Работа с активными списками

Данный раздел описывает процесс работы с активными списками в системе R-Vision SIEM. Работа осуществляется в разделе Ресурсы → Активные списки веб-интерфейса системы.

Раздел доступен администраторам, пользователям, которые имеют соответствующее разрешение в составе своих ролей, а также учетным записям со статусом Суперадминистратор.

Об активных списках

Активный список представляет собой двумерный массив данных для накопления информации, полученной из определенных полей событий, поступающих на коррелятор.

Активные списки предназначены для повышения эффективности корреляционных правил, упрощения процедур обогащения событий и сбора информации для последующего анализа. Они используются в системе для обеспечения перекрестной ссылки в процессе корреляционного анализа, выполняемого корреляторами.

Один и тот же список может быть использован в разных корреляторах системы. При этом данные в активный список можно добавлять только через элементы экспертизы в корреляторе, на котором применяется список.

В каждом списке пользователь системы имеет возможность задать конкретный состав полей и параметры хранения данных с помощью схемы активного списка. Эти списки могут содержать отдельные поля событий и обработанные данные, полученные из этих полей.

Для управления активными списками предусмотрены функции для получения, добавления и удаления записей. В ходе работы системы записи могут быть добавлены или удалены из активных списков с помощью этих функций.

Данные, занесенные в активный список, доступны для чтения и изменения другим элементам экспертизы, которые используют язык VRL.

Активные списки в R-Vision SIEM используются в двух ключевых сценариях:

  • Реализация многоуровневых корреляционных сценариев, где одно правило обновляет список, а другое осуществляет его анализ.

  • Использование в качестве справочных таблиц: загрузка эталонных данных и их вызов в рамках определенного правила.

Интерфейс раздела

Панель инструментов включает в себя следующие компоненты:

  • Кнопка Создать (plus) позволяет создать новый активный список.

  • Поле Поиск предназначено для быстрого поиска активных списков в отображаемом списке по названию.

В рабочей области отображается таблица имеющихся активных списков. При выборе конкретного активного списка на экране открывается карточка с детальной информацией о нем.

Колонки таблицы представлены следующим образом:

  • ID — уникальный идентификационный код активного списка, генерируемый автоматически при его создании.

  • Название — название активного списка, используемое для его идентификации.

  • База данных — название базы данных событий, используемой активным списком.

  • Схема — название схемы, лежащей в основе активного списка.

  • TTL — время жизни записей в активном списке в секундах. Если имеет значение "0", то время жизни записей неограниченно.

  • Лимит записей — максимально допустимое количество записей в активном списке.

  • Дата создания — дата и время создания активного списка.

  • Дата изменения — дата и время последнего изменения активного списка.

  • Ресурсы — количество ресурсов системы, использующих активный список. При наведении курсора на количество ресурсов отображается всплывающее сообщение с полным перечнем связанных с активным списком ресурсов.

  • Версия схемы — версия схемы активного списка, представленная в формате SemVer v2.0.

При работе с таблицей активных списков доступны следующие операции:

Работа с активными списками

Доступные операции над активными списками:

Создание активных списков

Чтобы создать активный список:

  1. Перейдите в раздел Ресурсы → Активные списки. Система отобразит сведения об имеющихся активных списках.

  2. Нажмите на кнопку Создать (plus). Отобразится окно создания активного списка.

  3. Введите название активного списка.

  4. При необходимости введите описание активного списка.

  5. Выберите из выпадающего списка базу данных событий.

  6. Выберите из выпадающего списка схему активного списка. В окне отобразятся сведения о выбранной схеме:

    • время жизни записей в секундах (TTL);

    • лимит записей;

    • поля активного списка, определенные схемой.

  7. Нажмите на кнопку Создать. Система создаст новый активный список и отобразит уведомление о его добавлении. Активный список отобразится в списке раздела Ресурсы → Активные списки.

Просмотр активных списков

Чтобы просмотреть активный список:

  1. Перейдите в раздел Ресурсы → Активные списки. Система отобразит сведения об имеющихся активных списках.

  2. Нажмите на строку активного списка в списке. Система отобразит страницу с карточкой этого активного списка с подробной информацией о нем.

Название активного списка отображается в верхней части карточки.

Чтобы закрыть карточку и вернуться к списку активных списков, нажмите на кнопку Назад в левом верхнем углу карточки.

Панель инструментов карточки включает в себя следующие компоненты:

  • Кнопка Редактировать (edit) позволяет изменить настройки активного списка.

  • Кнопка Удалить (trash) позволяет удалить активный список.

  • ID и описание активного списка.

В рабочей области карточки отображается таблица имеющихся в активном списке записей. При выборе конкретной записи в правой части рабочей области отображается ее карточка с детальной информацией.

В верхней части карточки записи имеются кнопки для редактирования (edit) и удаления (trash) записи.

В карточке отображается список полей записи.

Над таблицей записей расположены следующие инструменты для управления записями:

  • Кнопка Добавить запись (plus) позволяет добавить новую запись в активный список.

  • Кнопки Экспорт (export) и Импорт (import) позволяют выгружать существующие записи из активного списка и загружать в активный список записи извне.

  • Поле Поиск предназначено для быстрого поиска записей в активном списке по ключу.

Колонки таблицы представлены следующим образом:

  • Ключ — ключ записи в активном списке.

  • Повторы — количество повторов записи в активном списке.

  • Срок действия — дата и время прекращения действия записи в активном списке.

  • Дата создания — дата и время создания записи в активном списке.

  • Дата изменения — дата и время последнего изменения записи в активном списке.

В таблице также присутствуют колонки, соответствующие полям активного списка. Поля ключа обозначены иконкой key в заголовках колонок.

При работе с таблицей доступны следующие операции:

Изменение активных списков

Чтобы изменить активный список:

  1. Перейдите в раздел Ресурсы → Активные списки. Система отобразит сведения об имеющихся активных списках.

  2. Нажмите на строку активного списка в списке. Система отобразит страницу с карточкой этого активного списка с подробной информацией о нем.

  3. Нажмите на кнопку Редактировать (edit) на панели инструментов карточки активного списка. Отобразится окно изменения активного списка.

  4. Внесите изменения в требуемые поля активного списка.

    Схема активного списка выбирается только при создании активного списка. Изменение выбора схемы при редактировании активного списка недоступно.

  5. Нажмите на кнопку Сохранить. Система сохранит измененные данные активного списка и отобразит уведомление о его изменении.

Удаление активных списков

Удаление недоступно для активных списков, используемых в других сущностях системы, то есть для списков, у которых в поле Ресурсы отображается значение, отличное от "0".

Чтобы удалить активный список:

  1. Перейдите в раздел Ресурсы → Активные списки. Система отобразит сведения об имеющихся активных списках.

  2. Нажмите на строку активного списка в списке. Система отобразит страницу с карточкой этого активного списка с подробной информацией о нем.

  3. Нажмите на кнопку Удалить (trash) на панели инструментов карточки активного списка. Отобразится окно подтверждения удаления активного списка.

  4. Нажмите на кнопку Удалить. Система удалит активный список и отобразит уведомление о его удалении.

Вместе с активным списком также удаляются и все добавленные в него записи.

Поиск записей активного списка

  • в разделе Поиск — по ключевым словам, RQL-запросу, периоду времени. В этом случае список найденных записей можно фильтровать по любому из полей.

  • в разделе Инструменты → RQL-песочница — по RQL-запросу и периоду времени. В этом разделе доступно больше команд для управления выводом, например, группировка с помощью операторов GROUP BY.

Чтобы просмотреть информацию о записи, нажмите на строку с ней в списке. В правой части экрана откроется карточка записи. Подробнее о работе со списком найденных записей см. в разделах:

Работа с записями активного списка

Доступные операции над записями активного списка:

Добавление записей

Чтобы добавить новую запись в активный список:

  1. Перейдите в раздел Ресурсы → Активные списки. Система отобразит сведения об имеющихся активных списках.

  2. Нажмите на строку активного списка в списке. Система отобразит страницу с карточкой этого активного списка с подробной информацией о нем.

  3. Нажмите на кнопку Добавить запись (plus) над списком записей активного списка. Отобразится окно добавления записи.

  4. Заполните значения полей ключа и полей данных записи.

  5. Нажмите на кнопку Добавить. Система добавит новую запись в активный список и отобразит уведомление о ее добавлении. Запись отобразится в списке записей в карточке активного списка.

Просмотр записей

Чтобы просмотреть запись в активном списке:

  1. Перейдите в раздел Ресурсы → Активные списки. Система отобразит сведения об имеющихся активных списках.

  2. Нажмите на строку активного списка в списке. Система отобразит страницу с карточкой этого активного списка с подробной информацией о нем.

  3. Нажмите на строку записи в активном списке. Система отобразит в правой части рабочей области карточку этой записи.

Ключ записи отображается в верхней части карточки.

Чтобы закрыть карточку, нажмите на крестик в правом верхнем углу карточки.

В карточке отображается информация о выбранной записи, сгруппированная по следующим секциям:

  • Поля записи — сведения о полях ключа и полях данных записи. Поля ключа обозначены иконкой key.

  • Сведения — общие сведения о записи:

    • Повторы — количество повторов записи.

    • Срок действия — дата и время прекращения действия записи.

    • Дата создания — дата и время создания записи.

    • Дата изменения — дата и время последнего изменения записи.

Изменение записей

Чтобы изменить запись в активном списке:

  1. Перейдите в раздел Ресурсы → Активные списки. Система отобразит сведения об имеющихся активных списках.

  2. Нажмите на строку активного списка в списке. Система отобразит страницу с карточкой этого активного списка с подробной информацией о нем.

  3. Нажмите на строку записи в активном списке. Система отобразит в правой части рабочей области карточку этой записи.

  4. Нажмите на кнопку Редактировать (edit) в верхней части карточки. Отобразится окно изменения записи.

  5. Внесите изменения в требуемые поля записи.

    Поля ключа записи задаются только при добавлении записи в активный список. Изменение значений полей ключа при редактировании записи недоступно.

  6. Нажмите на кнопку Сохранить. Система сохранит измененные данные записи активного списка и отобразит уведомление о ее изменении.

Удаление записей

Чтобы удалить запись из активного списка:

  1. Перейдите в раздел Ресурсы → Активные списки. Система отобразит сведения об имеющихся активных списках.

  2. Нажмите на строку активного списка в списке. Система отобразит страницу с карточкой этого активного списка с подробной информацией о нем.

  3. Нажмите на строку записи в активном списке. Система отобразит в правой части рабочей области карточку этой записи.

  4. Нажмите на кнопку Удалить (trash) в верхней части карточки. Отобразится окно подтверждения удаления записи.

  5. Нажмите на кнопку Удалить. Система удалит запись из активного списка и отобразит уведомление о ее удалении. Запись перестанет отображаться в списке записей в карточке активного списка.

Импорт записей

Чтобы импортировать записи в активный список:

  1. Перейдите в раздел Ресурсы → Активные списки. Система отобразит сведения об имеющихся активных списках.

  2. Нажмите на строку активного списка в списке. Система отобразит страницу с карточкой этого активного списка с подробной информацией о нем.

  3. Нажмите на кнопку Импорт (import) над списком записей. Система отобразит окно импорта записей в активный список.

  4. Нажмите Выбрать файл и выберите файл в формате CSV для импорта.

  5. Нажмите на кнопку Импортировать. Записи будут загружены в активный список. Система отобразит уведомление об успешном импорте записей.

Экспорт записей

Чтобы экспортировать записи из активного списка:

  1. Перейдите в раздел Ресурсы → Активные списки. Система отобразит сведения об имеющихся активных списках.

  2. Нажмите на строку активного списка в списке. Система отобразит страницу с карточкой этого активного списка с подробной информацией о нем.

  3. Нажмите на кнопку Экспорт (export) над списком записей. Система запросит подтверждение выполнения экспорта.

  4. Нажмите Экспортировать. Записи активных списков будут загружены на устройство пользователя. Система отобразит уведомление об успешном экспорте записей.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение