Настройка почтовых интеграций
В системе R-Vision SIEM оповещения генерируются при обнаружении последовательности событий, соответствующих заданному правилу корреляции. Вы можете настроить отправку оповещений по электронной почте, указав при создании задачи адреса получателей уведомления.
Интеграция с SMTP
Чтобы настроить интеграцию с почтовым сервером SMTP:
-
Если для подключения к почтовому серверу нужна авторизация, перейдите в раздел Ресурсы → Секреты и создайте секрет типа Учетные данные, поместив в него логин и пароль для авторизации в почтовом сервисе.
-
Перейдите в раздел Ресурсы → Интеграции. Система отобразит сведения об имеющихся интеграциях.
-
Нажмите на кнопку Создать (
) и выберите SMTP из выпадающего меню. Система отобразит окно создания интеграции. -
Заполните поля:
-
Название.
-
Описание (опционально).
-
Отправитель.
-
Адрес сервера.
-
Порт.
-
Получатели: введите электронные адреса получателей через запятую.
-
-
Если для подключения к почтовому серверу нужна авторизация:
-
Установите переключатель Требуется авторизация в активное положение. Отобразится поле выбора секрета.
-
Выберите секрет типа Учетные данные, созданный на шаге 1.
Чтобы просмотреть выбранный секрет на странице раздела Секреты, нажмите на кнопку Открыть.
-
-
Выберите шаблон сообщения, которое будет отправляться на почтовый сервер.
-
Нажмите на кнопку Проверить подключение. Система проверит доступность подключения к серверу и отобразит его статус (Успешное соединение/Ошибка подключения).
На данном этапе вы можете отправить тестовое оповещение на почтовый сервер с помощью кнопки Отправить тестовое оповещение. Отправка тестового оповещения доступна только после выбора шаблона и успешной проверки подключения. -
Нажмите на кнопку Создать. Система создаст интеграцию и отобразит соответствующее уведомление. Новая интеграция появится в списке раздела Ресурсы → Интеграции.
Работа с шаблонами сообщения
Для отправки сообщений по SMTP-интеграции необходимо использовать шаблоны. Шаблоны позволяют задавать тему и текст отправляемых сообщений.
По умолчанию в списке шаблонов отображается стандартный шаблон для оповещений SMTP-интеграции. Стандартный шаблон недоступен для изменения или удаления.
Стандартный шаблон для оповещений SMTP-интеграции
Тема сообщения:
Сработало правило корреляции {{alert.correlationRuleName}}
Текст сообщения:
<p><b>Оповещение по правилу корреляции</b></p>
<p>Ссылка на оповещение: {{alert.link}}</p>
<p>R-Vision SIEM Alert ID: {{alert.id}}</p>
<p>Название правила: {{alert.name}}</p>
<p>Дата первого события: {{alert.firstEventTs}}</p>
<p>Дата последнего события: {{alert.lastEventTs}}</p>
<p>Уровень угрозы: {{#switch alert.severity }}
{{#case 'SEVERITY_LOW'}} Низкий {{/case}}
{{#case 'SEVERITY_MEDIUM'}} Средний {{/case}}
{{#case 'SEVERITY_HIGH'}} Высокий {{/case}}
{{#case 'SEVERITY_CRITICAL'}} Критический {{/case}}
{{#default 'Средний' }} {{/default}}
{{/switch}}</p>
<p>Статус: {{#switch alert.status }}
{{#case 'STATUS_OPEN'}} Новое {{/case}}
{{#case 'STATUS_IN_PROGRESS'}} В работе {{/case}}
{{#case 'STATUS_RESOLVED'}} Закрыто {{/case}}
{{#case 'STATUS_FALSE_POSITIVE'}} Ложное срабатывание {{/case}}
{{#default 'Новое' }} {{/default}}
{{/switch}}</p>
<p>Количество корреляционных событий: {{alert.correlationEventsCount}}</p>
{{#if correlationEvent}}
<p><b>Информация по корреляционному событию</b></p>
{{#each correlationEvent}}
<p>{{@key}}: {{this}}</p>
{{/each }}
{{/if}}
Вы можете добавлять, изменять и удалять шаблоны сообщений, а также создавать новые шаблоны на основе существующих.
Добавление шаблона сообщения
Чтобы добавить новый шаблон сообщения:
-
Нажмите на кнопку Добавить шаблон в окне настройки интеграции с SMTP. Отобразится окно добавления шаблона сообщения.
-
Укажите название шаблона, а также тему и текст сообщения.
В теме и тексте сообщения можно передавать поля оповещений и корреляционных событий с помощью специальных шаблонов полей.
-
Нажмите на кнопку Добавить. Система создаст шаблон сообщения и отобразит соответствующее уведомление. Новый шаблон появится в списке.
Изменение шаблона сообщения
Чтобы изменить шаблон сообщения:
-
Откройте выпадающий список Шаблон в окне настройки интеграции с SMTP.
-
Нажмите на кнопку
в строке нужного шаблона. Отобразится окно изменения шаблона сообщения. -
Внесите требуемые изменения в шаблон сообщения.
-
Нажмите на кнопку Сохранить. Система сохранит изменения и отобразит соответствующее уведомление. Обновленная информация отобразится в выпадающем списке шаблонов, а также в окне настройки интеграции, если выбран данный шаблон.
Создание шаблона сообщения на основе существующего шаблона
Чтобы добавить новый шаблон сообщения на основе существующего:
-
Откройте выпадающий список Шаблон в окне настройки интеграции с SMTP.
-
Нажмите на кнопку
в строке нужного шаблона. Отобразится окно добавления шаблона сообщения, поля которого будут автоматически заполнены данными из выбранного шаблона. -
Измените название шаблона сообщения.
-
При необходимости измените тему и текст сообщения.
-
Нажмите на кнопку Добавить. Система создаст шаблон сообщения и отобразит соответствующее уведомление. Новый шаблон появится в выпадающем списке шаблонов.
Удаление шаблона сообщения
Чтобы удалить шаблон сообщения:
-
Откройте выпадающий список Шаблон в окне настройки интеграции с SMTP.
-
Нажмите на кнопку
в строке нужного шаблона. Отобразится окно подтверждения удаления шаблона. -
Нажмите на кнопку Удалить. Система удалит шаблон сообщения и отобразит соответствующее уведомление. Удаленный шаблон будет исключен из выпадающего списка шаблонов.
Работа с шаблонами полей
В тексте и теме сообщения SMTP-интеграции можно передавать поля оповещений или корреляционных событий, сгенерировавших оповещения. Для этого поля необходимо указать в двойных фигурных скобках: {{...}}.
| Данные для корреляционных событий берутся только из первого корреляционного события, сгенерировавшего оповещение. Все последующие события, поступающие на то же оповещение, не учитываются. |
Пример 1:
{{alert.link}}
В примере выше шаблон получает данные из поля link оповещения. Например, если поле link содержит значение "https://1.0.0.0/alert/id", то такое значение и будет передаваться в сообщении с этим шаблоном.
Пример 2:
{{correlationEvent.name}}
В примере выше шаблон получает данные из названия корреляционного события. Например, если в качестве названия используется "UsualCorrelationEvent", то такое значение и будет передаваться в сообщении с этим шаблоном.
Если требуются данные из базового события, то необходимо предварительно перенести соответствующие поля события в блок on_correlate правила корреляции.
|
Построение сложных шаблонов полей
При отправке сообщений по SMTP-интеграции может возникнуть необходимость гибкой настройки шаблона, обрабатывающего различные значения одного и того же поля. Для этого, помимо простых шаблонов полей, в R-Vision SIEM можно использовать шаблоны с конструкцией ветвления switch.
{{#switch <поле> }}
{{#case '<значение 1>'}} <результат 1> {{/case}}
{{#case '<значение 2>'}} <результат 2> {{/case}}
...
{{#default '<значение по умолчанию>' }} <результат по умолчанию> {{/default}}
{{/switch}}
Конструкция работает следующим образом:
-
Проверяется поле
<поле>оповещения или корреляционного события. -
Содержимое поля сравнивается с заданным списком значений:
<значение 1>,<значение 2>, …,<значение по умолчанию>. -
В зависимости от значения поля, в сообщении передается одно из следующих значений:
<результат 1>,<результат 2>, …,<результат по умолчанию>.
Рассмотрим пример switch-конструкции, работающей на основе оповещения.
{{#switch alert.status }}
{{#case 'STATUS_OPEN'}} Создан {{/case}}
{{#case 'STATUS_IN_PROGRESS'}} Создан {{/case}}
{{#case 'STATUS_RESOLVED'}} Закрыт {{/case}}
{{#case 'STATUS_FALSE_POSITIVE'}} Закрыт {{/case}}
{{#default 'Создан' }} {{/default}}
{{/switch}}
Пример выше проверяет поле status оповещения, а затем передает в сообщении значение, отвечающее содержимому поля status. Например, если поступившее оповещение имеет статус STATUS_OPEN, то в сообщении будет передано значение "Создан".
