Перейти к содержанию

Работа с интеграцией RT Protect EDR

После настройки интеграции с RT Protect EDR в платформе станут доступны следующие возможности:

  • Правила корреляции:

    • настройка активных действий, которые необходимо выполнить при "сработке" правила;
    • просмотр добавленных в правило корреляции активных действий.

  • Активы:

    • выполнение активных действий по связанным интеграциям;
    • просмотр журнала выполненных действий на активе.

  • Инциденты – просмотр журнала выполненных действий по инциденту;

  • Интеграции – просмотр журнала выполненных действий по интеграции.

Работа с правилами корреляции

Настройка правила корреляции. Добавление активных действий

  1. Начните процесс создания/редактирования правила корреляции.

    Примечание: функции по настройке активных действий доступны как и при создании с помощью визуального конструктора, так и без него.

  2. Перейдите на вкладку Интеграции (см. рисунок 1).

    Рисунок 1 – Конструктор правила корреляции. Вкладка "Интеграции"

  3. Нажмите кнопку Создать. Откроется окно "Действия интеграции" (см. рисунок 2-3).

    Рисунок 2 – Настройка действия интеграции с дополнительными параметрами

    Рисунок 3 – Настройка действия интеграции без дополнительных параметров

  4. В открывшемся окне выберите действие.

  5. В зависимости от выбранного действия поля формы будут автоматически изменены для настройки действия:

    • Для действий Завершить процесс по PID, Заблокировать порт, Заблокировать входящий траффик с IP укажите следующие сведения:

      • в поле Параметр укажите соответствующий параметр: идентификатор процесса, порт или IP-адрес. При необходимости можно выбрать параметр из полей таксономии. Для этого установите переключатель Из полей таксономии в положение "Включен" и в поле Параметр из выпадающего списка выберите поле события;
      • в поле Стратегия выберите стратегию передачи событий в правиле: передавать только первое событие в интеграцию или последнее;
      • нажмите кнопку Сохранить.

    • Для действий не требующих дополнительных настроек, нажмите кнопку Сохранить.

  6. Активируйте добавленное действие. Для этого в графе Статус установите переключатель в положение "Включен".

  7. Добавьте необходимое количество активных действий.
  8. Завершите процесс создания/редактирования правила корреляции.

Просмотр действий интеграции

Для просмотра добавленных в правило действий интеграции откройте его на просмотр и перейдите на вкладку "Интеграции" (см. рисунок 4).

Рисунок 4 – Просмотр правила корреляции. Вкладка "Интеграции"

На вкладке отображается следующая информация:

  • Действие – наименование действия;
  • Статус – состояние действия: Активно, Неактивно;
  • Создано – дата и время добавления действия в правило корреляции;
  • Обновлено – дата и время изменения информации о действии в правиле корреляции.

На вкладке доступны следующие элементы управления:

Кнопка Описание
Создать Добавление действия в правило
Изменение дейтсвия
Экспортировать Экспорт выбранных действий в zip архив
Экспортировать все Экспорт всех действий в zip архив
Экспортировать выбранные в csv Экспорт выбранных действий в формат csv
Экспортировать в csv Экспорт всех действий в формат csv
Импортировать Импорт действий в правило
Удаление действия из правила
Удалить Удаление выбранных действий из правила
Удалить все Удаление всех действий из правила

Работа с активами

Просмотр связей с интеграциями и журнала выполненных действий

Откройте актив на просмотр (см. рисунок 5).

Рисунок 5 – Просмотр актива

При интеграции с системой RT Protect EDR при анализе актива доступен просмотр следующей дополнительной информации:

  • Блок Связи с интеграциями – просмотр информации о связанных интеграциях:

    • Интеграция – наименование интеграции;
    • Тип интеграции – наименование типа интеграции;
    • URL – URL адрес API сервера.

  • Блок Логи выполненных действий – просмотр журнала выполненных действий на активе:

    • Команда – наименование выполненного действия;
    • Параметры – информация о параметрах выполненного действия;
    • Выполнено – дата и время выполнения действия;
    • Кем выполнено – информация об инициаторе выполнения действия, например правило корреляции или пользователь;
    • Интеграция – наименование интеграции, в рамках которой было выполнено действие;
    • Актив – наименование актива, на котором выполнено действие;
    • Дата старта – дата и время запуска исполнения действия;

    • Код возврата – ответ, полученный при выполнении действия:

      • 0 – успешный ответ;
      • 1 – при выполнении действия возникли ошибки.

      Для просмотра результата выполнения действия нажмите кнопку в соответствующей строке. Откроется окно "Результат" (см. рисунок 6).

      Рисунок 6 – Окно "Результат"

Выполнение активных действий на активе

  1. Откройте актив на просмотр (см. рисунок 5).

  2. В блоке Связи с интеграциями нажмите кнопку Выполнить действие. Откроется окно "Выполнить действие" (см. рисунок 7).

    Рисунок 7 – Окно "Выполнить действие"

  3. Выполните в окне следующие действия:

    • в поле Интеграция выберите необходимую интеграцию с RT Protect EDR;
    • в поле Активные действия из выпадающего списка выберите действие, которое необходимо выполнить. Поля формы будут автоматически изменены для настройки выбранного действия;
    • при необходимости укажите дополнительные параметры, например идентификатор процесса, IP-адрес или порт;
    • нажмите кнопку Выполнить.

Работа с инцидентами

Откройте инцидент на просмотр (см. рисунок 8).

Рисунок 8 – Просмотр инцидента

При интеграции с системой RT Protect EDR при анализе инцидента в блоке Логи выполненных действий доступен просмотр следующей дополнительной информации:

  • Команда – наименование выполненного действия;
  • Параметры – информация о параметрах выполненного действия;
  • Актив – наименование актива, на котором выполнено действие;
  • Дата старта – дата и время запуска исполнения действия;
  • Выполнено – дата и время выполнения действия;
  • Кем выполнено – информация об инициаторе выполнения действия, например правило корреляции или пользователь;
  • Интеграция – наименование интеграции, в рамках которой было выполнено действие;

  • Код возврата – ответ, полученный при выполнении действия:

    • 0 – успешный ответ;
    • 1 – при выполнении действия возникли ошибки.

    Для просмотра результата выполнения действия нажмите кнопку в соответствующей строке. Откроется окно "Результат" (см. рисунок 6).

Просмотр журнала выполнения действий по интеграции

Для просмотра журнала выполнения действий по конкретной интеграции перейдите в раздел ПараметрыИнтеграции, откройте интеграцию на просмотр и перейдите на вкладку "Логи выполненных действий" (см. рисунок 9).

Рисунок 9 – Просмотр интеграции. Вкладка "Логи выполненных действий"

На вкладке отображается следующая информация:

  • Актив – наименование актива, на котором выполнено действие;
  • Команда – наименование выполненного действия;
  • Параметры – информация о параметрах выполненного действия;
  • Выполнено – дата и время выполнения действия;
  • Кем выполнено – информация об инициаторе выполнения действия, например правило корреляции или пользователь;
  • Интеграция – наименование интеграции, в рамках которой было выполнено действие;
  • Дата старта – дата и время запуска исполнения действия;

  • Код возврата – ответ, полученный при выполнении действия:

    • 0 – успешный ответ;
    • 1 – при выполнении действия возникли ошибки.

    Для просмотра результата выполнения действия нажмите кнопку в соответствующей строке. Откроется окно "Результат" (см. рисунок 6).