Отслеживание действий над объектами

Сервис аудита в R-Vision SIEM позволяет собирать, анализировать и хранить данные о действиях пользователей и событиях в системе. Эти события можно доставлять на конвейер с помощью точки входа Audit и настраивать их обработку в соответствии с конфигурацией конвейера.

Например, можно настроить конфигурацию конвейера так, чтобы в разные хранилища направлялись события аудита разных типов. Это позволит отслеживать определенные действия над различными сущностями в системе для обнаружения несанкционированных действий и поддержания безопасности инфраструктуры организации. Так, например, можно обнаружить изменение или удаление коллектора, критически важного для организации, и своевременно принять необходимые меры.

Данное руководство описывает процесс настройки конвейера для отслеживания действий над объектами системы.

В представленном руководстве термин "объект" используется для обозначения сущностей системы, например, коллекторов, конвейеров, элементов экспертизы, активных списков.

Об отслеживании действий над объектами

Для отслеживания определенных действий над объектами, первоначально требуется создать хранилища событий, в каждом из которых будут храниться события аудита определенного типа. В представленной инструкции будет рассматриваться отслеживание действий с типами "Создание", "Изменение" и "Удаление". Таким образом, для представленного случая понадобятся четыре хранилища: по одному на каждый из трех типов действий и еще одно — для всех остальных.

Для настройки конвейера с отслеживанием действий над объектами понадобятся следующие элементы:

  1. Точка входа Аудит: обеспечивает непрерывный сбор событий сервиса аудита с выбранными уровнями угрозы.

  2. Маршрутизатор: направляет поток событий по разным маршрутам в зависимости от условий фильтрации на этих маршрутах.

  3. Конечные точки: отправляют обработанные события в хранилища данных.

Таким образом, настройка конвейера для создания оповещений о событиях сервиса аудита включает следующие шаги:

  1. Добавление конвейера

  2. Настройка конфигурации конвейера

    1. Шаг 1. Точка входа Audit

    2. Шаг 2. Маршрутизация данных

    3. Шаг 3. Конечные точки

    4. Шаг 4. Включение коллектора и установка конфигурации конвейера

Добавление конвейера

Конвейер — это упорядоченная последовательность взаимосвязанных элементов, выполняющих отдельные этапы обработки событий в системе.

Чтобы добавить конвейер:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (включен/выключен).

  2. Нажмите на строку коллектора, в котором будет выполняться настройка конвейера. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Перейдите на вкладку Конвейеры в карточке коллектора. Система отобразит список конвейеров коллектора.

  4. В нижней части карточки нажмите на кнопку Добавить. На экране отобразится окно добавления конвейера.

  5. Введите название конвейера.

  6. При необходимости введите описание конвейера.

    Установите флажок Открыть конфигурацию конвейера, чтобы сразу перейти в окно настроек конфигурации конвейера после его создания.

  7. Нажмите на кнопку Добавить. Система отобразит уведомление о добавлении конвейера. Новый конвейер появится в списке конвейеров на вкладке Конвейеры в карточке коллектора.

Настройка конфигурации конвейера

При настройке конвейера необходимо создать его компоненты, сконфигурировать их, упорядочить и объединить в последовательность, соответствующую логике обработки данных.

Чтобы перейти к настройке конфигурации конвейера:

  1. Откройте карточку конвейера по стрелке (chevron down) в его строке и нажмите на кнопку Конфигурация конвейера в нижней части карточки.

  2. В открытом окне конфигурации конвейера убедитесь, что в выпадающем списке Версия в правом верхнем углу окна выбран пункт Черновик.

Шаг 1. Точка входа Audit

Точка входа Audit — это элемент конвейера, который собирает события сервиса аудита и доставляет их на конвейер для дальнейшей обработки и анализа. Точка входа имеет один выход и не имеет входов.

С помощью точки входа Audit можно отслеживать действия пользователей в системе для предотвращения, обнаружения и реагирования на возможные угрозы или нарушения безопасности.

Добавьте на конвейер точку входа типа Audit. При создании выберите необходимые уровни угрозы для фильтрации входящего потока событий аудита.

Шаг 2. Маршрутизация данных

Чтобы направлять поступающие данные по разным путям обработки, необходимо добавить на конвейер маршрутизатор.

Маршрутизатор — это элемент конвейера, который позволяет на основе заданных фильтров направлять события по разным маршрутам в зависимости от выполнения условий фильтрации. Имеет один вход и несколько выходов: по одному выходу на каждый настроенный маршрут.

  1. Добавьте на конвейер маршрутизатор. При добавлении элемента настройте необходимые маршруты. Например:

    Example 1. Условие маршрута 1
    .meta.action_type == "Создание"
    Example 2. Условие маршрута 2
    .meta.action_type == "Изменение"
    Example 3. Условие маршрута 3
    .meta.action_type == "Удаление"

    Данные условия проверяют поле action_type, в котором хранится тип действия, породившего событие, и на основе его значения направляют событие по одному из настроенных маршрутов. В представленном примере учитываются действия типа "Создание", "Изменение" и "Удаление".

    В настройках маршрутизатора установите флажок Добавить маршрут по умолчанию, чтобы направлять события, не удовлетворяющие ни одному из заданных условий, в маршрут По умолчанию.

  2. Выход из элемента Точка входа соедините со входом элемента Маршрутизатор.

Шаг 3. Конечные точки

Конечная точка пересылает событие в хранилище событий. Имеет один вход и не имеет выходов.

  1. Добавьте на конвейер конечные точки, в которые будут сохраняться события. При добавлении элементов выберите необходимые хранилища, куда будут направляться события требуемого типа.

    Количество добавленных конечных точек должно совпадать с количеством маршрутов элемента Маршрутизатор.

  2. Выходы из маршрутов элемента Маршрутизатор соедините со входами элементов Конечная точка.

Шаг 4. Включение коллектора и установка конфигурации конвейера

Перед включением конвейера убедитесь, что связанный с ним коллектор уже включен.

Чтобы события аудита начали поступать на конвейер и обрабатываться:

  1. Перейдите в карточку коллектора и включите его.

  2. Откройте конфигурацию конвейера и установите текущую конфигурацию.

    События, порождаемые действиями в системе, будут направляться в разные хранилища в зависимости от типа действия.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение