Результаты" (см. рисунок 8) содержит перечень срабатываний правила корреляции.


Рисунок 8 -- Вкладка "Результаты"

В таблице результатов доступны действия:

  • фильтрация результатов ( );
  • создание инцидента (кнопка "Создать инцидент") по выбранным результатам корреляции;
  • функция обновления перечня результатов ( );
  • удаление выбранных результатов (кнопка "Удалить");
  • удаление всех результатов (кнопка "Удалить всё").

При установке фильтров открывается окно фильтрации, содержащее три вкладки (см. рисунок 9):

  • вкладка "Фильтр", содержащая настройки фильтрации:
    • фильтр по дате срабатывания (текстовое поле, поиск идет по вхождению);
    • фильтр по уровню риска (выбирается из списка);
    • фильтр по действующим активам (выбирается из списка).
  • вкладка "Активы", на которой можно указать, по каким группам активов отобразить результаты срабатывания правил корреляции;
  • вкладка "Дополнительно", содержащая дополнительные параметры:
    • фильтр "Произошло после", задающий фильтрацию по дате событий после указанной даты;
    • фильтр "Произошло до", задающий фильтрацию по дате событий до указанной даты;
    • количество результатов на одной странице.


Рисунок 9 -- Фильтры вкладки "Результаты"

При установке фильтров доступны действия:

  • установка заданных фильтров кнопкой "Поиск";
  • отмена фильтрации кнопкой "Очистить";
  • сохранение условий фильтрации иконкой ;
  • восстановление условий фильтрации иконкой .

Кнопка "Показать событие" в таблице результатов позволяет просмотреть событие, которое было отобрано и обработано правилом (см. рисунок 10).


Рисунок 10 -- Просмотр события.

Кнопка "Инцидент" в таблице результатов отображается, если по результату не был создан инцидент. Кнопка позволяет создать инцидент по результату обработки. Если инцидент уже создан, то на кнопке будет отображен текст "Инцидент". При клике на эту кнопку будет осуществлен переход к созданному правилом корреляции инциденту.

Вкладка "Лог изменений" (см. рисунок 11) содержит дату изменения; имя пользователя, внесшего изменение; вид действия ; системное действие.


Рисунок 11 -- Вкладка "Лог изменений"

Вкладка "Лог ошибок" (см. рисунок 12) содержит график изменения количества ошибок при срабатывании правила корреляции.


Рисунок 12 -- Вкладка "Лог ошибок"

Вкладка "Метрики" (см. рисунок 13) содержит график обработки событий.


Рисунок 13 -- Вкладка "Метрики"

На вкладке доступны графики:

  • по уровню EPS;
  • по количеству занимаемой памяти;
  • по количеству накопленных событий в группере;
  • по времени выполнения.

Создание правила корреляции

При клике по кнопке "Добавить новое правило" откроется окно создания нового правила корреляции (см. рисунок 14).


Рисунок 14 -- Создание правила корреляции.

Выберите вид правила: с использованием визуального конструктора или без его использования. В первом случае для создания правила не используется скриптовый язык, само правило настраивается с помощью визуальных блоков. Для более гибкого описания правила отключите использование визуального конструктора. В этом случае правило необходимо будет описать с помощью скриптового языка Lua.

Любое правило, созданное с помощью визуального конструктора, можно сконвертировать в скрипт Lua.

Далее выберите инцидент с помощью кнопки "Выбрать" напротив его наименования и нажмите кнопку "Продолжить", после чего откроется окно редактирования правила.

Редактирование правила корреляции

При клике по кнопке "Редактирование" уже существующего правила корреляции или создании нового правила корреляции откроется окно его редактирования.

При редактировании правил корреляции во многих полях используется список, содержащий предопределенный набор полей. Описание этих полей представлено в разделе "Описание полей нормализации".

При редактировании и тестировании правил используется логлайн событий. Сами события можно просмотреть в разделе "Просмотр событий". Логлайн представляет из себя одну строчку записи "сырого" события из всего массива строк события.

Вид окна редактирования зависит от вида правила корреляции (визуальный конструктор или скрипт Lua). Одинаковыми будут общие элементы управления и параметры правила (см. рисунок 15).


Рисунок 15 -- Параметры правила корреляции

С помощью иконки можно изменить имя правила корреляции.

Кнопки "Сохранить" и "Удалить" позволяют, соответственно, сохранить или удалить правило корреляции.

Кнопка "Тестировать" запускает режим тестирования (см. рисунок 16).


Рисунок 16 -- Режим тестирования правила корреляции

Для запуска теста задайте параметры:

  • размер временного окна выполнения правила корреляции;
  • задержка отправки событий;
  • задержка работы групера.

После задания параметров нажмите кнопку "Запустить тест" и дождитесь выполнения теста и получения его результата (см. рисунок 17).


Рисунок 17 -- Результаты тестирования правила корреляции

По окончании тестирования нажмите кнопку "Закончить тестирование", чтобы выйти из режима тестирования.

Далее располагаются параметры, разбитые на группы:

  • формирование тестового набора данных;
  • фильтры данных;
  • макросы.

Формирование тестового набора данных

Тестовый набор данных содержит набор событий в формате JSON, подаваемых на вход правилу корреляции для проведения тестирования (см. рисунок 18).


Рисунок 18 -- Тестовый набор данных

Вставьте событие в строку логлайна и нажмите кнопку "Добавить логлайн в тестовый набор" после чего введенное событие будет добавлено к набору тестовых данных. В качестве тестового события берется набор данных в виде "сырого" события в формате JSON.

Иконка позволяет удалить событие из тестового набора данных

Фильтры данных

Фильтры отвечают за предфильтрацию логлайнов по правилам, описанным в настройке фильтра. По возможности переносите часть условий из правила в фильтр, это позволит более эффективно разбирать поток.

Управление фильтрами описано в разделе "Управление фильтрами потока событий.

К правилу корреляции можно добавить один или несколько фильтров (см. рисунок 19).


Рисунок 19 -- Перечень фильтров потока событий правила корреляции

С помощью иконки можно добавить фильтр потока событий, с помощью иконки - удалить фильтр из набора.

Макросы

Данная функция доступна только для правил с использованием скриптового языка Lua

Макросы - подключаемые модули, которые могут содержать как и переменные, так и расширять функционал с помощью функций. Импортируется как есть, целиком. Соответственно, если в макросе есть определение функции function test, то и использовать ее в правиле следует напрямую: test().

К правилу корреляции можно добавить один или несколько макросов (см. рисунок 20).

Для управления макросами при нажатии на кнопку "Действие" разворачивается перечень пунктов:

  • Экспортировать - позволяет экспортировать выбранные макросы в файл;
  • Импортировать - позволяет импортировать макросы из файла;
  • Удалить - позволяет удалить выбранные макросы;
  • Экспортировать всё - позволяет экспортировать все макросы в файл;
  • Удалить всё - позволяет удалить все макросы.


Рисунок 20 -- Перечень макросов правила корреляции

С помощью иконки можно добавить макрос, с помощью иконки - удалить макрос из набора.

Редактирование правила на основе скриптового языка Lua

В режиме разработки правила на основе скриптового языка Lua окно редактирования правила корреляции имеет вид, представленный на рисунке 21.


Рисунок 21 -- Вид правила с использованием языка Lua

Разработка текста правила корреляции рассмотрена в разделе "Описание редактора Lua для правил корреляции".

Редактирование правила корреляции с помощью конструктора

В режиме разработки правила с помощью конструктора окно редактирования правила корреляции имеет вид, представленный на рисунке 22.


Рисунок 22 -- Вид правила с использованием конструктора

В режиме конструктора для настройки правила доступны блоки:

  • настройка алерта;
  • настройка группировки;
  • действия;
  • конструктор условий.
Блок настройки алерта

Блок настройки алерта (см. рисунок 23) позволяет настроить реакцию на срабатывание правила корреляции.


Рисунок 23 -- Блок настройки алерта

Среди настроек блока алерта доступны параметры:

  • Создать результат при сработке правила - признак позволяет создать алерт при срабатывании правила корреляции;
  • Выбрать шаблон - действие позволяет заполнить параметры алерта из готового шаблона;
  • Создать инцидент - признак показывает, что при срабатывании правила корреляции будет создан инцидент;
  • Назначить инцидент пользователю - признак показывает, что при срабатывании правила корреляции и создании инцидента необходимо инцидент назначить пользователю;
  • Уровень риска - параметр задает уровень риска для алерта. Параметр задается пользователем самостоятельно, исходя из критичности события для инфраструктуры;
  • IP актива - в параметре выбирается из списка поле в качестве ip-адреса актива. Поле является обязательным для заполнения. Поле может являться частью сводной таблицы событий;
  • Hostname актива - в параметре выбирается из списка поле в качестве наименования хоста актива. Поле может являться частью сводной таблицы событий;
  • FQDN актива - в параметре выбирается из списка поле в качестве наименования домена актива. Поле может являться частью сводной таблицы событий;
  • MAC актива - в параметре выбирается из списка поле в качестве mac-адреса актива. Поле может являться частью сводной таблицы событий;
  • Логировать первое и последнее события -при установленном признаке логируются только первое и последнее события. При снятом - все события;
  • Логировать указанное количество событий - в параметре задается количество логируемых первых событий;
  • Шаблон - в параметре задается шаблон алерта (инцидента).

В качестве шаблона алерта используется предопределенный текст. Кроме самого текста в шаблон могут быть вставлены поля логлайна. Сами поля могут быть взяты из отдельных записей события:

  • .First - первый логлайн;
  • .Last - последний логлайн;
  • .Loglines - массив логлайнов событий;
  • .Meta - дополнительные поля.

Пример шаблонов:

Результат анализа

На рабочей станции {{ .First.observer.host.ip }} (FQDN: "{{ .First.observer.host.fqdn }}") обнаружена успешная попытка запуска HACK утилиты
На узле {{ .First.target.host.fqdn |}}, IP: {{ .First.target.host.ip  }} были зафиксированы многочисленные неуспешные попытки аутентификации от {{ .Meta.uniq_users }} уникальных УЗ
Блок группировки

Блок группировки (см. рисунок 24) позволяет задавать правила группировки событий и правила агрегации сгруппированных событий. Блок группировки может быть отключен признаком "Использовать группировку".

Группировка позволяет группировать однотипные события по выбранному полю. Внутри сгруппированных событий блок позволяет провести агрегацию по указанным полям. Платформа Радар подсчитывает количество уникальных полей агрегации внутри уникальных групп. В случае, если поле группировки и поле агрегации совпадают, Платформа Радар посчитает количество уникальных групп и количество уникальных значений в каждой группе.


Рисунок 24 -- Блок группировки

Среди настроек блока группировки доступны параметры:

  • Выбрать шаблон - действие позволяет заполнить параметры группировки из готового шаблона;
  • Группировать по - параметр задает одно или несколько выбираемых из списка полей группировки;
  • Агрегировать по - параметр задает одно или несколько выбираемых из списка полей агрегации;
  • Время события - параметр задает поле, в котором хранится время события;
  • Размер окна группировки - параметр задает время, в течение которого после срабатывания правила группировать входящие события;
  • Формат времени - параметр задает формат времени события, выбирается из списка;
  • Порог количества событий при срабатывании - параметр задает максимальное количество группируемых событий в рамках временного окна;
  • Агрегировать только уникальные события - параметр позволяет указать, группировать повторяющиеся события или нет.

Максимальное количество срабатываний правил корреляции в секунду задается глобальном параметре конфигурации: Кластер - Управление конфигурацией - Logmule2 - Максимальное количество сработок.

Блок действий

Необязательный блок действий (см. рисунок 25) задает операции с табличными списками (добавление или удаление записей, очистка табличных списков) при срабатывании правила корреляции. Табличные списки описаны в разделе "Управление табличными списками".


Рисунок 25 -- Блок действий

Можно добавить неограниченное количество действий через кнопку с меню "Добавить". Все действия выполняются последовательно, поэтому доступно перемещение действий вверх или вниз для выстраивания очередности выполнения действий. При необходимости действие можно удалить.

Действие "Установка значения в табличном списке". Для выполнения этого действия укажите параметры:

  • Табличный список - список, в котором устанавливается значение;
  • TTL - размер окна времени отбора в миллисекундах. События старше указанного времени не будут отбираться для установки значения. По умолчанию 0 - без ограничения;
  • Составной ключ - указывается значение ключа вручную или выбирается из поля события;
  • Колонка - указывается колонка для установки значения;
  • Значение - записываемое значение.

Действие "Удаление записи в табличном списке". Для выполнения действия укажите параметры:

  • Табличный список - cписок, в котором удаляется значение;
  • Составной ключ - указывается значение ключа вручную или выбирается из поля события.

Действие "Очистка табличного списка". Для выполнения действия укажите параметры:

  • "Табличный список" - очищаемый список.
Блок конструктора условий

Конструктор условий (см. рисунок 26) позволяет гибко настроить условия отбора событий. Блок является необязательным.


Рисунок 26 -- Блок конструктора условий

Конструктор представляет из себя набор правил в иерархическом виде. За перемещение условия вверх, вниз или выше, ниже по уровню иерархии отвечает иконка . Для перемещения зажмите левой кнопкой мыши условие и перетащите в нужное место.

Событие включается в отбор, когда выполнены условия в соответствии с заданной логикой. В условиях задается сравнение выбранного поля с указанным значением. При сравнении используются операторы (для каждого оператора доступно отрицание):

  • равно - проверяется полное равенство поля указанному значению. При равенстве поля значению условие считается выполненным. В качестве значения указывается введенное вручную значение или значение выбранного поля.
  • равно (без регистра) - проверяется равенство поля указанному значению. При этом не учитывается регистр для строковых значений. При равенстве поля значению условие считается выполненным. В качестве значения указывается введенное вручную значение или значение выбранного поля.
  • существует - проверяется существование поля. При существовании поля условие считается выполненным.
  • равно значению в массиве - осуществляется поиск указанного значения поля в массиве. При успешном поиске условие считается выполненным.
  • элемент массива имеет подстроку - проверяется вхождение значения поля в указанный вручную массив. При вхождении значения поля в массив условие считается выполненным.
  • элемент массива начинается с - проверяется вхождение значения поля в начало строки каждого элемента массива. При вхождении значения поля в массив условие считается выполненным.
  • элемент массива заканчивается на - проверяется вхождение значения поля в конец строки каждого элемента массива. При вхождении значения поля в массив условие считается выполненным.
  • имеет подстроку - проверяется вхождение указанной в значении подстроки в выбранное поле. При вхождении подстроки в поле условие считается выполненным. В качестве подстроки указывается введенное вручную значение или значение выбранного поля.
  • проходит regexp - проверяется проверка соответствия поля регулярному выражению, указанному в значении. При соответствии условие считается выполненным. В качестве регулярного выражения указывается введенное вручную значение или значение выбранного поля.
  • больше - проверяется сравнение поля и указанного значения. Если поле больше значения, условие считается выполненным. В качестве значения указывается введенное вручную значение или значение выбранного поля.
  • больше или равно - проверяется сравнение поля и указанного значения. Если поле больше или равно значению, условие считается выполненным. В качестве значения указывается введенное вручную значение или значение выбранного поля.
  • меньше - проверяется сравнение поля и указанного значения. Если поле меньше значения, условие считается выполненным. В качестве значения указывается введенное вручную значение или значение выбранного поля.
  • меньше или равно - проверяется сравнение поля и указанного значения. Если поле меньше или равно значению, условие считается выполненным. В качестве значения указывается введенное вручную значение или значение выбранного поля.
  • начинается с - проверяется наличие указанного значения в начале значения поля. Если указанное значение находится в начале поля, то условие считается выполненным.
  • заканчивается на - проверяется наличие указанного значения в конце значения поля. Если указанное значение находится в конце поля, то условие считается выполненным.

На каждом уровне иерархии можно добавить одно из трех условий.

Условие "Поле события". Добавляет проверку с полем события (см. рисунок 27).


Рисунок 27 -- Проверка с полем события

Условие добавляет в набор условий проверку отдельного поля события. Для этого настраиваются параметры:

  • Поле события - выбираемое из списка поле события, по которому проводится проверка;
  • Оператор- оператор сравнения;
  • прочие параметры в зависимости от выбранного оператора.

Условие "Поле табличного списка". Добавляет проверку с полем табличного списка (см. рисунок 28).


Рисунок 28 -- Проверка с полем табличного списка

Условие добавляет в набор условий проверку отдельного поля табличного списка. Для этого настраиваются параметры:

  • Табличный список - выбираемый из списка табличный список;
  • Колонка - колонка табличного списка;
  • Получить количество записей - параметры действий с табличным списком с применением оператора и заданием значения;
  • Оператор или условия поиска (значение или поле события);
  • прочие параметры в зависимости от выбранного оператора.

Условие "Группа". Добавляет группировку для нескольких условий (см. рисунок 29).


Рисунок 29 -- Группировка условий

При группировке условий применяется объединение:

  • И - в этом случае группа условий выполняется и событие отбирается, если выполнены все условия в группе условий;
  • ИЛИ - в этом случае группа условий выполняется и событие отбирается, если выполнено хотя бы одно условие в группе условий.

Также доступно отрицание результата объединения условий в группу.

Управление табличными списками

Создание нового табличного списка

При клике на кнопку "Создать новое хранилище" откроется форма ввода параметров для нового хранилища (см. рисунок 30).


Рисунок 30 -- Создание нового хранилища.

При создании хранилища задайте параметры:

  • Наименование хранилища (произвольное).
  • Описание (произвольное).
  • Чекбокс "Под большой объем данных?" необходим если предполагается, что объем данных будет больше миллиона записей. При этом будет использоваться другой механизм работы с данными.
  • Схема данных - в схеме через запятую задаются столбцы с данными. Тип может быть указан строчный (string), целочисленный (integer, bigint), вещественное число с переменной точностью (double), для IP-адресов (IP), для подсетей IPv4 и IPv6 (CIDR). Поле "Ключ?" используется для обеспечения уникальности значения.
  • Чекбокс "Скрыть данные?" необходим, если предполагается, что данные в интерфейсе Платформы Радар необходимо отображать в маскированном виде.

Управление табличным списком

При клике на иконку просмотра табличного списка откроется его содержимое (см. рисунок 31).


Рисунок 31 -- Просмотр табличного списка.

Для табличного списка доступны действия:

  • добавление нового значения;
  • действия с документами;
  • установка фильтра;
  • массовые действия;
  • выбор строки;
  • редактирование отдельной строки;
  • удаление отдельной строки.

При добавлении нового значения откроется форма ввода нового значения (см. рисунок 32).


Рисунок 32 -- Добавление нового значения.

В поле "TTL" устанавливается дата, до наступления которой запись табличного списка будет действительна.

Для каждой строки табличного списка автоматически задается значение поля "ID".
Для полей со значением "Ключ" с параметром "Да" (см. раздел "Создание нового табличного списка"), необходимо соблюдать уникальность значений. Также необходимо соблюдать уникальность значений поля "ID" при импорте списка данных. При создании новой записи в табличном списке необходимо заполнять все значения полей с пометкой "Ключ".

По клику на кнопку "Действия с документами" доступна загрузка и выгрузка табличного списка. Доступные форматы для выгрузки и загрузки: CSV, Excel, JSON.

Важно! При импорте документа в нём должны присутствовать все поля табличного списка (включая поле «ID»).

При установке фильтра Фильтр откроется строка "Найти совпадение" с установкой фильтра по ID и значению (см. рисунок 33).

Кнопка "Показать все" позволяет сбросить фильтр.


Рисунок 33 -- Фильтр табличного списка.

В строке "Сгруппировать" можно установить фильтр группировки столбцов по возрастанию или убыванию (см. рисунок 34).


Рисунок 34 -- Группировка табличного списка.

Если в табличном списке есть поле с типом данных IP, то появляется вкладка фильтра "Проверить подсеть", где, указав столбец и подсеть, можно проверить принадлежность подсети к выбранному столбцу (см. рисунок 35).


Рисунок 35 -- Проверка подсети.

Если в табличном списке есть поле с типом данных CIDR, то появляется вкладка фильтра "Проверить IP", где, указав столбец и IP-адрес, можно проверить IP-адрес на принадлежность к выбранному столбцу (см. рисунок 36).


Рисунок 36 -- Проверка IP.

В массовых действиях доступно удаление выбранных или всех строк.
При редактировании отдельной строки отобразится та же форма, что и при добавлении нового значения (см. рисунок 32).

Управление фильтрами потока событий

Перечень фильтров потока событий представлен на рисунке 37.

Для управления фильтрами потока событий при нажатии на кнопку "Действие" разворачивается перечень пунктов:

  • Экспортировать - позволяет экспортировать выбранные фильтры в файл;
  • Импортировать - позволяет импортировать фильтры из файла;
  • Удалить - позволяет удалить выбранные фильтры;
  • Экспортировать всё - позволяет экспортировать все фильтры в файл;
  • Удалить всё - позволяет удалить все фильтры.


Рисунок 37 -- Перечень фильтров потока событий

В перечне доступна фильтрация по наименованию фильтра. Для поиска подходящего фильтра введите часть его названия и кликните на иконку поиска . Для сброса условий поиска очистите поле ввода наименования фильтра и снова кликните на иконку поиска.

Для добавления нового фильтра кликните на кнопку "Добавить новый фильтр потока" и введите наименование добавляемого фильтра. Новый фильтр потока будет добавлен в перечень (см. рисунок 38).


Рисунок 38 -- Добавление нового фильтра потока

При добавлении фильтра потока событий будут отображены его параметры.

В параметрах задается:

  • имя фильтра потока (можно указать любое);
  • иконка удаления фильтра потока событий ;
  • кнопка сохранения параметров фильтра потока событий;
  • уровни фильтрации.

Для добавления уровня фильтрации выберите поле из списка, затем выберите один из операторов сравнения:

  • eq - cравнивает поле со значением;
  • in - проверяет вхождение поля в список значений;
  • substr - проверяет, входит ли значение в поле.

Для оператора можно установить признак отрицания, в результате чего смысл проверки поменяется на противоположный (операция неравенства и отсутствия вхождения).

Введите вручную значение, с которым сравнивать, после чего кликните кнопку "Добавить уровень фильтрации", после чего уровень фильтрации будет добавлен (см. рисунок 39).


Рисунок 39 -- Уровни фильтрации

Для каждого уровня доступны действия:

  • Перемещение на уровень выше или ниже иконкой . Фильтры потока событий будут применяться в порядке установленной очередности.
  • Редактирование иконкой .
  • Удаление иконкой . Уровень удаляется без предупреждения.

Платформа Радар позволяет менять одновременно несколько фильтров. При переходе от настроек одного фильтра потока к настройкам другого фильтра внесенные изменения сохраняются. После окончания внесения изменений сохраните их кликом по кнопке "Сохранить".

Внимание!!! Если не сохранить настройки, то при переходе к другому разделу или странице Платформы Радар изменения не будут сохранены.

В результате работы фильтра потока события будут отбираться в соответствии с настроенными уровнями фильтрации. В отбор будут попадать события, удовлетворяющие всем уровням фильтрации.

Управление макросами

Чтобы увидеть перечень макросов необходимо перейти Коррелятор - Макросы (см. рисунок 40).


Рисунок 40 -- Перечень макросов

В перечне доступна фильтрация по наименованию макроса. Для поиска подходящего макроса введите часть его названия и кликните на иконку поиска . Для сброса условий поиска очистите поле ввода наименования макроса и снова кликните на иконку поиска.

Для добавления нового макроса кликните на кнопку "Добавить новый макрос" и введите наименование добавляемого макроса. Новый макрос будет добавлен в перечень.

Для редактирования макроса выберите его в списке и нажмите кнопку "Редактировать" (см. рисунок 41).


Рисунок 41 -- Параметры макроса

В режиме редактирования доступно изменение имени макроса и его текста (см. рисунок 42).


Рисунок 42 -- Редактирование макроса

В режиме редактирования доступны действия сохранения изменений и удаления макроса.

Ретроспективная корреляция

Платформа Радар позволяет осуществлять проверку гипотез на основе исторических данных, хранимых в системе. Для осуществления ретроспективного анализа можно использовать как существующие правила корреляции, так и вновь созданные. Для перевода правила в режим ретроспективного анализа необходимо изменить ключ очереди, на которую подписывается правило и создать задачу по ретроспективному анализу. Рассмотрим работу в режиме ретроспективного анализа на примере существующего правила. В примере будет использовано правило "Event_logs_cleared".

В разделе Коррелятор - Правила найти нужное правило и в настройках установить признак ретроспективной корреляции.

Далее необходимо создать задачу по ретроспективному анализу. Для этого нужно перейти в раздел Коррелятор - Ретроспективная корреляция (см. рисунок 43).


Рисунок 43 -- Ретроспективная корреляция.

На странице создания задач по ретроспективному анализу необходимо указать следующие параметры параметры:

  • Период - указать значения начала и конца необходимого промежутка времени, в котором будет проводиться анализ;
  • Название задачи - указать имя задачи для ее идентификации в списке задач;
  • Правило - выбрать правило ретроспективной корреляции для задачи, по которому будет проведена корреляция ретроспективных данных;
  • Индекс - указать индексы событий, по которым необходимо произвести анализ (поддерживается wildcard символ "*").

После настройки параметров необходимо нажать кнопку "Создать задачу".

После выполнения вышеописанных действий система запустит созданную задачу с указанными параметрами.

Управление шаблонами

Платформа Радар позволяет управлять двумя видами шаблонов: шаблоны алертов, шаблоны группировки.

Шаблоны алертов

Перечень шаблонов алертов представлен на рисунке 44.


Рисунок 44 -- Перечень шаблонов алертов

В перечне доступна фильтрация по наименованию шаблона. Для поиска подходящего шаблона введите часть его названия и кликните на иконку поиска . Для сброса условий поиска очистите поле ввода наименования шаблона и снова кликните на иконку поиска.

Для добавления нового шаблона кликните на кнопку "Добавить шаблон". Во вновь открывшемся окне (см. рисунок 45) введите параметры шаблона алертов:

  • Название - название нового шаблона алерта.
  • Создать инцидент - при срабатывании правила корреляции будет создан инцидент.
  • Назначить инцидент пользователю - при срабатывании правила корреляции и создании инцидента необходимо инцидент назначить пользователю.
  • Уровень риска - задает уровень риска для алерта. Параметр задается пользователем самостоятельно, исходя из критичности события для инфраструктуры.
  • IP актива - выбирается из списка поле в качестве ip-адреса актива. Поле является обязательным для заполнения. Поле может являться частью сводной таблицы событий.
  • Hostname актива - выбирается из списка поле в качестве наименования хоста актива. Поле может являться частью сводной таблицы событий.
  • FQDN актива - выбирается из списка поле в качестве наименования домена актива. Поле может являться частью сводной таблицы событий.
  • MAC актива - выбирается из списка поле в качестве mac-адреса актива. Поле может являться частью сводной таблицы событий.
  • Логировать первое и последнее события - при установленном признаке логируются только первое и последнее события. При снятом - все события.
  • Логировать указанное количество событий - в параметре задается количество логируемых первых событий.
  • Шаблон - в параметре задается шаблон алерта (инцидента).


Рисунок 45 -- Создание шаблона алерта

В качестве шаблона алерта используется предопределенный текст. Кроме самого текста в шаблон могут быть вставлены поля логлайна. Сами поля могут быть взяты из отдельных записей события:

  • .First - первый логлайн.
  • .Last - последний логлайн.
  • .Loglines - массив логлайнов событий.
  • .Meta - дополнительные поля.

Пример шаблонов:

Результат анализа

На рабочей станции {{ .First.observer.host.ip }} (FQDN: "{{ .First.observer.host.fqdn }}") обнаружена успешная попытка запуска HACK утилиты
На узле {{ .First.target.host.fqdn |}}, IP: {{ .First.target.host.ip  }} были зафиксированы многочисленные неуспешные попытки аутентификации от {{ .Meta.uniq_users }} уникальных УЗ

Чтобы изменить шаблон, выберите его из перечня (см. рисунок 44). В правой половине экрана появятся параметры шаблона. Внесите изменения в параметры и нажмите кнопку "Сохранить".

Для удаления шаблона нажмите кнопку "Удалить".

Шаблоны группировки

Перечень шаблонов группировки представлен на рисунке 46.


Рисунок 46 -- Перечень шаблонов группировки

В перечне доступна фильтрация по наименованию шаблона. Для поиска подходящего шаблона введите часть его названия и кликните на иконку поиска . Для сброса условий поиска очистите поле ввода наименования шаблона и снова кликните на иконку поиска.

Для добавления нового шаблона кликните на кнопку "Добавить шаблон". Во вновь открывшемся окне (см. рисунок 47) введите параметры шаблона группировки:

  • Название - название нового шаблона алерта.;
  • Группировать по - параметр задает одно или несколько выбираемых из списка полей группировки;
  • Агрегировать по - параметр задает одно или несколько выбираемых из списка полей агрегации;
  • Время события - параметр задает поле, в котором хранится время события;
  • Размер окна группировки - параметр задает время, в течение которого после срабатывания правила группировать входящие события;
  • Формат времени - параметр задает формат времени события, выбирается из списка;
  • Порог количества событий при срабатывании - параметр задает максимальное количество группируемых событий в рамках временного окна;
  • Агрегировать только уникальные события - параметр позволяет указать, группировать повторяющиеся события или нет.

Максимальное количество срабатываний правил корреляции в секунду задается глобальном параметре конфигурации: Кластер - Управление конфигурацией - Logmule2 - Максимальное количество сработок.


Рисунок 47 -- Создание шаблона группировки

Чтобы изменить шаблон, выберите его из перечня (см. рисунок 46). В правой половине экрана появятся параметры шаблона. Внесите изменения в параметры и нажмите кнопку "Сохранить".

Для удаления шаблона нажмите кнопку "Удалить".