Работа с агрегаторами

Агрегатор — это элемент конвейера, который использует правила агрегации для объединения и анализа групп событий безопасности. Каждое правило агрегации включает в себя критерии для группировки событий, условия начала и завершения агрегации, а также стратегии агрегации для каждого поля. Агрегация инициируется в соответствии с условиями, определенными в правилах, и преобразует входящий поток событий в агрегированные данные.

На диаграмме конфигурации конвейера агрегатор имеет один вход и один выход. Агрегатор на входе принимает поток событий, производит их агрегацию и выдает агрегированные события на выходе.

Добавление агрегатора

Чтобы добавить агрегатор на конфигурацию конвейера:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (включен/выключен).

  2. Нажмите на строку коллектора в списке. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Перейдите на вкладку Конвейеры в карточке коллектора. Система отобразит список конвейеров коллектора.

  4. Нажмите на стрелку (chevron down) в строке конвейера. Отобразится карточка конвейера.

  5. Нажмите на кнопку Конфигурация конвейера в нижней части карточки. Отобразится диаграмма конфигурации конвейера.

  6. Удостоверьтесь, что в выпадающем списке Версия на панели инструментов в окне конфигурации конвейера выбран вариант Черновик.

  7. Нажмите на кнопку Добавить элемент и выберите из выпадающего списка пункт Агрегатор. Отобразится окно добавления агрегатора.

  8. Введите название агрегатора.

  9. Добавьте в агрегатор правила агрегации.

    Чтобы добавить правило агрегации:

    1. Раскройте дерево каталогов в левой части окна и выберите каталог, который содержит нужное правило агрегации.

    2. Установите флажок слева от правила агрегации, которое необходимо добавить в агрегатор.

  10. Нажмите на кнопку Добавить. Новый агрегатор отобразится на схеме.

Если в добавленных правилах содержатся отсутствующие активные списки или таблицы обогащения, система отобразит список ошибок с указанием ID и названий правил.

Чтобы добавить конфигурацию с правилами, где обнаружены ошибки, установите флажок Игнорировать ошибки. Если флажок не установлен, правила с ошибками будут исключены.

Нажмите на кнопку Готово, чтобы сохранить конфигурацию.

Изменение агрегатора

Чтобы изменить агрегатор:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (включен/выключен).

  2. Нажмите на строку коллектора в списке. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Перейдите на вкладку Конвейеры в карточке коллектора. Система отобразит список конвейеров коллектора.

  4. Нажмите на стрелку (chevron down) в строке конвейера. Отобразится карточка конвейера.

  5. Нажмите на кнопку Конфигурация конвейера в нижней части карточки. Отобразится диаграмма конфигурации конвейера.

  6. Удостоверьтесь, что в выпадающем списке Версия на панели инструментов в окне конфигурации конвейера выбран вариант Черновик.

  7. Откройте окно настроек агрегатора одним из следующих способов:

    • Нажмите на кнопку действий (more vertical) справа от названия агрегатора и выберите опцию Изменить.

    • Дважды нажмите на агрегатор на схеме конвейера.

  8. Внесите изменения в требуемые поля.

  9. Нажмите на кнопку Сохранить. Измененные данные агрегатора будут сохранены.

Удаление агрегатора

Чтобы удалить агрегатор:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (включен/выключен).

  2. Нажмите на строку коллектора в списке. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Перейдите на вкладку Конвейеры в карточке коллектора. Система отобразит список конвейеров коллектора.

  4. Нажмите на стрелку (chevron down) в строке конвейера. Отобразится карточка конвейера.

  5. Нажмите на кнопку Конфигурация конвейера в нижней части карточки. Отобразится диаграмма конфигурации конвейера.

  6. Удостоверьтесь, что в выпадающем списке Версия на панели инструментов в окне конфигурации конвейера выбран вариант Черновик.

  7. Нажмите на кнопку действий (more vertical) справа от названия агрегатора и выберите опцию Удалить. Система отобразит окно подтверждения удаления.

  8. Нажмите на кнопку Удалить. Агрегатор будет удален.

Настройки агрегатора

Настройка агрегатора выполняется при его добавлении или изменении.

В окне настроек агрегатора отображается список правил агрегации в выбранном каталоге. Список представлен в виде таблицы со следующими колонками:

  • ID — уникальный идентификационный код правила агрегации, присваиваемый системой автоматически при его создании.

  • Название — системное имя правила агрегации, используемое для его идентификации.

  • Теги — пользовательские теги, присвоенные данному правилу агрегации.

  • Версия — версия правила агрегации, представленная в формате SemVer v2.0.

При работе с таблицей правил агрегации доступны следующие операции:

  • Поиск правил по полям ID, Название и Теги.

  • Фильтрация правил по тегам. Теги выбираются из выпадающего списка.

    Также доступна фильтрация по наличию правил в агрегаторе с помощью флажка Добавлено в агрегатор. При установке флажка в таблице отображаются только правила, уже добавленные в агрегатор.

  • Сортировка правил по полям ID, Название и Версия.

В окне настроек доступен функционал просмотра и добавления правил агрегации, а также обновления их версии.

Просмотр правила агрегации

Чтобы просмотреть конфигурацию правила агрегации из окна настройки агрегатора, нажмите на ID соответствующего правила в списке. Система отобразит окно просмотра выбранного правила в новой вкладке браузера.

Добавление правил агрегации

Чтобы добавить правило агрегации в агрегатор:

  1. Раскройте дерево каталогов в левой части окна настроек агрегатора и выберите каталог, который содержит нужное правило агрегации.

  2. Установите флажок слева от правила агрегации, которое необходимо добавить в агрегатор.

Обновление версии правила агрегации

Если для правила агрегации, добавленного в агрегатор, становится доступной новая версия, в правой части его строки в списке правил агрегации отображается кнопка обновления refresh. По нажатию на эту кнопку происходит актуализация данных правила агрегации в рамках агрегатора в соответствии с новой версией.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение