Перейти к содержанию

Коррелятор

Раздел "Коррелятор"

Общее описание раздела "Коррелятор"

Раздел основного меню Платформы Радар «Коррелятор» включает следующие подразделы:

  • "Правила" - подраздел предназначен для управления правилами корреляции;
  • "Шаблоны" - подраздел предназначен для управления шаблонами вывода результатов работы правил коррелятора;
  • "Хранилища значений" - подраздел предназначен для управления хранилищами значений, которые используются в правилах корреляции как конфигурационные значения;
  • "Табличные списки" - подраздел предназначен для хранения динамических данных, пополняемых пользователем или правилами корреляции;
  • "Ретроспективная корреляция" - подраздел предназначен для создания задач анализа исторических данных; подробно описано в разделе управления ретроспективной корреляцией;
  • "Результаты" - подраздел предназначен для обработки результатов работы правил корреляции, по которым Инциденты и Оповещения не создаются автоматом.

Подраздел "Правила"

Подраздел «Правила» предназначен для управления правилами корреляции, самим коррелятором и диагностикой работы правил корреляции (см. рисунок 1).

Подраздел содержит:

  • Текущий список правил корреляции.
  • Набор фильтров для просмотра списка правил - фильтры открываются по нажатию на кнопку .
  • Функции создания нового правила корреляции в системе - "Создать вручную" и "Создать через конструктор".
  • Селектор автоматического или ручного обновления перечня правил корреляции и иконку ручного обновления правил .
  • Функцию редактирования правила - окно редактирования открывается по нажатию на кнопку .
  • функцию создания нового правила на основе выбранного - иконка .
  • Функции просмотра логов коррелятора - "Общий лог" и "Лог ошибок".
  • Функции управления правилами корреляции:
    • Активировать - активация выбранных правил корреляции.
    • Выключить - деактивация выбранных правил корреляции.
    • Экспортировать - экспорт выбранных правил корреляции в файл с архивом формата ZIP.
    • Импортировать - импорт правил корреляции из файла с архивом формата ZIP.
    • Удалить - удаление выбранных правил корреляции.
    • Экспортировать все - экспорт всех правил корреляции в файл с архивом формата ZIP.
    • Удалить все - удаление всех правил корреляции.

Рисунок 1 -- Рабочая область подраздела «Правила»

Текущий список правил корреляции, загруженных в систему, представлен в виде табличного списка со следующими полями:

  • флаг "Активное " - текущее состояние правила активное/неактивное (/);
  • флаг "Локальное" - текущее состояние правила локальное/глобальное;
  • поле "Название" - название правила;
  • поле "Тип инцидента" - краткое описание инцидента;
  • поле "Ошибки" - количество ошибок;
  • поле "Создано" - дата создания правила в системе;
  • поле "Обновлено" - дата последнего изменения првила;
  • флаги состояния правила на корреляторе:
    • "Вкл?" - (/).
    • "Работает?" - (/).

Фильтр правил позволяет провести фильтрацию списка по следующим параметрам:

  • по параметру Завершенные/Не завершенные;
  • по параметру Активные/Неактивные;
  • поиск по названию правила (поиск по свободно введенной строке).

Подраздел "Шаблоны"

Подраздел «Шаблоны» предназначен для управления шаблонами вывода результатов работы правил коррелятора (см. рисунок 2).

Подраздел содержит:

  • Текущий список шаблонов, созданных в системе.
  • Набор фильтров для просмотра списка шаблонов - фильтры открываются по нажатию на кнопку .
  • Функцию создания нового шаблона в системе - кнопка "Создать".
  • Функцию редактирования шаблона - окно редактирования открывается по нажатию на кнопку .
  • функцию создания нового шаблона на основе выбранного - иконка .

Рисунок 2 -- Рабочая область подраздела «Шаблоны»

Текущий список шаблонов, загруженных в систему, представлен в виде табличного списка со следующими атрибутами:

  • поле "Название" - название шаблона;
  • поле "Правила" - количество правил корреляции, использующих данный шаблон.
  • поле - внутреннее описание, всплывает при наведении курсора на пиктограмму в данном поле:
  • флаг "Глобальный" - наличие глобальных значений в полях шаблона (/);
  • флаг "Локальный" - наличие локальных значений в полях шаблона (/);
  • поле "Создано" - дата создания шаблона в системе;
  • поле "Обновлено" - дата последнего изменения шаблона.

Фильтр шаблонов позволяет провести фильтрацию списка по названию шаблона (поиск по свободно введенной строке).

Подраздел "Хранилища значений"

Подраздел «Хранилища значений» предназначен для управления хранилищами значений, которые используются в правилах корреляции как конфигурационные значения (см. рисунок 3).

Подраздел содержит:

  • Текущий список хранилищ, созданных в системе.
  • Набор фильтров для просмотра списка хранилищ - фильтры открываются по нажатию на кнопку .
  • Функцию создания нового хранилища в системе - кнопка "Создать".
  • Функцию редактирования данных хранилища - окно редактирования открывается по нажатию на кнопку .
  • функцию создания нового хранилища значений на основе выбранного - иконка .

Рисунок 3 -- Рабочая область подраздела «Хранилища значений»

Текущий список хранилищ представлен в виде таблицы со следующими атрибутами:

  • поле "Название" - название хранилища значений;
  • поле "Правила" - количество правил, использующих данное хранилище.
  • поле - внутреннее описание, всплывает при наведении курсора на пиктограмму в данном поле:
  • флаг "Глобальный" - указывает, что хранилище содержит глобальный набор значений (/);
  • флаг "Локальный" - указывает, что хранилище содержит локальный набор значений ;
  • поле "Создано" - дата создания хранилища;
  • поле "Обновлено" - дата последнего изменения хранилища.

Фильтр списка хранилищ позволяет провести фильтрацию списка по следующим параметрам:

  • по названию хранилища (поиск по свободно введенной строке);
  • по статусу данных в хранилище - Локальные, Глобальные.

Подраздел "Табличные списки"

Подраздел "Табличные списки" предназначен для создания и хранения пользовательских табличных списков, используемых в правилах корреляции (см. рисунок 4).

Подраздел содержит:

  • Текущий список табличных списков.
  • Функцию создания нового табличного списка.

Рисунок 4 -- Рабочая область подраздела «Табличные списки»

Текущий список табличных списков представлен в виде таблицы со следующими атрибутами:

  • поле "Название" - название табличного списка;
  • поле "Описание" - описание табличного списка;
  • поле "Большое" - признак большого табличного списка (более миллиона записей);
  • поле "Тип" - тип табличного списка;
  • иконка просмотра табличного списка ;
  • иконка редактирования табличного списка ;
  • иконка удаления табличного списка .

Подробно работа с табличными списками описана в разделе "Работа с табличными списками"

Подраздел "Результаты"

Подраздел "Результаты" предназначен для обработки результатов работы правил корреляции, по которым Инциденты и Оповещения не создаются автоматически (см. рисунок 5).

Подраздел содержит:

  • Текущий список результатов обработки, выявленных как результат срабатывания правил корреляции и оформленных в ручном режиме.
  • Набор фильтров для просмотра списка результатов обработки - фильтры открываются по нажатию на кнопку .
  • Функция создания нового инцидента в системе по выбранным результатам работы правила - кнопка "Создать инцидент".
  • Функция удаления выбранных результатов работы правил корреляции.
  • Функция удаления всех результатов работы правил корреляции.

Рисунок 5 -- Рабочая область подраздела «Результаты»

Текущий список результатов обработки представлен в виде табличного списка со следующими атрибутами:

  • поле "Инцидент" - содержит кнопку "Инцидент" для конвертации результатов работы правила в инцидент.
  • поле "Риск" - содержит оценку уровня риска.
  • поле "Название" - тип правила обработки;
  • поле "Заголовок результата" заголовок результата.
  • поле "Актив" - актив, на котором обнаружена угроза, выявленная правилом;
  • поле "Правило" - название правила, с помощью которого была обнаружена угроза;
  • поле "Ключ из правила";
  • поле "Произошло" - дата и время срабатывания правила обработки.

Фильтр списка результатов обработки разбит на группы и позволяет провести фильтрацию списка по следующим параметрам:

  • Вкладка "Фильтр" содержит следующие возможности фильтрации:
    • по типу результата обработки (поиск по свободно введенной строке);
    • по уровню риска результата обработки;
    • по статусу результата обработки - Обработан/Не обработан/Не важно;
    • по статусу актива, но котором выявлен результат - Действующий/Не действующий/Не важно.
  • Вкладка "Активы" содержит следующие возможности фильтрации:
    • по группе активов;
    • по имени актива;
    • по типу результата обруботки.
  • Вкладка "Дополнительно" содержит следующие возможности фильтрации:
    • по времени обнаружения - по заданному временному интервалу;
    • по статусу принятия в обработку - Принят/Не принят/Не важно.