Перейти к содержанию

События

Примечание: начиная с версии 3.7.2 Платформа Радар выполняет постепенный переход на новый интерфейс. На данный момент в нем доступны разделы: Просмотр событий, Рабочие столы, Отчеты, Архив отчетов. Для перехода в новый интерфейс необходимо открыть боковое меню и выбрать раздел Просмотр событий.

Общие данные

Платформа Радар предоставляет большое количество информации о событиях информационной безопасности и удобные инструменты по их анализу:

  • просмотр потока событий в виде графика;
  • просмотр выделенного фрагмента потока событий в виде круговой диаграммы, таблицы или гистограммы;
  • просмотр детальной информации по каждому событию.

При рассмотрении событий пользователю предоставляется следующая информация:

  • id - уникальный идентификатор события;
  • этап разбора события. Может принимать следующие значения: Событие нормализовано, Событие разобрано, Событие не разобрано (подробнее см. раздел Этапы обработки события);
  • информация о полях события (подробнее см. раздел Описание полей).

По результатам анализа событий платформа предоставляет следующие возможности:

  • cоздание инцидента на основе анализа события;
  • добавление события в существующий инцидент;
  • быстрый переход к просмотру инцидента, в котором участвует событие.

Платформа предоставляет широкий набор инструментов для формирования списка событий:

  • фильтрация по следующим параметрам: по периоду, по этапам разбора события, по запросам к конкретным полям события, по агрегациям;
  • пресеты - вы можете сохранить часто используемые условия фильтрации как пресет;
  • поиск по значениям полей события;
  • фильтрация по выбранным полям просматриваемого события;
  • просмотр истории поиска с возможностью повторного применения ранее используемых условий фильтрации.

Для работы с событиями перейдите в новый интерфейс и откройте раздел События (см. рисунок 1).

Рисунок 1 -- Страница "События"

Интерфейс раздела состоит из следующих блоков:

  • график "Поток событий";
  • топ-10 значений по выделенной области потока событий (опционально);
  • список событий;
  • фильтры - настройка условий фильтрации потока событий;
  • пресеты - список сохраненных условий фильтрации.

График "Поток событий"

Блок представляет из себя график в котором отображается плотность появления событий за период времени.

Пример потока событий приведен на рисунке 2.

Рисунок 2 -- Страница "События". График "Поток событий"

В блоке доступны следующие элементы управления:

Кнопка Действие
просмотр истории поиска событий
просмотр предыдущего запроса из истории поиска событий
просмотр следующего запроса из истории поиска событий
выбор плотности отрисовки значений графика "Поток событий"
инструмент "Прямоугольное выделение" - создает прямоугольную рамку вокруг области на графике потока событий, ограничивая ее по горизонтальным и вертикальным сторонам
инструмент "Выделение по горизонтали" - создает прямоугольную рамку вокруг области по оси X, при этом выделяя все значения по оси Y
режим "Массовое выделение" - позволяет прямоугольному и горизонтальному выделению создать рамку вокруг нескольких областей на графике потока событий

Топ-10 значений по выделенной области потока событий

В блоке отображаются первые 10 запросов о регистрации событий в платформе за выбранный период.

Блок появляется после выделения области на графике "Поток событий". Для выделения области на графике выполните следующие действия:

  1. Сформируйте график "Поток событий" (см. раздел Работа с фильтрами).
  2. Выберите инструмент для выделения:
    • - прямоугольное выделение;
    • - выделение по горизонтали.
  3. Нарисуйте выделение, перетаскивая инструмент по графику потока событий.
  4. В блоке ниже будет отображаться статистика по выделенной области.
  5. Для выделения нескольких областей на графике, включите режим "Массовое выделение" по кнопке .
  6. Используйте инструмент Масштабирование для более точного выделения нужной области.

Пример блока приведен на рисунке 3.

Рисунок 3 -- Страница "События". Блок "Топ-10"

В блоке отображается следующая информация:

  • дата и время регистрации событий в платформе;
  • количество событий в запросе о регистрации.

Информацию можно вывести следующими способами:

  • столбчатая диаграмма (см. рисунок 3);
  • таблица;
  • круговая диаграмма (см. рисунок 4).

Рисунок 4 -- Блок "Топ-10". Круговая диаграмма

Для закрытия блока нажмите кнопку .

Масштабирование графика потока событий

Для более подробной детализации графика потока событий используйте инструмент "Масштабирование" (см. рисунок 5).

Рисунок 5 -- Элементы управления масштабом

Инструмент позволяет менять масштаб следующим образом:

  • изменение диапазона отображаемой области по оси X;
  • перемещение выбранного диапазона по оси Х.

Для использования инструмента выполните следующие действия:

  1. Наведите курсор на нужный элемент управления масштабом.
  2. Зажмите ЛКМ.
  3. Двигайте курсор в нужном направлении. Данные на графике будут автоматически изменяться.

Список событий

Блок располагается под графиком "Поток событий". В блоке отображается информация о событиях. Информация о событиях может отображаться двумя способами:

  • в карточном виде (используется по умолчанию);
  • в табличном виде.

Панель управления списком событий

Панель располагается над списком событий (см рисунок 6).

Рисунок 6 -- Панель управления списком событий

На панели доступны следующие элементы управления:

Кнопка Действие
Поиск поиск по значениям полей события
включить табличный вид
включить карточный вид
Сортировка настроить параметры сортировки событий в списке
Набор полей выбрать поля для отображения в таблице (только для табличного вида)
Выбрать несколько включение режима для массовых операций над событиями
доступ к следующим действиям над событиями:
- создать инцидент;
- добавить в инцидент;
- экспорт в CSV.

Карточный вид

По умолчанию события отображаются в карточном виде (см. рисунок 7).

Рисунок 7 -- Список событий в карточном виде

По кнопкам Показать больше / Показать меньше можно открыть/скрыть отображение всех полей события (см. рисунок 8).

Рисунок 8 -- Просмотр карточки события

При просмотре событий в карточном виде доступны следующие элементы управления:

Кнопка Действие
установить фильтр "Равно". В параметры запроса фильтра добавится условие поиска событий по значению равным в указанном поле
установить фильтр "Не равно". В параметры запроса фильтра добавится условие поиска событий по всем значениям, кроме того, что указано в поле
установить фильтр "Существует". В параметры запроса фильтра добавится условие поиска событий по всем событиям, в которых существует выбранное поле
доступ к действию "Найти инцидент", в котором присутствует событие

Табличный вид

Для переключения списка событий в табличный вид нажмите кнопку .

Пример табличного представления данных приведен на рисунке 9.

Рисунок 9 -- Список событий в табличном виде

Кнопки / , которые располагаются в заголовке столбцов, позволяют изменить порядок столбцов.

Кнопка , которая располагается в графе "Детали", позволяет посмотреть детали события в карточном виде (см. рисунок 10).

Рисунок 10 -- Список событий в табличном виде. Детали

Кнопка , которая располагается в блоке "Детали" (см. рисунок 10), позволяет добавить поле в набор столбцов таблицы.

Кнопка , которая располагается в конце строки, предоставляет доступ к действию "Найти инцидент" (подробнее см. раздел Поиск инцидента).

Работа с фильтрами

Настройка фильтра выполняется на вкладке "Фильтры" (см. рисунок 11).

Рисунок 11 -- Страница "События". Вкладка "Фильтры"

При работе с фильтрами доступны следующие элементы управления:

Кнопка Действие
обновить список событий
редактирование запроса/агрегации
Добавить запрос добавление запроса в условия фильтра
Добавить агрегацию добавление агрегаций в условия фильтра
редактирование запроса/агрегации
удаление запроса/агрегации
Сбросить очистить условия фильтра

Для настройки условий фильтра выполните следующие действия:

  1. В поле "Автообновление данных" из выпадающего списка выберите режим автоматического обновления данных. Доступные значения:
    • выключен;
    • по секундам: каждые 5, 10, 30 секунд;
    • по минутам: каждые 1, 5, 10, 30 минут.
  2. В поле Период нажмите кнопку . Откроется окно выбора временного диапазона.
  3. В открывшемся окне выберите период и нажмите кнопку Применить. Доступные значения:
    • текущие: минута, час, день, месяц, год;
    • последние: минуты, часы, месяца, года;
    • период можно указать вручную в соответствующих полях. Поддерживается формат дат из Grafana.
  4. В поле Нормализованное событие выберите этап разбора события:
    • событие нормализовано - будут показаны только нормализованные события;
    • событие разобрано - будут показаны только разобранные события;
    • событие не разобрано - будут показаны только неразобранные события;
    • не важно - будут показаны все события.
  5. В поле Запрос добавьте необходимое количество запросов (см. раздел Добавление запроса).
  6. В поле Агрегация добавьте необходимое количество агрегаций (см. раздел Добавление агрегации).
  7. При необходимости вы можете сохранить условия фильтра как пресет (см. раздел Работа с пресетами).
  8. Вы можете посмотреть журнал истории поиска и применить соответствующий фильтр из истории (см. раздел История поиска).

Настройка запросов

Настройка запросов включает в себя следующие процессы:

  1. Добавление запроса.
  2. Сохранение конфигурации запроса.

Добавление запроса в условия фильтра

Добавление запроса в условия фильтра можно выполнить тремя способами:

  • Способ 1. Ручное добавление нового запроса.
  • Способ 2. Добавление запроса из списка сохраненных.
  • Способ 3. Добавление условий в запрос из полей события.

Все добавленные запросы отобразятся в соответствующем блоке (см. рисунок 12).

Рисунок 12 -- Вкладка "Фильтры". Список запросов

Способ 1. Ручное добавление нового запроса

  1. На вкладке Фильтры в блоке Запрос нажмите кнопку Добавить запрос. Откроется окно "Добавить запрос" (см. рисунок 13).

Рисунок 13 -- Окно "Добавить запрос"

  1. Укажите следующие данные:
    • из выпадающего списка выберите поле, по которому будет выполняться запрос;
    • в поле "Действие" из выпадающего списка выберите логический оператор;
    • в поле "Значение" укажите значение логического оператора.
  2. Нажмите кнопку Сохранить.
  3. Добавьте необходимое количество запросов.

Способ 2. Добавление запроса из списка сохраненных

Примечание. Подробнее о сохранении запроса см. раздел Сохранение конфигурации запроса.

  1. На вкладке Фильтры в блоке Запрос нажмите кнопку Сохраненные запросы. Откроется окно "Сохраненные запросы" (см. рисунок 14).

Рисунок 14 -- Окно "Сохраненные запросы"

  1. В поле "Категория" выберите сохраненную категорию, а затем необходимый запрос. Отобразится структура запроса (см. рисунок 15).

Рисунок 15 -- Окно "Сохраненные запросы". Структура запроса

  1. Проверьте структуру запроса и нажмите кнопку Сохранить.

Способ 3. Добавление запросов по полям событий.

Если список событий уже сформирован, то вы можете добавить в запрос условия по выбранным полям конкретного события.

Для этого откройте карточку события и в соответствующем поле выберите нужное условие:

  • для добавления в запрос условия "Равен" выберите поле и нажмите кнопку ;
  • для добавления в запрос условия "Не равен" выберите поле и нажмите кнопку ;
  • для добавления в запрос условия "Существует" выберите поле и нажмите кнопку .

Пример, добавленных таких способом запросов, приведен на рисунке 16.

Рисунок 16 -- Добавление запросов по полям событий

Сохранение конфигурации запроса

Настроенную конфигурацию запросов можно сохранить для дальнейшего использования.

Для этого выполните следующие действия:

  1. Добавьте необходимое количество условий в запрос.
  2. Нажмите кнопку Сохранить выбор как. Откроется окно "Сохранить запрос" (см. рисунок 17).

Рисунок 17 -- Окно "Сохранить запрос"

  1. Укажите следующие данные:
    • в поле "Выберите категорию" из выпадающего списка выберите категорию, в которую будет сохранен запрос;
    • если вы еще не добавили ни одной категории, то нажмите кнопку + , укажите название категории и сохраните изменения;
    • в поле "Введите название" укажите название запроса.
  2. Нажмите кнопку Сохранить.

Настройка агрегации

Агрегация - функция группировки результатов поиска по выбранному полю.  

Агрегацию можно выполнить по следующим функциям:

  • min - по минимальным значениям;
  • max - по максимальным значениям;
  • sum - по сумме всех значений;
  • avg - по среднему значению;
  • stats - вывод по функциям count, min, max, sum, avg;
  • terms - поиск нескольких значений в одном поле.

Для функции terms можно добавить подагрегации.

Результат поиска по агрегации будет выводиться в табличном виде вместо графика потока событий (см. рисунок 18).

Рисунок 18 -- Страница "События". Просмотр агрегаций

Настройка агрегации включает в себя следующие процессы:

  1. Добавление агрегации.
  2. Добавление подагрегации.
  3. Сохранение агрегации.

Добавление агрегации

Способ 1. Ручное добавление агрегации.

  1. На вкладке Фильтры в блоке Агрегация нажмите кнопку Добавить агрегацию. Откроется окно "Добавить агрегацию" (см. рисунок 19).

Рисунок 19 -- Окно "Добавить агрегацию"

  1. Укажите следующие данные:
    • в поле "Действие" из выпадающего списка выберите функцию агрегации;
    • из выпадающего списка выберите поле, по которому будет выполняться функция агрегации.
  2. Нажмите кнопку Сохранить.
  3. Добавьте необходимое количество агрегаций.

Способ 2. Добавление агрегации из списка сохраненных

Примечание. Подробнее о сохранении агрегаций см. раздел Сохранение агрегации.

  1. На вкладке Фильтры в блоке Агреграции нажмите кнопку Сохраненные агрегации. Откроется окно "Сохраненные агрегации" (см. рисунок 20).

Рисунок 20 -- Окно "Сохраненные агрегации"

  1. В поле "Категория" выберите сохраненную категорию, а затем необходимую агрегацию. Отобразятся параметры агрегации (см. рисунок 21).

Рисунок 21 -- Окно "Сохраненные агрегации". Структура агрегации

  1. Проверьте структуру агрегации и нажмите кнопку Сохранить.

Добавление подагрегации

Вы можете добавить в агрегацию необходимое количество подагрегаций.

Чтобы добавить подагрегацию необходимо при добавлении/редактировании агрегации в поле "Действие" из выпадающего списка выбрать функцию terms. Откроется блок для добавления подагрегаций (см. рисунок 22).

Рисунок 22 -- Окно "Добавить агрегацию". Блок "Подагрегации"

Нажмите кнопку Добавить подагрегацию. Действия по добавлению подагрегации аналогичны действиям при добавлении агрегации.

При необходимости вы можете сделать подагрегацию многоуровневой, также указав при ее добавлении в поле "Действие" функцию terms.

Добавьте необходимое количество подагрегаций и нажмите кнопку Сохранить.

Сохранение агрегации

Настроенную агрегацию можно сохранить для дальнейшего использования.

Для этого выполните следующие действия:

  1. Добавьте необходимое количество условий в агрегацию.
  2. Нажмите кнопку Сохранить выбор как. Откроется окно "Сохранить агрегацию" (см. рисунок 23).

Рисунок 23 -- Окно "Сохранить агрегацию"

  1. Укажите следующие данные:
    • в поле "Выберите категорию" из выпадающего списка выберите категорию, в которую будет сохранена агрегация;
    • если вы еще не добавили ни одной категории, то нажмите кнопку + , укажите название категории и сохраните изменения;
    • в поле "Введите название" укажите название агрегации.
  2. Нажмите кнопку Сохранить.

Работа с пресетами

Пресет - это сохраненные условия фильтрации, которые можно использовать как шаблон для формирования списка событий.

Работа с пресетами выполняется на вкладке "Пресеты" (см. рисунок 24).

Рисунок 24 -- Страница "События". Вкладка "Пресеты"

На вкладке отображается следующая информация:

  • название пресета;
  • дата создания пресета.

Работа с пресетами включает в себя следующие процессы:

  1. Создание пресета.
  2. Применение пресета.
  3. Удаление пресета.

Создание пресета

  1. Настройте условия фильтра для получения списка событий.
  2. Перейдите на вкладку "Пресеты".
  3. Нажмите кнопку Создать пресет. Откроется окно "Создание пресета" (см. рисунок 25).

Рисунок 25 -- Окно "Создание пресета"

  1. Укажите следующие данные:
    • в поле "Введите название" укажите название пресета;
    • установите флаг "Сохранить период" если необходимо сохранить данные о периоде формирования списка событий.
  2. Нажмите кнопку Сохранить.

Применение пресета

  1. Перейдите на вкладку "Пресеты".
  2. Выберите пресет и нажмите кнопку Применить.
  3. Будет сформирован список событий по сохраненному шаблону.

Удаление пресета

  1. Перейдите на вкладку "Пресеты".
  2. Выберите пресет и нажмите кнопку Удалить.
  3. Пресет будет удален из списка.

История поиска

Платформа Радар ведет историю поиска событий.

Для ее просмотра нажмите кнопку . Отроется окно "История поиска" (см. рисунок 26).

Рисунок 26 -- Окно "История поиска"

В окне отображается следующая информация:

  • день формирования списка событий;
  • время создания списка событий;
  • период, за который был сформирован список событий;
  • условия запроса, по которым был сформирован список событий.

Вы можете сформировать список событий из истории поиска. Для этого в соответствующей строке нажмите кнопку Применить.

Работа с событиями

Перед началом работы с событиями:

  1. Ознакомьтесь с общими данными и интерфейсом раздела (см. раздел Общие данные).
  2. Сформируйте список событий (см. раздел Работа с фильтрами).

Пример сформированного списка событий приведен на рисунке 27.

Рисунок 27 -- Страница "События". Сформированный список событий

Работа с событиями включает в себя следующие процессы:

  1. Создание инцидента.
  2. Добавление в инцидент.
  3. Поиск инцидента.
  4. Экспорт списка событий.

При работе с событиями можно воспользоваться следующими вспомогательными инструментами для анализа событий:

  • поиск событий;
  • просмотр событий по сформированной агрегации;
  • настройка плотности отрисовки значений графика;
  • сортировка событий;
  • настройка набора полей для табличного вида.

Создание инцидента

Примечание. Подробнее об инцидентах см. раздел Работа с инцидентами.

Платформа Радар позволяет создать инцидент на основе подозрительного события.

Для этого выполните следующие действия:

  1. Включите режим для массовых операций над событиями нажав кнопку Выбрать несколько.
  2. Выберите одно или несколько событий установив флаг в соответствующей карточке/строке таблицы.
  3. Нажмите кнопку и из выпадающего списка выберите пункт "Создать инцидент". Откроется окно "Быстрое создание инцидента".
  4. В поле "Тип инцидента" из выпадающего списка выберите тип инцидента. В окне отобразится полный набор полей для заполнения сведений о выбранном типе инцидента (см. рисунок 28).

Рисунок 28 -- Окно "Быстрое создание инцидента"

  1. В зависимости от выбранного типа инцидента значения полей будут предзаполнены соответствующей информацией. При необходимости измените следующие данные:
    • в поле "Актив" из выпадающего списка выберите техническое средство информационной системы, на котором произошел инцидент;
    • в поле "Название инцидента" укажите название инцидента;
    • в поле "Уровень риска" задайте уровень риска;
    • в поле "Правило корреляции" из выпадающего списка выберите соответствующее правило корреляции;
    • в поле "Категория" выберите категорию инцидента: нарушение политики, сетевая аномалия или уязвимость.
  2. Нажмите кнопку Создать.

Добавление события в инцидент

Примечание. Подробнее об инцидентах см. раздел Работа с инцидентами.

Платформа Радар позволяет добавить событие или несколько событий в уже созданный инцидент.

Для этого выполните следующие действия:

  1. Включите режим массовых операций над событиями нажав кнопку Выбрать несколько.
  2. Выберите одно или несколько событий установив флаг в соответствующей карточке/строке таблицы.
  3. Нажмите кнопку и из выпадающего списка выберите пункт "Добавить к инциденту". Откроется окно "Добавить события" (см. рисунок 29).

Рисунок 29 -- Окно "Добавить события"

  1. Укажите следующие данные:
    • в поле "Правило корреляции" из выпадающего списка выберите соответствующее правило корреляции;
    • в поле "Инцидент" выберите инцидент в который будет добавлено событие.
  2. Нажмите кнопку Добавить.

После успешного добавления события в инцидент платформа предложит вам открыть соответствующий инцидент.

Поиск инцидента

Для поиска инцидента, к которому относится событие, выполните следующие действия:

  1. В зависимости от вида в котором выполняется просмотр списка событий нажмите кнопку в теле события:
    • - если включен карточный вид;
    • - если включен табличный вид.
  2. Выберите пункт Найти инцидент. Откроется окно "Ссылки на инциденты"(см. рисунок 30).

Рисунок 30 -- Список найденных инцидентов по событию

  1. Для открытия инцидента нажмите на нужную ссылку.

Экспорт списка событий

Платформа Радар позволяет выгрузить список событий в файл формата CSV. Для этого выполните следующие действия:

  1. Сформируйте список событий.
  2. Нажмите кнопку и из выпадающего списка выберите пункт Экспорт в CSV.
  3. Укажите путь для сохранения файла.

Вспомогательные инструменты для анализа событий

Поиск событий

Примечание: начиная с версии 3.7.0 в Платформе Радар заменена поисковая система с ElasticSearch на OpenSearch. Платформа Радар позволяет искать конкретные события по значениям полей. При этом сохранилась возможность использовать в строке поиска синтаксис строкового поиска Lucene.

Для поиска событий укажите необходимое значение или выражение в строке поиска. Результаты поиска выводятся автоматически по мере заполнения поля.

Пример 1. Поиск всех событий в которых поле elastic_key имеет значение "Разобрано" (см. рисунок 31).

Синтаксис elastic_key: (parsed).

Рисунок 31 -- Поиск всех событий в которых поле elastic_key имеет значение "Разобрано"

Пример 2. Поиск всех событий в которых поле elastic_key имеет значение отличное от "Разобрано" (см. рисунок 32).

Синтаксис: elastic_key: (NOT parsed)

Рисунок 32 -- Поиск всех событий в которых поле elastic_key имеет значение отличное от "Разобрано"

Пример 3. Поиск по конкретному значению поля (см. рисунок 33).

Рисунок 33 -- Поиск по конкретному значению

Просмотр событий по сформированной агрегации

Платформа Радар позволяет просматривать события, данные по которым были сформированы по результату агрегации.

Для этого настройте агрегации (см. раздел Добавление агрегации) и нажмите на соответствующую ссылку в таблице результатов (см. рисунок 34).

Рисунок 34 -- Просмотр результатов агрегации

Произойдет переход на страницу "События", где в условиях фильтрации будет применен соответствующий запрос.

Настройка плотности отрисовки потока событий

При необходимости вы можете задать плотность отрисовки потока событий на графике. Доступны следующие значения:

  • по годам;
  • по месяцам;
  • по дням;
  • по часам: по три часа, по одному часу;
  • по минутам: по тридцать минут, по десять минут, по одной минуте;
  • по секундам.

Для изменения плотности отрисовки в правом верхнем углу графика "Поток событий" из выпадающего списка выберите необходимое значение (см. рисунок 35).

Рисунок 35 -- Настройка плотности отрисовки потока событий

Сортировка событий

Платформа позволяет сортировать порядок событий в списке по значениям выбранных полей.

Для этого нажмите кнопку Сортировка. Откроется окно настройки сортировки (см. рисунок 36).

Рисунок 36 -- Настройка сортировки списка событий

Для настройки сортировки воспользуйтесь следующими приемами:

  • для выбора полей, по которым будет выполняться сортировка, установите флаги в соответствующих полях;
  • сортировка выполняется в порядке добавления полей. Для изменения порядка сортировки используйте кнопки / ;
  • для полей, по которым выполняется сортировка, можно задать направление сортировки:
    • - от последнего к первому;
    • - от первого к последнему.

Настройка набора полей для табличного вида

Для табличного вида списка событий вы можете настроить набор полей для отображения в таблице.

Для этого включите табличный вид по кнопке и нажмите кнопку Набор полей. Откроется окно "Выбор набора полей" (см. рисунок 37).

Рисунок 37 -- Окно "Выбор набора полей"

В окне выполните следующие действия:

  1. Выберите поля, информацию по которым необходимо отобразить в табличном виде, установив соответствующие флаги.
  2. Настройте порядок столбцов таблицы с помощью кнопок / .
  3. Нажмите кнопку Применить.