Перейти к содержанию

Коррелятор

Раздел "Коррелятор"

Общее описание раздела "Коррелятор"

Раздел основного меню Платформы Радар «Коррелятор» включает следующие подразделы:

  • "Правила" - подраздел предназначен для управления правилами корреляции;

  • "Шаблон" - подраздел предназначен для управления шаблонами вывода результатов работы правил коррелятора;

  • "Хранилища значений" - подраздел предназначен для управления хранилищами значений, которые используются в правилах корреляции как конфигурационные значения;

  • "Результаты" - подраздел предназначен для обработки результатов работы правил корреляции, по которым Инциденты и Оповещения не создаются автоматом.

Подраздел "Правила"

Подраздел «Правила» предназначен для управления правилами корреляции, самим коррелятором и диагностикой работы правил корреляции (см. Рисунок 1).

Подраздел содержит:

  • Текущий список правил корреляции.
  • Набор фильтров для просмотра списка правил - фильтры открываются по нажатию на кнопку .
  • Функции создания нового правила корреляции в системе - "Создать вручную" и "Создать через конструктор".
  • Функцию редактирования правила - окно редактирования открывается по нажатию на кнопку .
  • Функции просмотра логов коррелятора - "Общий лог" и "Лог ошибок".
  • Селектор переключения активного узла коррелятора.
  • Кнопки включения/выключения правила.

Рисунок 1 - Рабочая область подраздела «Правила»

Текущий список правил корреляции, загруженных в систему, представлен в виде табличного списка со следующими полями:

  • флаг "Активное " - текущее состояние правила активное/неактивное (/);
  • флаг "Локальное" - текущее состояние правила локальное/глобальное;
  • поле "Название" - название правила;
  • поле "Тип инцидента" - краткое описание инцидента;
  • поле "Ошибки" - количество ошибок;
  • поле "Создано" - дата создания правила в системе;
  • поле "Обновлено" - дата последнего изменения првила;
  • флаги состояния правила на корреляторе:
    • "Вкл?" - (/);
    • "Работает?" - (/).

Фильтр правил позволяет провести фильтрацию списка по следующим параметрам:

  • по параметру Завершенные/Не завершенные;

  • по параметру Активные/Неактивные;

  • поиск по названию правила (поиск по свободно введенной строке).

Подраздел "Шаблоны"

Подраздел «Шаблоны» предназначен для управления шаблонами вывода результатов работы правил коррелятора (см. Рисунок 2).

Подраздел содержит:

  • Текущий список шаблонов, созданных в системе.
  • Набор фильтров для просмотра списка шаблонов - фильтры открываются по нажатию на кнопку .
  • Функцию создания нового шаблона в системе - кнопка "Создать".
  • Функцию редактирования шаблона - окно редактирования открывается по нажатию на кнопку .

Рисунок 2 - Рабочая область подраздела «Шаблоны»

Текущий список шаблонов, загруженных в систему, представлен в виде табличного списка со следующими атрибутами:

  • поле "Название" - название шаблона;
  • поле "Правила" - количество правил корреляции, использующих данный шаблон.
  • поле - внутреннее описание, всплывает при наведении курсора на пиктограмму в данном поле:
  • флаг "Глобальный" - наличие глобальных значений в полях шаблона (/);
  • флаг "Локальный" - наличие локальных значений в полях шаблона (/);
  • поле "Создано" - дата создания шаблона в системе;
  • поле "Обновлено" - дата последнего изменения шаблона.

Фильтр шаблонов позволяет провести фильтрацию списка по названию шаблона (поиск по свободно введенной строке).

Подраздел "Хранилища значений"

Подраздел «Хранилища значений» предназначен для управления хранилищами значений, которые используются в правилах корреляции как конфигурационные значения.

Подраздел содержит:

  • Текущий список хранилищ, созданных в системе.
  • Набор фильтров для просмотра списка хранилищ - фильтры открываются по нажатию на кнопку .
  • Функцию создания нового хранилища в системе - кнопка "Создать".
  • Функцию редактирования данных хранилища - окно редактирования открывается по нажатию на кнопку .

Рисунок 3 - Рабочая область подраздела «Хранилища значений»

Текущий список хранилищ представлен в виде таблицы со следующими атрибутами:

  • поле "Название" - название хранилища значений;
  • поле "Правила" - количество правил, использующих данное хранилище.
  • поле - внутреннее описание, всплывает при наведении курсора на пиктограмму в данном поле:
  • флаг "Глобальный" - указывает, что хранилище содержит глобальный набор значений (/);
  • флаг "Локальный" - указывает, что хранилище содержит локальный набор значений ;
  • поле "Создано" - дата создания хранилища;
  • поле "Обновлено" - дата последнего изменения хранилища.

Фильтр списка хранилищ позволяет провести фильтрацию списка по следующим параметрам:

  • по названию хранилища (поиск по свободно введенной строке);

  • по статусу данных в хранилище - Локальные, Глобальные.

Подраздел "Результаты"

Подраздел "Результаты" предназначен для обработки результатов работы правил корреляции, по которым Инциденты и Оповещения не создаются автоматически.

Подраздел содержит:

  • Текущий список инцидентов, выявленных как результат срабатывания правил корреляции и оформленных в ручном режиме.
  • Набор фильтров для просмотра списка инцидентов - фильтры открываются по нажатию на кнопку .
  • Функция создания нового инцидента в системе по выбранным результатам работы правила - кнопка "Создать инцидент".

Рисунок 4 - Рабочая область подраздела «Результаты»

Текущий список инцидентов представлен в виде табличного списка со следующими атрибутами:

  • поле "Инцидент" - содержит кнопку "Инцидент" для конвертации результатов работы правила в инцидент.
  • поле "Риск" - содержит оценку уровня риска.
  • поле "Название" - тип инцидента;
  • поле "Заголовок результата" заголовок результата.
  • поле "Актив" - актив, на котором обнаружена угроза, выявленная правилом;
  • поле "Правило" - название правила, с помощью которого была обнаружена угроза;
  • поле "Ключ из правила" ;
  • поле "Произошло" - дата и время обнаружения инцидента.

Фильтр списка инцидентов разбит на группы и позволяет провести фильтрацию списка по следующим параметрам:

  • Вкладка "Фильтр" содержит следующие возможности фильтрации:
  • по типу инцидента (поиск по свободно введенной строке);
  • по уровню риска инцидента;
  • по статусу инцидента - Обработан/Не обработан/Не важно;
  • по статусу актива, но котором выявлен инцидент - Действующий/Не действующий/Не важно.

  • Вкладка "Активы" содержит следующие возможности фильтрации:

    • по группе активов;
    • по имени актива;
    • по типу инцидента.
  • Вкладка "Дополнительно" содержит следующие возможности фильтрации:

    • по времени обнаружения - по заданному временному интервалу;

    • по статусу принятия в обработку - Принят/Не принят/Не важно.