Работа с агрегаторами

Агрегатор — это элемент конвейера, который использует правила агрегации для объединения и анализа групп событий безопасности. Каждое правило агрегации включает в себя критерии для группировки событий, условия начала и завершения агрегации, а также стратегии агрегации для каждого поля. Агрегация инициируется в соответствии с условиями, определенными в правилах, и преобразует входящий поток событий в агрегированные данные.

На диаграмме конфигурации конвейера агрегатор имеет один вход и один выход. Агрегатор на входе принимает поток событий, производит их агрегацию и выдает агрегированные события на выходе.

Добавление агрегатора

Чтобы добавить агрегатор на конфигурацию конвейера:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (включен/выключен).

  2. Нажмите на строку коллектора в списке. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Перейдите на вкладку Конвейеры в карточке коллектора. Система отобразит список конвейеров коллектора.

  4. Нажмите на стрелку (chevron down) в строке конвейера. Отобразится карточка конвейера.

  5. Нажмите на кнопку Конфигурация конвейера в нижней части карточки. Отобразится диаграмма конфигурации конвейера.

  6. Удостоверьтесь, что в выпадающем списке Версия на панели инструментов в окне конфигурации конвейера выбран вариант Черновик.

  7. Нажмите на кнопку Добавить элемент и выберите из выпадающего списка пункт Агрегатор. Отобразится окно добавления агрегатора.

  8. Введите название агрегатора.

  9. Добавьте в агрегатор правила агрегации.

    Чтобы добавить правило агрегации:

    1. Раскройте дерево каталогов в левой части окна и выберите каталог, который содержит нужное правило агрегации.

    2. Установите флажок слева от правила агрегации, которое необходимо добавить в агрегатор.

  10. Нажмите на кнопку Добавить. Новый агрегатор отобразится на схеме.

Если в добавленных правилах содержатся отсутствующие активные списки или таблицы обогащения, система отобразит список ошибок с указанием ID и названий правил.

Чтобы добавить конфигурацию с правилами, где обнаружены ошибки, установите флажок Игнорировать ошибки. Если флажок не установлен, правила с ошибками будут исключены.

Нажмите на кнопку Готово, чтобы сохранить конфигурацию.

Изменение агрегатора

Чтобы изменить агрегатор:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (включен/выключен).

  2. Нажмите на строку коллектора в списке. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Перейдите на вкладку Конвейеры в карточке коллектора. Система отобразит список конвейеров коллектора.

  4. Нажмите на стрелку (chevron down) в строке конвейера. Отобразится карточка конвейера.

  5. Нажмите на кнопку Конфигурация конвейера в нижней части карточки. Отобразится диаграмма конфигурации конвейера.

  6. Удостоверьтесь, что в выпадающем списке Версия на панели инструментов в окне конфигурации конвейера выбран вариант Черновик.

  7. Откройте окно настроек агрегатора одним из следующих способов:

    • Выберите опцию Изменить в выпадающем меню Действия (more vertical) справа от названия агрегатора.

    • Дважды нажмите на агрегатор на схеме конвейера.

  8. Внесите изменения в требуемые поля.

  9. Нажмите на кнопку Сохранить. Измененные данные агрегатора будут сохранены.

Удаление агрегатора

Чтобы удалить агрегатор:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (включен/выключен).

  2. Нажмите на строку коллектора в списке. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Перейдите на вкладку Конвейеры в карточке коллектора. Система отобразит список конвейеров коллектора.

  4. Нажмите на стрелку (chevron down) в строке конвейера. Отобразится карточка конвейера.

  5. Нажмите на кнопку Конфигурация конвейера в нижней части карточки. Отобразится диаграмма конфигурации конвейера.

  6. Удостоверьтесь, что в выпадающем списке Версия на панели инструментов в окне конфигурации конвейера выбран вариант Черновик.

  7. Выберите опцию Удалить в выпадающем меню Действия (more vertical), расположенном справа от названия агрегатора. Система отобразит окно подтверждения удаления.

  8. Нажмите на кнопку Удалить. Агрегатор будет удален.

Настройки агрегатора

Настройка агрегатора выполняется при его добавлении или изменении.

В окне настроек агрегатора отображается список правил агрегации в выбранном каталоге. Список представлен в виде таблицы со следующими колонками:

  • ID — уникальный идентификационный код правила агрегации, присваиваемый системой автоматически при его создании.

  • Название — системное имя правила агрегации, используемое для его идентификации.

  • Теги — пользовательские теги, присвоенные данному правилу агрегации.

  • Версия — версия правила агрегации, представленная в формате SemVer v2.0.

При работе с таблицей правил агрегации доступны следующие операции:

  • Поиск правил по полям ID, Название и Теги.

  • Фильтрация правил по тегам. Теги выбираются из выпадающего списка.

    Также доступна фильтрация по наличию правил в агрегаторе с помощью флажка Добавлено в агрегатор. При установке флажка в таблице отображаются только правила, уже добавленные в агрегатор.

  • Сортировка правил по полям ID, Название и Версия.

В окне настроек доступен функционал просмотра и добавления правил агрегации, а также обновления их версии.

Просмотр правила агрегации

Чтобы просмотреть конфигурацию правила агрегации из окна настройки агрегатора, нажмите на ID соответствующего правила в списке. Система отобразит окно просмотра выбранного правила в новой вкладке браузера.

Добавление правил агрегации

Чтобы добавить правило агрегации в агрегатор:

  1. Раскройте дерево каталогов в левой части окна настроек агрегатора и выберите каталог, который содержит нужное правило агрегации.

  2. Установите флажок слева от правила агрегации, которое необходимо добавить в агрегатор.

Обновление версии правила агрегации

Если для правила агрегации, добавленного в агрегатор, становится доступной новая версия, в правой части его строки в списке правил агрегации отображается кнопка обновления refresh. По нажатию на эту кнопку происходит актуализация данных правила агрегации в рамках агрегатора в соответствии с новой версией.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение