Работа с моделями событий

Данный раздел описывает процесс работы с моделями событий в системе R-Vision SIEM. Работа осуществляется в разделе Ресурсы → Модели событий веб-интерфейса системы.

Раздел доступен администраторам, пользователям, которые имеют соответствующее разрешение в составе своих ролей, а также учетным записям со статусом Суперадминистратор.

О моделях событий

Модель события определяет формат хранилища событий — имена, типы полей и типы данных в полях. При создании хранилища событий обязательно указывается используемая в нем модель события.

Система R-Vision SIEM поддерживает модели событий двух типов:

  • Системные модели событий — создаются системой автоматически. Они недоступны для изменения или удаления.

  • Пользовательские модели событий — создаются вручную.

В системе имеются следующие системные модели событий:

Интерфейс раздела

Панель инструментов включает в себя следующие компоненты:

  • Кнопка Создать (plus) позволяет создать новую модель события.

  • Поле Поиск предназначено для быстрого поиска моделей событий в отображаемом списке по названию. Выпадающий список Статус позволяет настроить отображение списка моделей событий в соответствии с выбранным статусом.

  • Кнопки Экспорт (export) и Импорт (import) позволяют выгружать существующие модели событий из системы и загружать в систему модели событий извне.

В рабочей области отображается таблица имеющихся моделей событий. При выборе конкретной модели в рабочей области отображается таблица ее полей, которая включает в себя следующие колонки:

  • Ключ поля — уникальный ключ идентификации поля модели события.

  • Описание — краткое описание функциональности поля модели события.

  • Тип поля — тип поля:

    • Служебное — поле, создаваемое системой автоматически.

    • Регулярное — поле, добавленное в модель события вручную.

  • Тип данных — тип данных значений, хранящихся в поле модели события.

  • Параметры типа данных — дополнительные параметры значений поля, зависящие от выбранного типа данных.

  • Поле хранящее название — ключ поля, определяющего семантику названия текущего поля.

  • Может быть null — возможность хранить значение типа null в поле модели события.

  • Отображать поле — отображение поля при просмотре списка событий модели.

Над таблицей расположены инструменты для работы с моделью события:

  • Переключатель статуса модели.

  • Кнопка для редактирования модели.

  • Кнопка удаления модели события.

  • Кнопка создания новой модели события на базе текущей.

  • Кнопка для экспорта модели события.

  • Поле поиска полей модели по их ключу.

Колонки таблицы моделей событий представлены следующим образом:

  • Название — название модели события, используемое для ее идентификации.

  • Описание — описание модели события.

  • Тип — тип модели события: системная или пользовательская.

  • Статус — текущий статус модели события (включена или выключена).

  • Дата создания — дата и время создания модели события.

  • Дата изменения — дата и время последнего изменения модели события.

При работе с таблицей моделей событий доступны следующие операции:

Работа с моделью события

Доступные операции над моделями событий:

Создание модели события

Чтобы создать модель события:

  1. Перейдите в раздел Ресурсы → Модели событий. Система отобразит сведения об имеющихся моделях событий, в том числе их статус (включена/выключена).

  2. Нажмите на кнопку Создать (plus). Отобразится окно создания модели события.

  3. Введите название модели события.

  4. Введите описание модели события.

  5. В нижней части окна находится раздел Схема, содержащий список полей, которые будут использоваться в этой модели события.

    По умолчанию система отображает набор служебных полей.

    Список можно расширить, добавив вручную регулярные поля. Для этого:

    1. Нажмите на кнопку Добавить строку. Система отобразит окно добавления поля.

    2. Введите уникальный ключ идентификации нового поля.

    3. При необходимости установите флажок Поле с изменяемой семантикой, чтобы использовать значения из другого поля при построении семантики названия нового поля. Выберите поле из выпадающего списка Поле, хранящее название, чтобы определить, какое поле будет использовать система для формирования его названия. Можно использовать только следующие типы полей: String, LCString, Enum.

      Пример

      Создадим поле с ключом collector_number и укажем, что для задания названия этого поля нужно использовать поле id_list. Предположим, поле id_list принимает значение collector_id, а поле collector_number — 250.

      При применении этой модели события для поля с ключом collector_number в событии отобразится значение: collector_id:250.

    4. Введите описание нового поля.

    5. Выберите тип данных нового поля. В зависимости от выбранного типа данных необходимо указать его параметры:

      • Array — выберите тип элемента Array из списка.

      • Enum — укажите значения Enum, разделяя их запятой без пробелов.

      • KeyValue — выберите тип элемента KeyValue из списка.

      • UInt — выберите разрядность из списка.

    6. При необходимости включите переключатель Может быть null, чтобы поле могло хранить значение типа null. Если переключатель выключен, а поле не заполнено, событие в хранилище не будет создано.

      В полях типов Array, KeyValue, LCString этот переключатель не используется.

    7. При необходимости включите переключатель Отображать поле, чтобы поле отображалось в списке результатов поиска в разделе Поиск.

      Эту настройку можно изменить при просмотре модели события или при настройке внешнего вида списка событий.

    8. Нажмите на кнопку Добавить.

      Повторите действия, чтобы добавить несколько регулярных полей.

      По умолчанию, универсальная модель содержит 150 служебных полей. Пользователь может добавить до 20 регулярных полей.

      При необходимости вы можете изменить или удалить добавленные регулярные поля:

      • Чтобы изменить поле, нажмите на кнопку edit в строке поля. Отобразится окно изменения поля, в котором внесите требуемые изменения и нажмите на кнопку Сохранить. Измененные данные поля будут сохранены.

      • Чтобы удалить поле, нажмите на кнопку trash в строке поля. Поле будет удалено из списка полей модели события.

      Служебные поля в модели данных создаются и заполняются автоматически и недоступны для изменения или удаления.

  6. Нажмите на кнопку Создать. Система создаст новую модель события и отобразит уведомление о ее добавлении. Модель отобразится в списке раздела Ресурсы → Модели событий.

Просмотр информации о модели события

Чтобы просмотреть информацию о модели события:

  1. Перейдите в раздел Ресурсы → Модели событий. Система отобразит сведения об имеющихся моделях событий, в том числе их статус (включена/выключена).

  2. Нажмите на строку модели события в списке. Система отобразит в рабочей области список полей, содержащихся в этой модели.

Название модели события отображается в верхней части рабочей области.

Чтобы закрыть список полей модели и вернуться в раздел Ресурсы → Модели событий, нажмите на кнопку Назад, расположенную над списком, или перейдите в раздел Ресурсы → Модели событий на боковой панели.

Список полей модели содержит следующую информацию о каждом поле:

  • Ключ поля.

  • Описание поля.

  • Тип поля: служебное (создается системой автоматически) или регулярное (создается вручную).

  • Тип данных значений поля и его параметры.

  • Поле, определяющее семантику названия текущего поля.

  • Возможность хранить значение null в поле.

  • Отображение поля при просмотре события модели. Чтобы поле отображалось, переведите переключатель в активное положение. По умолчанию отображаются следующие поля:

Чтобы найти поле модели, введите его ключ в строку поиска над списком полей модели и нажмите клавишу ENTER. В списке отобразятся поля модели, в ключе которых встречается введенный запрос.

Включение модели события

Включение и выключение доступно только для моделей событий с типом Пользовательская.

Для того чтобы модель события можно было использовать при создании хранилища событий, ее нужно включить.

При создании модель события включается автоматически.

Чтобы включить модель события:

  1. Перейдите в раздел Ресурсы → Модели событий. Система отобразит сведения об имеющихся моделях событий, в том числе их статус (включена/выключена).

  2. Нажмите на строку модели события в списке. Система отобразит в рабочей области список полей, содержащихся в этой модели.

  3. Переведите переключатель состояния модели события, расположенный над списком полей модели, в активное положение. Система обновит информацию о статусе модели события. Модель события появится в списке доступных моделей при создании хранилища событий.

Чтобы выключить работающую модель события:

  1. Перейдите в раздел Ресурсы → Модели событий. Система отобразит сведения об имеющихся моделях событий, в том числе их статус (включена/выключена).

  2. Нажмите на строку модели события в списке. Система отобразит в рабочей области список полей, содержащихся в этой модели.

  3. Переведите переключатель состояния модели события, расположенный над списком полей модели, в неактивное положение. Отобразится окно подтверждения деактивации модели события.

  4. Нажмите на кнопку Подтвердить. Система обновит информацию о статусе модели события. Модель события исчезнет из списка доступных моделей при создании хранилища событий.

Изменение модели события

Изменение доступно только для моделей событий с типом Пользовательская.

Чтобы изменить модель события:

  1. Перейдите в раздел Ресурсы → Модели событий. Система отобразит сведения об имеющихся моделях событий, в том числе их статус (включена/выключена).

  2. Нажмите на строку модели события в списке. Система отобразит в рабочей области список полей, содержащихся в этой модели.

  3. Нажмите на кнопку edit, расположенную над списком полей модели. Отобразится окно редактирования модели события.

  4. Внесите требуемые изменения в настройки модели события.

  5. Нажмите на кнопку Сохранить. Измененные данные модели события будут сохранены.

Экспорт модели события

  1. Перейдите в раздел Ресурсы → Модели событий. Система отобразит сведения об имеющихся моделях событий, в том числе их статус (включена/выключена).

  2. Нажмите на строку модели события в списке. Система отобразит в рабочей области список полей, содержащихся в этой модели.

  3. Нажмите на кнопку export, расположенную над списком полей модели. Данные модели события будут экспортированы.

Создание новой модели события на базе текущей

Чтобы создать новую модель события на базе текущей:

  1. Перейдите в раздел Ресурсы → Модели событий. Система отобразит сведения об имеющихся моделях событий, в том числе их статус (включена/выключена).

  2. Нажмите на строку модели события в списке. Система отобразит в рабочей области список полей, содержащихся в этой модели.

  3. Нажмите на кнопку plus, расположенную над списком полей модели. Отобразится окно создания новой модели события, в котором автоматически будут добавлены все поля текущей модели.

  4. Введите название модели события.

  5. Введите описание модели события.

  6. При необходимости измените состав полей новой модели события.

  7. Нажмите на кнопку Создать. Система создаст новую модель события и отобразит уведомление о ее добавлении. Модель отобразится в списке раздела Ресурсы → Модели событий.

Удаление модели события

Удаление доступно только для моделей событий с типом Пользовательская.

Удаление недоступно для моделей событий, используемых в других сущностях системы.

Чтобы удалить модель события:

  1. Перейдите в раздел Ресурсы → Модели событий. Система отобразит сведения об имеющихся моделях событий, в том числе их статус (включена/выключена).

  2. Нажмите на строку модели события в списке. Система отобразит в рабочей области список полей, содержащихся в этой модели.

  3. Нажмите на кнопку trash, расположенную над списком полей модели. Отобразится окно подтверждения удаления модели события.

  4. Нажмите на кнопку Удалить. Система отобразит уведомление об удалении выбранной модели события, и модель будет удалена из списка раздела.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение