Перейти к содержанию

Табличные списки

Общие данные

Табличные списки (Rapid Value Store), являются видом активного хранилища -- автоматически изменяемого, в зависимости от условий.

Табличные списки могут использоваться для следующих целей:

  • для обращения к справочным данным;
  • для дополнительной фильтрации при работе с обогащением из таких источников как: Active Directory, Активы;
  • для добавления идентификаторов активов и пользователей в "карантин", для исключения повторных "сработок" правил до решения инцидента;
  • для реализации механизма "черных" и "белых" списков.

Хранилища могут быть созданы вручную и автоматически. Автоматическое создание хранилища включает в себя следующие способы:

  • посредством обработки событий от источника "Kaspersky-SecurityCenter-db-host-activity" и правила "AV_KES_Hosts with old bases and without workable antivirus";
  • посредством исполнения скриптов, получающих информацию из Active Directory активов Платформы.

Табличные списки поддерживают следующие типы полей:

  • string - указывается строка;
  • integer - указывается целое число;
  • bigint - указывается целое число произвольной точности;
  • double - указывается целое или дробное число с двойной точностью;
  • IP - указывается IP-адрес,
  • CIDR - указывается IP-адрес подсети.

При написании правил корреляции для их вызова в коде правила необходимо использовать функцию RVS.

Для работы с табличными списками перейдите в раздел КорреляторТабличные списки и выберите хранилище из списка (см. рисунок 1).

*Рисунок 1 -- Раздел "Табличные списки"

Набор отображаемых данных формируется в зависимости от настроек выбранного табличного списка.

Значком отмечены поля, которые являются "ключами" для формирования уникального идентификатора записи (поле _id). По этому идентификатору правила будут обращаться к нужной записи из табличного списка. Признак "ключа" указывается для поля на этапе создания табличного списка. Необходимо соблюдать уникальность поля _id.

Создание табличного списка

  1. Нажмите кнопку Создать табличный список. Откроется окно "Создание табличного списка" (см. рисунок 2).

    Рисунок 2 -- Окно "Создание табличного списка"

  2. Укажите в окне следующую информацию:

    • в поле Название укажите название табличного списка;
    • в поле Описание укажите дополнительные сведения о табличном списке;

    • в блоке Схема данных настройте поля табличного списка:

      • в поле Название укажите название поля схемы данных;
      • в поле Тип из выпадающего списка выберите тип поля: string, integer, bigint, double, IP, CIDR;
      • в поле Ключ при необходимости установите признак "ключ". Ключ служит для формирования уникального идентификатора записи табличного списка;
      • добавьте необходимое количество полей в схему данных табличного списка. Для этого нажмите кнопку Добавить.

  3. Нажмите кнопку Сохранить.

Работа с записями табличного списка

Добавление записи

  1. Выберите табличный список и нажмите кнопку Добавить запись. Откроется окно "Создание записи" (см. рисунок 3).

    Рисунок 3 -- Окно "Создание записи"

  2. Окно "Создание записи" формируется в зависимости от настроенной схемы данных табличного списка. Укажите в окне соответствующие данные.

  3. В поле ttl укажите дату, до наступления которой запись табличного списка будет действительна;
  4. Нажмите кнопку Сохранить.

Редактирование записи

  1. Выберите из списка необходимый табличный список, найдите нужную запись и в соответствующей строке нажмите кнопку .
  2. Внесите необходимые изменения.
  3. Нажмите кнопку Сохранить.

Дублирование записи

  1. Выберите из списка необходимый табличный список, найдите нужную запись и в соответствующей строке нажмите кнопку .
  2. При необходимости укажите в окне необходимую информацию.
  3. Нажмите кнопку Сохранить.

Экспорт записей

Платформа позволяет экспортировать записи табличного списка в файлы следующих форматов:

  • csv;
  • xlsx;
  • json.

Для экспорта записей выполните следующие действия:

  1. Выберите из списка необходимый табличный список и нажмите кнопку Экспортировать все.
  2. Из выпадающего списка выберите формат, в который необходимо экспортировать записи.
  3. В открывшемся окне нажмите кнопку Сохранить и укажите путь для сохранения файла.

Импорт записей

  1. Выберите из списка необходимый табличный список и нажмите кнопку Импортировать. Откроется окно "Импортировать" (см. рисунок 4).

    Рисунок 4 -- Импорт записей табличного списка

  2. В открывшемся окне укажите путь к файлу с записями.

  3. Если необходимо перезаписать данные в табличном списке, то включите соответствующий переключатель.
  4. Нажмите кнопку Импортировать.

Удаление записи

  1. Выберите из списка необходимый табличный список, найдите нужную запись и в соответствующей строке нажмите кнопку .
  2. Подтвердите удаление в открывшемся окне.
  3. Запись будет удалена из табличного списка.

Массовое удаление записей

Массовое удаление записей можно выполнить двумя способами.

Способ 1:

  1. Выберите из списка необходимый табличный список и установите флаги напротив нужных записей.
  2. Нажмите кнопку Удалить.
  3. Подтвердите удаление в открывшемся окне.
  4. Выбранные записи будут удалены из табличного списка.

Способ 2:

  1. Выберите из списка необходимый табличный список и нажмите кнопку Удалить все.
  2. Подтвердите удаление в открывшемся окне.
  3. Все записи будут удалены из табличного списка.

Редактирование табличного списка

  1. Выберите из списка необходимый табличный список и нажмите кнопку Редактировать.
  2. Внесите необходимые изменения.
  3. Нажмите кнопку Сохранить.

Дублирование табличного списка

  1. Выберите из списка необходимый табличный список и нажмите кнопку Дублировать. Откроется окно "Дублирование табличного списка" (см. рисунок 5).

    Рисунок 5 -- Окно "Дублирование табличного списка"

  2. Укажите в окне наименование табличного списка.

  3. Нажмите кнопку Сохранить.

Импорт табличных списков

  1. Нажмите на кнопку и из выпадающего списка выберите пункт Импортировать.
  2. В открывшемся окне укажите путь к архиву с табличными списками.
  3. Нажмите кнопку Открыть.

Экспорт табличных списков

  1. Нажмите на кнопку и из выпадающего списка выберите пункт Экспортировать все.
  2. Будет сформирован архив с табличными списками в формате .zip.
  3. Нажмите кнопку Скачать и укажите путь для сохранения архива.

Удаление табличного списка

  1. Выберите из списка необходимый табличный список и в рабочей области нажмите кнопку Удалить.
  2. Подтвердите удаление в открывшемся окне.
  3. Табличный список будет удален из платформы.

Массовые действия над табличными списками

Над табличными списками доступны следующие массовые действия:

  • Экспортировать - экспорт выбранных табличных списков;
  • Удалить - удаление выбранных табличных списков;
  • Удалить все - удаление всех табличных списков.

Для выполнения массового действия выполните следующие шаги:

  1. Нажмите на кнопку . Откроется список массовых операций и флаги для выбора табличных списков (см. рисунок 6).

    Рисунок 6 -- Массовые действия над табличными списками

  2. Выберите табличные списки.

  3. Нажмите на соответствующую кнопку действия.
  4. Завершите действие в открывшемся окне.