Перейти к содержанию

Коррелятор

Раздел "Коррелятор"

Общее описание раздела "Коррелятор"

Раздел основного меню Платформы Радар «Коррелятор» включает следующие подразделы:

  • "Правила" - подраздел предназначен для управления правилами корреляции;
  • "Шаблоны" - подраздел предназначен для управления шаблонами вывода результатов работы правил коррелятора;
  • "Хранилища значений" - подраздел предназначен для управления хранилищами значений, которые используются в правилах корреляции как конфигурационные значения;
  • "Табличные списки" - подраздел предназначен для хранения динамических данных, пополняемых пользователем или правилами корреляции. Подробно описано в разделе "Работа с табличными списками"
  • "Ретроспективная корреляция" - подраздел предназначен для создания задач анализа исторических данных;
  • "Результаты" - подраздел предназначен для обработки результатов работы правил корреляции, по которым Инциденты и Оповещения не создаются автоматом.

Подраздел "Правила"

Подраздел «Правила» предназначен для управления правилами корреляции, самим коррелятором и диагностикой работы правил корреляции (см. рисунок 1).

Подраздел содержит:

  • Текущий список правил корреляции.
  • Набор фильтров для просмотра списка правил - фильтры открываются по нажатию на кнопку .
  • Функции создания нового правила корреляции в системе - "Создать вручную" и "Создать через конструктор".
  • Функцию редактирования правила - окно редактирования открывается по нажатию на кнопку .
  • Функции просмотра логов коррелятора - "Общий лог" и "Лог ошибок".
  • Селектор переключения активного узла коррелятора.
  • Кнопки включения/выключения правила.

Рисунок 1 - Рабочая область подраздела «Правила»

Текущий список правил корреляции, загруженных в систему, представлен в виде табличного списка со следующими полями:

  • флаг "Активное " - текущее состояние правила активное/неактивное (/);
  • флаг "Локальное" - текущее состояние правила локальное/глобальное;
  • поле "Название" - название правила;
  • поле "Тип инцидента" - краткое описание инцидента;
  • поле "Ошибки" - количество ошибок;
  • поле "Создано" - дата создания правила в системе;
  • поле "Обновлено" - дата последнего изменения првила;
  • флаги состояния правила на корреляторе:
    • "Вкл?" - (/);
    • "Работает?" - (/).

Фильтр правил позволяет провести фильтрацию списка по следующим параметрам:

  • по параметру Завершенные/Не завершенные;
  • по параметру Активные/Неактивные;
  • поиск по названию правила (поиск по свободно введенной строке).

Подраздел "Шаблоны"

Подраздел «Шаблоны» предназначен для управления шаблонами вывода результатов работы правил коррелятора (см. рисунок 2).

Подраздел содержит:

  • Текущий список шаблонов, созданных в системе.
  • Набор фильтров для просмотра списка шаблонов - фильтры открываются по нажатию на кнопку .
  • Функцию создания нового шаблона в системе - кнопка "Создать".
  • Функцию редактирования шаблона - окно редактирования открывается по нажатию на кнопку .

Рисунок 2 - Рабочая область подраздела «Шаблоны»

Текущий список шаблонов, загруженных в систему, представлен в виде табличного списка со следующими атрибутами:

  • поле "Название" - название шаблона;
  • поле "Правила" - количество правил корреляции, использующих данный шаблон.
  • поле - внутреннее описание, всплывает при наведении курсора на пиктограмму в данном поле:
  • флаг "Глобальный" - наличие глобальных значений в полях шаблона (/);
  • флаг "Локальный" - наличие локальных значений в полях шаблона (/);
  • поле "Создано" - дата создания шаблона в системе;
  • поле "Обновлено" - дата последнего изменения шаблона.

Фильтр шаблонов позволяет провести фильтрацию списка по названию шаблона (поиск по свободно введенной строке).

Подраздел "Хранилища значений"

Подраздел «Хранилища значений» предназначен для управления хранилищами значений, которые используются в правилах корреляции как конфигурационные значения (см. рисунок 3).

Подраздел содержит:

  • Текущий список хранилищ, созданных в системе.
  • Набор фильтров для просмотра списка хранилищ - фильтры открываются по нажатию на кнопку .
  • Функцию создания нового хранилища в системе - кнопка "Создать".
  • Функцию редактирования данных хранилища - окно редактирования открывается по нажатию на кнопку .

Рисунок 3 - Рабочая область подраздела «Хранилища значений»

Текущий список хранилищ представлен в виде таблицы со следующими атрибутами:

  • поле "Название" - название хранилища значений;
  • поле "Правила" - количество правил, использующих данное хранилище.
  • поле - внутреннее описание, всплывает при наведении курсора на пиктограмму в данном поле:
  • флаг "Глобальный" - указывает, что хранилище содержит глобальный набор значений (/);
  • флаг "Локальный" - указывает, что хранилище содержит локальный набор значений ;
  • поле "Создано" - дата создания хранилища;
  • поле "Обновлено" - дата последнего изменения хранилища.

Фильтр списка хранилищ позволяет провести фильтрацию списка по следующим параметрам:

  • по названию хранилища (поиск по свободно введенной строке);
  • по статусу данных в хранилище - Локальные, Глобальные.

Подраздел "Результаты"

Подраздел "Результаты" предназначен для обработки результатов работы правил корреляции, по которым Инциденты и Оповещения не создаются автоматически (см. рисунок 4).

Подраздел содержит:

  • Текущий список результатов обработки, выявленных как результат срабатывания правил корреляции и оформленных в ручном режиме.
  • Набор фильтров для просмотра списка результатов обработки - фильтры открываются по нажатию на кнопку .
  • Функция создания нового инцидента в системе по выбранным результатам работы правила - кнопка "Создать инцидент".

Рисунок 4 - Рабочая область подраздела «Результаты»

Текущий список результатов обработки представлен в виде табличного списка со следующими атрибутами:

  • поле "Инцидент" - содержит кнопку "Инцидент" для конвертации результатов работы правила в инцидент.
  • поле "Риск" - содержит оценку уровня риска.
  • поле "Название" - тип правила обработки;
  • поле "Заголовок результата" заголовок результата.
  • поле "Актив" - актив, на котором обнаружена угроза, выявленная правилом;
  • поле "Правило" - название правила, с помощью которого была обнаружена угроза;
  • поле "Ключ из правила";
  • поле "Произошло" - дата и время срабатывания правила обработки.

Фильтр списка результатов обработки разбит на группы и позволяет провести фильтрацию списка по следующим параметрам:

  • Вкладка "Фильтр" содержит следующие возможности фильтрации:
    • по типу результата обработки (поиск по свободно введенной строке);
    • по уровню риска результата обработки;
    • по статусу результата обработки - Обработан/Не обработан/Не важно;
    • по статусу актива, но котором выявлен результат - Действующий/Не действующий/Не важно.
  • Вкладка "Активы" содержит следующие возможности фильтрации:
    • по группе активов;
    • по имени актива;
    • по типу результата обруботки.
  • Вкладка "Дополнительно" содержит следующие возможности фильтрации:
    • по времени обнаружения - по заданному временному интервалу;
    • по статусу принятия в обработку - Принят/Не принят/Не важно.