Перейти к содержанию

Работа с отчетами

Система позволяет выполнять все работы с отчетами и дашбордами в пользовательском веб-интерфейсе

Общие данные об отчетах

Раздел "Отчеты" предназначен для формирования отчетов типа «дашборд» для наглядной визуализации информации по рабочим метрикам системы.

Отчеты создаются один раз за отчетный период. Отчетные периоды - последовательные интервалы времени, в рамках которых создаются отчеты. Длительность отчетного периода может быть разной. Все созданные отчеты доступны для скачивания для тех пользователей, которые имеют разрешения на данный отчет.

Важно! Режим редактирования отчетов, а соответственно функции управления отчетами и виджетами, доступны пользователям только с соответствующими правами.

Платформа Радар содержит два типа предустановленных отчетов: "Главная" и "Для печати".

Просмотр отчетов

Вывод отчета на экран

Для просмотра отчетов необходимо выполнить следующие действия (см. рисунок 1):

  1. Открыть раздел основного меню "Отчеты";
  2. В меню отчета в раскрывающемся списке "Выберите отчет" выбрать интересующий отчет, который отобразится в рабочей области раздела;
  3. При необходимости:

Рисунок 1 -- Просмотр отчета

Настройка временного интервала для отчета

При необходимости можно настроить временной интервал, за который отчет выбирает данные из баз данных.

Для этого необходимо выполнить следующие действия:

  1. Щёлкнуть по полю с диапазоном времени, расположенном над отчетом.

  2. В открывшемся календаре выбрать дату начал и дату конца временного диапазона (см. рисунок 2). Если необходимо указать один день, то два раза щелкнуть по нужному дню.


Рисунок 2 -- Установка дат начала и конца временного интервала выборки данных для отчета

  1. После установки дат откроется панель выбора времени для даты начала и конца временного интервала в формате ЧЧ.ММ.СС. Установить время для дат начала и конца временного интервала (см. рисунок 3).

Рисунок 3 -- Установка времени для дат начала и конца временного интервала выборки данных для отчета

После установки временного интервала в отчете отобразятся данные за указанный интервал.

Настройка обновления данных отчета

Над рабочей областью отчета расположена функция обновления данных отчета - поле с пиктограммой ( ). По умолчанию устанавливается режим ручного обновления. Обновление вручную производится при нажатии на пиктограмму.

Для автообновления выбрать временной интервал обновления в раскрывающемся списке:

  • 15с
  • 30с
  • 60с

Настройка отчета для печати

Перед началом печати отчета желательно сделать предпросмотр выводимого на печать материала. Для этого используются следующие средства раздела "Отчеты":

  • Кнопка "Переключить ширину" сжимает отчет до размера листа А4 для предварительного просмотра расположения виджетов отчета.

  • Кнопка "Перейти в отчет" открывает страницу отчета, подготовленную для печати стандартными средствами браузера. С помощью встроенных в браузер средств также можно сохранить отчет в формате PDF (см. рисунок 4).


Рисунок 4 -- Печать отчета и сохранение его в PDF

Назначение и описание предустановленных отчетов

Платформа Радар содержит два типа предустановленных отчетов: "Главная" и "Для печати".

Отчет "Главная" - это отчет, который по умолчанию выводится на главную страницу веб-интерфейса - Рабочий стол пользователя Платформы Радар (см. раздел "Описание интерфейса. Рабочий стол"). Предустановленная форма отчета включает в себя стандартный набор основных данных по инцидентам (см. рисунок 5):

  • Всего правил корреляции - количество правил корреляции.
  • Срабатывание правил корреляции - количество сработавших правил.
  • Всего активных правил корреляции - количество активных правил корреляции.
  • Количество активов - количество активов, на которых произошло срабатывание правил корреляции.
  • Количество инцидентов - количество зафиксированных инцидентов.
  • Событий всего - всего событий.
  • Средний EPS - число событий в секунду.
  • По статусам - круговая диаграмма распределения инцидентов по их статусам.
  • Инциденты по категории - столбчатая диаграмма распределения инцидентов по категориям.
  • Незакрытые инциденты по критичности - табличный список распределения инцидентов по критичности.
  • По источнику - табличный список распределения инцидентов по источникам.
  • CLOSED - количество закрытых инцидентов.
  • По типу категории и важности - табличный список распределения инцидентов по категории и важности.
  • Инциденты по уровню опасности - табличный список распределение инцидентов по уровню опасности.

При необходимости предустановленный состав данных в отчете "Главная" можно изменить.

Отчет "Главная", предустановленный состав полей отчета

Рисунок 5 -- Отчет "Главная", предустановленный состав полей отчета

Отчет "Для печати" - это отчет, в котором набор данных скомпонован для условий вывода на печать или просмотра в виде PDF-файла (под формат А4). Подробно вывод отчета на печать приведен выше в разделе "Настройка отчета для печати". Предустановленная форма отчета включает в себя следующий стандартный набор данных (см. рисунок 6):

  • Всего правил корреляции - количество правил корреляции.
  • Срабатывание правил корреляции - количество сработавших правил.
  • Всего активных правил корреляции - количество активных правил корреляции.
  • Количество активов - количество активов, на которых произошло срабатывание правил корреляции.
  • Количество инцидентов - количество зафиксированных инцидентов.
  • По статусам - круговая диаграмма распределения инцидентов по их статусам.
  • Инциденты по категории - столбчатая диаграмма распределения инцидентов по категориям.
  • Инциденты по уровню опасности - табличный список распределение инцидентов по уровню опасности.

При необходимости предустановленный состав данных в отчете "Для печати" можно изменить.

Отчет "Для печати", предустановленный состав полей отчета

Рисунок 6 -- Отчет "Для печати", предустановленный состав полей отчета

Управление отчетами

Закрепление отчета на рабочем столе

Для закрепления отчета на рабочем столе как отчета по умолчанию необходимо выполнить следующие действия (см. рисунок 7):

  1. Перейти в режим редактирования, установив флажок в поле "Режим редактирования".
  2. Выбрать отчет в списке текущих отчетов.
  3. Нажать на кнопку "Поставить на главную".
  4. Перейти в любой другой раздел интерфейса Платформы Радар.
  5. Вернуться в раздел "Отчеты" и убедится что в рабочей области раздела отображается заданный отчет.

Рисунок 7 -- Работа с отчетами в режиме редактирования

Дублирование отчета

Создание копии отчета со всеми виджетами предназначено для безопасного редактирования состава отчета.

Для дублирования отчёта необходимо выполнить следующие действия:

  1. Перейти в режим редактирования, установив флажок в поле "Режим редактирования".
  2. Выбрать отчет в списке текущих отчетов.
  3. Нажать на кнопку "Дублировать".
  4. Открыть список текущих отчетов. В списке должен появится дубль указанной отчета с пометкой copied (см. рисунок 8).

Рисунок 8 -- Дублирование отчета

Создание нового отчета

Для создания нового отчета необходимо выполнить следующие действия:

  1. Перейти в режим редактирования, установив флажок в поле "Режим редактирования".
  2. В блоке "Добавить новый отчет" указать название нового отчета и нажать на кнопку "Добавить".
  3. Выбрать вновь созданный отчет в списке текущих отчетов.
  4. Добавить в отчет необходимые виджеты, используя блок "Добавить новые виджеты":
  5. Нажать на кнопку "Сохранить изменения", расположенную под списком отчетов.

Работа с виджетами подробно приведена в разделе "Управление виджетами".

Редактирование отчета

Для редактирования отчета необходимо выполнить следующие действия:

  1. Перейти в режим редактирования, установив флажок в поле "Режим редактирования".
  2. При необходимости провести редактирование следующих параметров отчета:
    • изменить имя отчета в поле "Название";
    • отредактировать параметры виджетов в рабочей области;
    • изменить состав виджетов в отчете - удалить существующие или добавить новые виджеты.
  3. Нажать на кнопку "Сохранить изменения", расположенную под списком отчетов.

Работа с виджетами подробно приведена в разделе "Управление виджетами"*

Удаление отчета

Для удаления отчета с Платформы Радар необходимо выполнить следующие действия:

  1. Перейти в режим редактирования, установив флажок в поле "Режим редактирования".
  2. Выбрать отчет в списке текущих отчетов.
  3. Нажать либо на кнопку "Удалить", расположенную под списком текущих отчетов, либо на аналогичную кнопку, расположенную над рабочей областью.

Важно! Удаление отчета происходит без подтверждения удаления.

Управление виджетами

Внимание! Все действия по управлению виджетами в отчетах совершаются в режиме редактирования. Для этого необходимо установить флажок в поле "Режим редактирования".

Добавление нового виджета

Добавление в отчет нового виджета приведено ниже в разделе "Создание виджетов на основе сохраненных фильтров/запросов. Провайдеры".

Изменение положения виджета в отчете

Для изменения положения виджета на странице отчета необходимо:

  1. Выбрать в списке текущих отчетов необходимый отчет.
  2. Навести курсор мыши на виджет.
  3. Удерживая нажатой левую кнопку мыши перетащить виджет в другое место отчета.
  4. Для сохранения нового положения виджета в отчете нажать на кнопку "Сохранить изменения".

Изменение размеров виджета в отчете

Для изменения размеров виджета на странице отчета необходимо:

  1. Выбрать в списке текущих отчетов необходимый отчет.
  2. Навести курсор мыши на нижний правый угол виджета - .
  3. Удерживая нажатой левую кнопку перетащить правый нижний угол виджета и тем самым изменить его размер (см. рисунок 9).
  4. Для сохранения нового размера виджета в отчете нажать на кнопку "Сохранить изменения".

Рисунок 9 -- Изменение размера виджета

Редактирование параметров существующего виджета

Для редактирования параметров виджета на странице отчета необходимо:

  1. Выбрать в списке текущих отчетов необходимый отчет.

  2. В рабочей области выбрать нужный виджет и щелкнуть по соответствующей ему пиктограмме в левом нижнем углу виджета.

Откроется форма с параметрами данного виджета. Состав параметров формы аналогичен составу параметров формы создания нового виджета (см. раздел "Добавление в отчет нового виджета").

  1. Внести необходимые изменения в параметры виджета.

  2. Для внесения изменений в параметры виджета нажать на кнопку "Изменить", расположенную внизу формы с параметрами.

  3. Нажать на пиктограмму для принудительного обновления данных виджета после изменения его параметров.

Удаление виджета

Для удаления виджета со страницы отчета необходимо:

  1. Выбрать в списке текущих отчетов необходимый отчет.

  2. В рабочей области выбрать нужный виджет и щелкнуть по соответствующей ему пиктограмме в левом нижнем углу виджета.

Внести необходимые изменения в параметры виджета.

  1. Для внесения изменений в параметры виджета нажать на кнопку "Изменить".

Типы виджетов

Перечень типов виджетов

Перечень типов виджетов представлен в раскрывающемся списке "Тип" (см. рисунок 10).

Платформа Радар поддерживает следующие типы виджетов:

  • Численное значение;
  • Круговая диаграмма;
  • Столбчатая диаграмма;
  • Столбчатая диаграмма (stacked);
  • Линейная диаграмма;
  • Радар диаграмма;
  • Обручевая диаграмма;
  • Radial Area диаграмма;
  • Таблица;
  • Заголовок;
  • Абзац текста.


Рисунок 10 -- Типы виджетов

Численное значение

Данный виджет содержит в себе целое число из результата запроса к базе данных (см. рисунок 11).

Поддерживается провайдерами:

  • SIEM;
  • Коррелятор;
  • События;
  • Сохраненные фильтры.


Рисунок 11 -- Пример виджетов типа «Численное значение»

Круговая диаграмма

Тит виджета "Круговая диаграмма" (см. рисунок 12) поддерживается провайдерами:

  • SIEM;
  • Коррелятор;
  • События.


Рисунок 12 -- Пример виджета типа «Круговая диаграмма»

Столбчатая диаграмма

Тит виджета "Столбчатая диаграмма" (см. рисунок 13) поддерживается провайдерами:

  • SIEM;
  • Коррелятор;
  • События.

Пример виджета типа «Столбчатая диаграмма»

Рисунок 13 -- Пример виджета типа «Столбчатая диаграмма»

Таблица

Тит виджета "Таблица" (см. рисунок 14) поддерживается провайдерами: :

  • SIEM;
  • Коррелятор.

Рисунок 14 -- Пример виджета типа «Таблица»

Заголовок

Информационный виджет - отображает заранее сохраненный текст в настройках виджета (см. рисунок 15).

Рисунок 15 -- Пример виджета типа «Заголовок»

Создание виджетов на основе сохраненных фильтров/запросов. Провайдеры

Провайдеры. Общее описание

Платформа Радар в режиме редактирования отчетов (флажок "Редактирование отчета") поддерживает возможность создания новых виджетов:

  • на основе сохраненных фильтров;
  • на основе запросов к хранилищу данных.

У каждого из перечисленных выше провайдеров есть ограниченный набор своих типов «запросов».

Для провайдера на основе фильтра может быть использован запрос на такие данные как:

  • Инциденты;
  • Активы;
  • Результаты корреляции;
  • Правила корреляции;
  • События.

Для данных от провайдера на основе фильтра доступная визуализация только в рамках численного значения. В качестве провайдеров могут быть использованы фильтры созданные и сохраненные при работе с любым типом данных из вышеуказанного перечня. Например, фильтр, созданный и сохраненный в разделе интерфейса "Просмотр событий".

Для провайдера на основе запроса к хранилищу данных может быть использован запрос на такие данные как:

  • Инциденты;
  • Типы инцидентов;
  • Статусы инцидентов;
  • Уровни угрозы инцидентов;
  • Затронутые активы;
  • Затронутые группы активов;
  • Активы;
  • Правила;
  • Правила корреляции с небольшим количеством инцидентов;
  • Результаты;
  • Все события;
  • Средний поток событий;
  • Все события по источнику;
  • Все события по источнику, группировка по важности;
  • Все события с группировкой;
  • Все события с группировкой (счетчик);
  • Все события с группировкой (Stacked);
  • Все события с группировкой (счетчик по доп. группировке).

Добавление в отчет нового виджета

Для добавления нового виджета в отчет при создании отчета или редактировании необходимо:

  1. Выбрать в списке текущих отчетов необходимый отчет.

  2. В блоке "Добавить новый виджет" ввести в поле "Название" название нового виджета под которым он будет отображаться в отчете.

  3. Из раскрывающегося списка "Тип" выбрать тип нового виджета. Если далее в качестве провайдера будет использоваться фильтр, то надо выбрать тип данных "Численное значение".

  4. Выбрать провайдера данных для нового виджета - раскрывающийся список "Провайдер данных".

  5. В списке "Запрос" указать тип данных для создания виджета.

  6. Если в качестве провайдера был указан готовый запрос - то указать значение в строке "Поле", откорректировать данные, если это необходимо, и нажать кнопку "Добавить виджет" (см. рисунок 16).

  7. Если в качестве провайдера был указа фильтр, то выбрать нужный фильтр из предложенного списка, нажать кнопку "Загрузить фильтр", откорректировать данные, если это необходимо, и нажать кнопку "Добавить виджет".

Виджет с заданными характеристиками должен появится в отчете.

Добавление нового виджета

Рисунок 16 -- Добавление нового виджета