Работа с оповещениями

Данный раздел описывает процесс работы с оповещениями в системе R-Vision SIEM. Работа осуществляется в разделе Оповещения веб-интерфейса системы.

Раздел доступен администраторам, пользователям, которые имеют соответствующее разрешение в составе своих ролей, а также учетным записям со статусом Суперадминистратор.

Об оповещениях

Оповещения генерируются на основе логики правил сегментации, которые классифицируют и обрабатывают корреляционные события для последующего создания оповещений на их основе. Правила сегментации применяются к потоку событий в рамках сервиса оповещений на конвейере обработки событий, который отвечает за сегментацию корреляционных событий и формирование оповещений в системе.

Чтобы на основе корреляционных событий могли создаваться оповещения, в правиле корреляции необходимо задать поле trigger_alert со значением true.

Правила сегментации обеспечивают фильтрацию и группировку корреляционных событий, позволяя их преобразование в оповещения в соответствии с заранее определенной логикой. Эти правила ассоциированы с конфигурацией сервиса оповещений и задают параметры для группировки событий, учитывая такие аспекты, как тип события, источник или другие характеристики. Основная цель правил сегментации — управление потоком корреляционных событий для их последующей обработки и генерации оповещений.

После генерации оповещения в него начинают поступать события, которые удовлетворяют условиям в соответствующем правиле сегментации. Так, например, в одном оповещении могут собираться все корреляционные события, которые были созданы одним и тем же правилом корреляции. При этом события дополнительно могут группироваться внутри оповещения по определенным критериям, таким как тип события, источник или другие атрибуты, на основе логики, заданной в правиле сегментации.

После обновления системы до версии R-Vision SIEM 1.4.0, все активные оповещения временно перестанут получать события. Это необходимая мера для успешного применения обновлений и гарантии корректной работы новой версии системы.

Для восстановления функционала оповещений, система автоматически создаст новые оповещения для этих событий после перезапуска соответствующего конвейера обработки событий. Мы рекомендуем вам проверить и, при необходимости, перенастроить правила сегментации и корреляции для соответствия новым требованиям версии 1.4.0.

Понимаем возможные неудобства и благодарим за ваше терпение и понимание в процессе обновления. В случае возникновения вопросов или необходимости помощи, пожалуйста, обратитесь в службу поддержки.

Интерфейс раздела

Панель инструментов раздела Оповещения включает в себя следующие компоненты:

  • Кнопка edit позволяет выполнить массовое изменение выбранных оповещений.

  • Кнопка export позволяет экспортировать данные выбранных оповещений в формате CSV.

  • Красный кружок со счетчиком новых оповещений отображает количество оповещений, поступивших в систему и еще не взятых в обработку и имеющих статус Новое.

  • Зеленый кружок со счетчиком оповещений в работе отображает количество оповещений, находящихся в обработке и имеющих статус В работе.

  • Кнопка Закрыть все позволяет одновременно закрыть все оповещения со статусом Новое.

  • Поле Поиск предназначено для быстрого поиска оповещений в отображаемом списке по названию.

  • Кнопка Фильтр (filter) позволяет открыть в правой части рабочей области панель для настройки фильтрации списка оповещений.

В рабочей области раздела отображается таблица имеющихся оповещений. Таблица содержит следующие столбцы:

  • Название — название оповещения.

  • Уровень угрозы — уровень угрозы оповещения: Критический, Высокий, Средний или Низкий.

  • Теги — теги оповещения.

  • Статус — текущий статус оповещения: Ложное срабатывание, В работе, Новое или Закрыто.

  • Количество событий — количество корреляционных событий в сегменте группировки для генерации оповещения.

  • Ответственный — пользователь, ответственный за оповещение.

  • Дата создания — дата и время поступления оповещения в систему.

  • Дата изменения — дата и время последнего изменения оповещения.

При работе с таблицей оповещений доступны следующие операции:

  • Поиск оповещений по полю Название.

  • Фильтрация оповещений по полям Правило сегментации, Теги, Статус, Уровень угрозы и Ответственный:

    • Теги вводятся вручную и применяются по клавише ENTER.

    • Правила сегментации, статус, уровень угрозы и список ответственных выбираются из выпадающих списков.

      Чтобы отобразить в таблице оповещения, назначенные текущему пользователю, выберите из выпадающего списка вариант Мои оповещения.

  • Сортировка оповещений по полям Название, Количество событий, Дата создания и Дата изменения.

  • Настройка отображения таблицы.

При выборе конкретного оповещения в правой части рабочей области отображается его карточка с основной информацией.

Работа с оповещением

Доступные операции над оповещениями:

Просмотр основной информации об оповещении

Чтобы просмотреть основную информацию об оповещении:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях.

  2. Нажмите на строку оповещения в списке. Система отобразит в правой части экрана карточку этого оповещения с основной информацией о нем.

В верхней части карточки отображается название оповещения. Справа от названия расположена кнопка export, по которой осуществляется экспорт выбранного оповещения в формате CSV.

Карточка содержит сведения, сгруппированные по следующим секциям:

  • Информация об оповещении — основные сведения об оповещении, содержащие следующие параметры:

    • ID — уникальный идентификационный код оповещения, генерируемый автоматически при его поступлении в систему.

    • Название — название оповещения.

      Название оповещения формируется на основе логики, определенной в поле alert_name правила сегментации. Если поле alert_name не определено, оповещению будет автоматически присвоено название правила корреляции, которое первым привело к его срабатыванию. Если правило корреляции не ассоциировано с правилом сегментации, название оповещения будет автоматически сформировано из названия правила корреляции.

    • Описание — описание оповещения.

    • ID тенанта — уникальный идентификационный код тенанта, к которому относится оповещение.

    • Название правила сегментации — название правила сегментации, сгенерировавшего оповещение.

    • ID правила сегментации — уникальный идентификационный код правила сегментации, сгенерировавшего оповещение.

    • Поля группировки — поля, по которым производилась группировка корреляционных событий в рамках процесса сегментации.

    • Количество событий для группировки — количество корреляционных событий в сегменте группировки для генерации оповещения.

    • Ограничение группировки по времени — временной интервал в секундах, в рамках которого корреляционные события группируются в оповещение.

    • Название правила корреляции — название правила корреляции, породившего оповещение.

    • Описание правила корреляции — описание правила корреляции, породившего оповещение.

    • Уровень угрозы — уровень угрозы оповещения: Критический, Высокий, Средний или Низкий.

    • Теги — теги оповещения.

    • Ответственный — пользователь, ответственный за оповещение.

    • Статус — текущий статус оповещения: Ложное срабатывание, В работе, Новое или Закрыто.

    • Количество событий — количество корреляционных событий в сегменте группировки для генерации оповещения.

    • Дата создания — дата и время поступления оповещения в систему.

    • Дата обновления — дата и время последнего обновления оповещения.

  • Первое корреляционное событие — поля первого корреляционного события, на основе которого сгенерировано оповещение.

  • Базовые события — список базовых (сырых) событий, лежащих в основе корреляционного события. Список представлен в виде таблицы со следующими столбцами:

    • ID — уникальный идентификационный код базового события.

    • Timestamp — дата и время поступления базового события в систему.

    Вы можете сворачивать и разворачивать список базовых событий с помощью стрелки справа от заголовка списка.

    В строке каждого базового события в списке расположена кнопка поиска search, по которой выполняется поиск соответствующего события в разделе Поиск. Чтобы найти сразу все базовые события в разделе Поиск, нажмите на кнопку Найти все (search) справа от заголовка списка.

В нижней части карточки оповещения находится кнопка Подробнее. При нажатии на кнопку в рабочей области отображается детальная информация об оповещении, которая включает в себя следующие вкладки:

  • Информация — отображает основную информацию об оповещении.

  • Расследование — отображает информацию о событиях и группах из правила корреляции, связанных с оповещением.

  • Интеграция — отображает информацию о связанных с оповещением интеграциях.

Просмотр детальной информации об оповещении

Чтобы просмотреть детальную информацию об оповещении:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях.

  2. Нажмите на строку оповещения в списке. Система отобразит в правой части экрана карточку этого оповещения с основной информацией о нем.

  3. Нажмите на кнопку Подробнее в нижней части карточки. В рабочей области отобразится детальная информация об оповещении.

В верхней части экрана детальной информации об оповещении отображается название оповещения, а также содержатся следующие компоненты:

  • Кнопка export позволяет экспортировать выбранное оповещение в формате CSV.

  • Переключатель Комментарии, позволяющий отобразить в правой части рабочей области панель комментариев, которая содержит список всех комментариев к оповещению в хронологическом порядке.

  • Кнопка Назад, позволяющая вернуться в раздел Оповещения.

Экран детальной информации об оповещении содержит следующие вкладки:

  • Информация — отображает основную информацию об оповещении.

  • Расследование — отображает информацию о событиях и группах из правила корреляции, связанных с оповещением.

  • Интеграция — отображает информацию о связанных с оповещением интеграциях.

Вкладка Информация

Вкладка Информация отображает основные сведения об оповещении, сгруппированные по следующим секциям:

  • Информация об оповещении — основные сведения об оповещении, содержащие следующие параметры:

    • ID — уникальный идентификационный код оповещения, генерируемый автоматически при его поступлении в систему.

    • Название — название оповещения.

      Название оповещения формируется на основе логики, определенной в поле alert_name правила сегментации. Если поле alert_name не определено, оповещению будет автоматически присвоено название правила корреляции, которое первым привело к его срабатыванию. Если правило корреляции не ассоциировано с правилом сегментации, название оповещения будет автоматически сформировано из названия правила корреляции.

    • Описание — описание оповещения.

    • ID тенанта — уникальный идентификационный код тенанта, к которому относится оповещение.

    • Название правила сегментации — название правила сегментации, сгенерировавшего оповещение.

    • ID правила сегментации — уникальный идентификационный код правила сегментации, сгенерировавшего оповещение.

    • Поля группировки — поля, по которым производилась группировка корреляционных событий в рамках процесса сегментации.

    • Количество событий для группировки — количество корреляционных событий в сегменте группировки для генерации оповещения.

    • Ограничение группировки по времени — временной интервал в секундах, в рамках которого корреляционные события группируются в оповещение.

    • Название правила корреляции — название правила корреляции, породившего оповещение.

    • Описание правила корреляции — описание правила корреляции, породившего оповещение.

    • Уровень угрозы — уровень угрозы оповещения: Критический, Высокий, Средний или Низкий.

    • Теги — теги оповещения.

    • Ответственный — пользователь, ответственный за оповещение.

    • Статус — текущий статус оповещения: Ложное срабатывание, В работе, Новое или Закрыто.

    • Количество событий — количество корреляционных событий в сегменте группировки для генерации оповещения.

    • Дата создания — дата и время поступления оповещения в систему.

    • Дата обновления — дата и время последнего обновления оповещения.

  • Первое корреляционное событие — поля первого корреляционного события, на основе которого сгенерировано оповещение.

  • Базовые события — список базовых (сырых) событий, лежащих в основе корреляционного события. Список представлен в виде таблицы со следующими столбцами:

    • ID — уникальный идентификационный код базового события.

    • Timestamp — дата и время поступления базового события в систему.

    Вы можете сворачивать и разворачивать список базовых событий с помощью стрелки справа от заголовка списка.

    В строке каждого базового события в списке расположена кнопка поиска search, по которой выполняется поиск соответствующего события в разделе Поиск. Чтобы найти сразу все базовые события в разделе Поиск, нажмите на кнопку Найти все (search) справа от заголовка списка.

Вкладка Расследование

Вкладка Расследование отображает сведения о событиях и группах из правила корреляции, связанных с оповещением.

В верхней части вкладки отображается список событий корреляции, связанных с оповещением. Список представлен в виде таблицы со следующими столбцами:

  • Время — дата и время возникновения события.

  • Информация о событии — базовое (сырое) событие, лежащее в основе просматриваемого события.

Для таблицы событий доступна сортировка по полю Время.

Над таблицей находится кнопка Все события корреляции, по которой выполняется поиск всех связанных с оповещением событий корреляции в разделе Поиск.

Слева от строки каждого события корреляции в таблице расположена кнопка в виде стрелки, позволяющая раскрыть список базовых событий этого события.

На вкладке также можно раскрыть списки базовых событий сразу всех событий корреляции. Для этого необходимо использовать кнопку в виде стрелки слева от области заголовка таблицы.

Чтобы посмотреть детальную информацию по событию, нажмите на его строку в списке. В правой части рабочей области отобразится карточка выбранного события. Карточка содержит следующие сведения о событии:

  • Дата и время получения события.

  • Служебные поля модели события.

  • Регулярные поля модели события.

  • Для события корреляции: список базовых событий оповещения. Список отображается в виде таблицы со следующими столбцами:

    • ID — уникальный идентификационный код базового события.

    • Timestamp — дата и время поступления базового события в систему.

    Вы можете сворачивать и разворачивать список базовых событий с помощью стрелки справа от заголовка списка.

    В строке каждого базового события в списке расположена кнопка поиска search, по которой выполняется поиск соответствующего события в разделе Поиск. Чтобы найти сразу все базовые события в разделе Поиск, нажмите на кнопку Найти все (search) справа от заголовка списка.

  • Для базового события: подробная информация об исходном событии в виде VRL-запроса.

    Справа от заголовка блока с информацией об исходном событии расположена кнопка Скопировать (copy), позволяющая скопировать исходное событие в буфер обмена.

Вы можете сворачивать и разворачивать блоки сведений о событии с помощью стрелки справа от заголовков блоков.

В нижней части вкладки в рабочей области отображается список групп событий, связанных с оповещением. Список представлен в виде таблицы, содержащей столбцы с полями, по которым проводится группировка в правиле корреляции.

В строке каждой группы в списке расположена кнопка Перейти, по которой выполняется поиск событий в разделе Поиск со значениями полей, соответствующими выбранной группировке.

Вкладка Интеграции

Вкладка Интеграции отображает сведения об интеграциях, связанных с оповещением.

Список интеграций представлен в виде таблицы, содержащей столбцы с названием и текущим статусом связанной интеграции.

В строке каждой интеграции в списке расположена кнопка Отправить, по которой осуществляется отправка оповещения во внешнюю систему согласно настройкам интеграции.

Работа с комментариями

Доступные операции над комментариями:

Просмотр комментариев

Чтобы просмотреть комментарии к оповещению:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях.

  2. Нажмите на строку оповещения в списке. Система отобразит в правой части экрана карточку этого оповещения с основной информацией о нем.

  3. Нажмите на кнопку Подробнее в нижней части карточки. В рабочей области отобразится детальная информация об оповещении.

  4. Переведите переключатель Комментарии в левой верхней части экрана в активное положение. Система отобразит в правой части экрана панель комментариев к оповещению.

На панели комментариев отображены все комментарии, добавленные к оповещению.

В верхней части каждого комментария отображаются:

  • идентификатор пользователя, добавившего комментарий;

  • дата и время добавления комментария;

  • кнопки для изменения и удаления комментария.

Добавление комментариев

Чтобы добавить комментарий к оповещению:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях.

  2. Нажмите на строку оповещения в списке. Система отобразит в правой части экрана карточку этого оповещения с основной информацией о нем.

  3. Нажмите на кнопку Подробнее в нижней части карточки. В рабочей области отобразится детальная информация об оповещении.

  4. Переведите переключатель Комментарии в левой верхней части экрана в активное положение. Система отобразит в правой части экрана панель комментариев к оповещению.

  5. Нажмите на кнопку Добавить комментарий. Система отобразит поле ввода нового комментария.

  6. Введите комментарий.

  7. Нажмите на кнопку Сохранить. Система добавит новый комментарий к оповещению и отобразит соответствующее уведомление. Новый комментарий появится в списке комментариев на панели.

Изменение комментариев

Чтобы изменить комментарий к оповещению:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях.

  2. Нажмите на строку оповещения в списке. Система отобразит в правой части экрана карточку этого оповещения с основной информацией о нем.

  3. Нажмите на кнопку Подробнее в нижней части карточки. В рабочей области отобразится детальная информация об оповещении.

  4. Переведите переключатель Комментарии в левой верхней части экрана в активное положение. Система отобразит в правой части экрана панель комментариев к оповещению.

  5. Нажмите на кнопку edit в правом верхнем углу комментария, который требуется изменить. Система отобразит поле ввода комментария.

  6. Введите новый комментарий.

  7. Нажмите Сохранить. Система сохранит изменения и отобразит соответствующее уведомление. Обновленная информация отобразится на панели комментариев.

Удаление комментариев

Чтобы удалить комментарий к оповещению:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях.

  2. Нажмите на строку оповещения в списке. Система отобразит в правой части экрана карточку этого оповещения с основной информацией о нем.

  3. Нажмите на кнопку Подробнее в нижней части карточки. В рабочей области отобразится детальная информация об оповещении.

  4. Переведите переключатель Комментарии в левой верхней части экрана в активное положение. Система отобразит в правой части экрана панель комментариев к оповещению.

  5. Нажмите на кнопку trash в правом верхнем углу комментария, который требуется удалить. Отобразится окно подтверждения удаления комментария.

  6. Нажмите на кнопку Удалить. Система удалит комментарий и отобразит соответствующее уведомление. Удаленный комментарий будет исключен из списка.

Изменение оповещения

Вы можете вносить изменения в следующие поля оповещения:

  • Описание;

  • Уровень угрозы;

  • Теги;

  • Ответственный;

  • Статус.

Чтобы изменить оповещение:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях.

  2. Нажмите на строку оповещения в списке. Система отобразит в правой части экрана карточку этого оповещения с основной информацией о нем.

  3. Нажмите на кнопку edit в строке нужного поля. Система отобразит поле изменения значения.

  4. Измените значение поля. Способ задания нового значения зависит от изменяемого поля.

  5. Нажмите на кнопку Сохранить. Система сохранит изменения и отобразит соответствующее уведомление. Обновленная информация отобразится в карточке и списке оповещений.

Изменить оповещение можно также на вкладке Информация на экране его детальной информации:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях.

  2. Нажмите на строку оповещения в списке. Система отобразит в правой части экрана карточку этого оповещения с основной информацией о нем.

  3. Нажмите на кнопку Подробнее в нижней части карточки. В рабочей области отобразится детальная информация об оповещении.

  4. Убедитесь, что на экране детальной информации об оповещении открыта вкладка Информация.

  5. Нажмите на кнопку edit рядом с нужным полем. Система отобразит поле изменения значения.

  6. Измените значение поля. Способ задания нового значения зависит от изменяемого поля.

  7. Нажмите на кнопку Сохранить. Система сохранит изменения и отобразит соответствующее уведомление. Обновленная информация отобразится на экране оповещения.

Вы также можете изменить поля Уровень угрозы, Статус и Ответственный сразу у нескольких оповещений. Для этого:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях.

  2. Установите флажки напротив тех оповещений, которые вы хотите изменить, в левом столбце таблицы.

  3. Нажмите на кнопку edit на панели инструментов. Отобразится окно изменения выбранных оповещений.

  4. Выберите новые значения полей оповещения. Способ задания нового значения зависит от изменяемого поля.

    Если какой-то параметр не требуется изменять, оставьте его поле незаполненным.

  5. Нажмите на кнопку Сохранить. Система сохранит изменения для выбранных оповещений и отобразит соответствующее уведомление. В уведомлении будет указано количество измененных оповещений.

Особенности изменения полей оповещения

Способ изменения значения зависит от поля оповещения:

  • Описание — введите новый текст описания.

  • Уровень угрозы — выберите из выпадающего списка новый уровень угрозы оповещения: Критический, Высокий, Средний или Низкий.

  • Теги — задайте новый список тегов.

  • Ответственный — выберите из выпадающего списка пользователя, ответственного за оповещение.

    Ответственный после назначения не может быть удален. При необходимости можно выбрать другого пользователя, но нельзя убрать ответственного за оповещение, если он уже был назначен.

  • Статус — выберите из выпадающего списка новый статус оповещения: Ложное срабатывание, В работе или Закрыто.

    Статус Новое присваивается оповещению при его создании и не может быть назначен вручную.

Массовое закрытие оповещений

Массовое закрытие позволяет одновременно перевести все оповещения со статусом Новое в один из следующих статусов:

  • Закрыто;

  • Ложное срабатывание.

Чтобы воспользоваться массовым закрытием оповещений:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях.

  2. Нажмите на кнопку Закрыть все над списком оповещений. Отобразится окно закрытия оповещений.

  3. Выберите итоговый статус закрываемых оповещений из выпадающего списка.

  4. Нажмите на кнопку Закрыть. Система переведет все новые оповещения в выбранный статус и отобразит соответствующее уведомление.

Экспорт оповещения

Экспорт оповещений происходит в формате CSV со следующими полями:

  • ID оповещения;

  • все поля сущности оповещения;

  • ссылка на оповещение;

  • ID корреляционных событий.

Чтобы экспортировать отдельное оповещение:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях.

  2. Нажмите на строку оповещения в списке. Система отобразит в правой части экрана карточку этого оповещения с основной информацией о нем.

  3. Нажмите на кнопку export в верхней части карточки. Отобразится окно экспорта оповещения.

  4. Нажмите Экспортировать. Система загрузит информацию об оповещении на устройство пользователя и отобразит соответствующее уведомление.

Экспортировать оповещение можно также из экрана его детальной информации. Для этого:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях.

  2. Нажмите на строку оповещения в списке. Система отобразит в правой части экрана карточку этого оповещения с основной информацией о нем.

  3. Нажмите на кнопку Подробнее в нижней части карточки. В рабочей области отобразится детальная информация об оповещении.

  4. Нажмите на кнопку export на панели инструментов. Отобразится окно экспорта оповещения.

  5. Нажмите Экспортировать. Система загрузит информацию об оповещении на устройство пользователя и отобразит соответствующее уведомление.

Вы также можете экспортировать сразу несколько оповещений. Для этого:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях.

  2. Установите флажки напротив тех оповещений, которые вы хотите экспортировать, в левом столбце таблицы.

  3. Нажмите на кнопку export на панели инструментов. Отобразится окно экспорта выбранных оповещений.

  4. Нажмите Экспортировать. Система загрузит информацию об оповещениях на устройство пользователя и отобразит соответствующее уведомление.

При экспорте списка оповещений выгружаются только те оповещения, которые отображаются в списке после применения фильтров и поиска.
+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение