Настройка почтовых интеграций

В системе R-Vision SIEM оповещения генерируются при обнаружении последовательности событий, соответствующих заданному правилу корреляции. Вы можете настроить отправку оповещений по электронной почте, указав при создании задачи адреса получателей уведомления.

Интеграция с SMTP

Чтобы настроить интеграцию с почтовым сервером SMTP:

Если для подключения к почтовому серверу нужна авторизация, перейдите в раздел Ресурсы → Секреты и создайте секрет типа Учетные данные, поместив в него логин и пароль для авторизации в почтовом сервисе.
Перейдите в раздел Ресурсы → Интеграции. Система отобразит сведения об имеющихся интеграциях, в том числе их текущий статус (включена/выключена).
Нажмите на кнопку Создать () и выберите SMTP из выпадающего меню. Система отобразит окно создания интеграции.
Заполните поля:
1. Название.
2. Описание (опционально).
3. Отправитель.
4. Адрес сервера.
5. Порт.
6. Получатели: введите электронные адреса получателей через запятую.
Если для подключения к почтовому серверу нужна авторизация:
1. Установите переключатель Требуется авторизация в активное положение. Отобразится поле выбора секрета.
2. Выберите секрет типа Учетные данные, созданный на шаге 1.
  
  Чтобы просмотреть выбранный секрет на странице раздела Секреты, нажмите на кнопку Открыть.
Выберите шаблон сообщения, которое будет отправляться на почтовый сервер.

Нажмите на кнопку Проверить подключение. Система проверит доступность подключения к серверу и отобразит его статус (Успешное соединение/Ошибка подключения).

На данном этапе вы можете отправить тестовое оповещение на почтовый сервер с помощью кнопки Отправить тестовое оповещение. Отправка тестового оповещения доступна только после выбора шаблона и успешной проверки подключения.

Нажмите на кнопку Создать. Система отобразит уведомление об успешном создании интеграции. Интеграция отобразится в списке раздела Ресурсы → Интеграции.

Работа с шаблонами сообщения

Для отправки сообщений по SMTP-интеграции необходимо использовать шаблоны. Шаблоны позволяют задавать тему и текст отправляемых сообщений.

По умолчанию в списке шаблонов отображается стандартный шаблон для оповещений SMTP-интеграции. Стандартный шаблон недоступен для изменения или удаления.

Стандартный шаблон для оповещений SMTP-интеграции

Тема сообщения:

Сработало правило корреляции {{alert.correlationRuleName}}

Текст сообщения:

<p><b>Оповещение по правилу корреляции</b></p>
<p>Ссылка на оповещение: {{alert.link}}</p>
<p>R-Vision SIEM Alert ID: {{alert.id}}</p>
<p>Название правила: {{alert.name}}</p>
<p>Дата первого события: {{alert.firstEventTs}}</p>
<p>Дата последнего события: {{alert.lastEventTs}}</p>
<p>Уровень угрозы: {{#switch alert.severity }}
        {{#case 'SEVERITY_LOW'}} Низкий {{/case}}
        {{#case 'SEVERITY_MEDIUM'}} Средний {{/case}}
        {{#case 'SEVERITY_HIGH'}} Высокий {{/case}}
        {{#case 'SEVERITY_CRITICAL'}} Критический {{/case}}
        {{#default 'Средний' }} {{/default}}
    {{/switch}}</p>
<p>Статус: {{#switch alert.status }}
        {{#case 'STATUS_OPEN'}} Новое {{/case}}
        {{#case 'STATUS_IN_PROGRESS'}} В работе {{/case}}
        {{#case 'STATUS_RESOLVED'}} Закрыто {{/case}}
        {{#case 'STATUS_FALSE_POSITIVE'}} Ложное срабатывание {{/case}}
        {{#default 'Новое' }} {{/default}}
    {{/switch}}</p>
<p>Количество корреляционных событий: {{alert.correlationEventsCount}}</p>
{{#if correlationEvent}}
<p><b>Информация по корреляционному событию</b></p>
{{#each correlationEvent}}
<p>{{@key}}: {{this}}</p>
{{/each }}
{{/if}}

Вы можете добавлять, изменять, дублировать и удалять шаблоны сообщений.

Добавление шаблона сообщения

Чтобы добавить новый шаблон сообщения:

Нажмите на кнопку Добавить шаблон в окне настройки интеграции с SMTP. Отобразится окно добавления шаблона сообщения.
Укажите название шаблона, а также тему и текст сообщения.

В теме и тексте сообщения можно передавать поля оповещений и корреляционных событий с помощью специальных шаблонов полей.
Нажмите на кнопку Добавить. Новый шаблон сообщения будет добавлен в список шаблонов.

Изменение шаблона сообщения

Чтобы изменить шаблон сообщения:

Откройте выпадающий список Шаблоны в окне настройки интеграции с SMTP.
Нажмите на кнопку в строке нужного шаблона. Отобразится окно изменения шаблона сообщения.
Внесите требуемые изменения в шаблон сообщения.
Нажмите на кнопку Сохранить. Измененные данные шаблона будут сохранены.

Дублирование шаблона сообщения

Чтобы добавить новый шаблон сообщения на основе существующего:

Откройте выпадающий список Шаблоны в окне настройки интеграции с SMTP.
Нажмите на кнопку в строке нужного шаблона. Отобразится окно добавления шаблона сообщения, поля которого будут автоматически заполнены данными из выбранного шаблона.
Измените название шаблона сообщения.
При необходимости измените тему и текст сообщения.
Нажмите на кнопку Добавить. Новый шаблон сообщения будет добавлен в список шаблонов.

Удаление шаблона сообщения

Чтобы удалить шаблон сообщения:

Откройте выпадающий список Шаблоны в окне настройки интеграции с SMTP.
Нажмите на кнопку в строке нужного шаблона. Отобразится окно подтверждения удаления шаблона.
Нажмите на кнопку Удалить. Выбранный шаблон сообщения будет удален.

Работа с шаблонами полей

В тексте и теме сообщения SMTP-интеграции можно передавать поля оповещений или корреляционных событий, сгенерировавших оповещения. Для этого поля необходимо указать в двойных фигурных скобках: {{...}}.

Данные для корреляционных событий берутся только из первого корреляционного события, сгенерировавшего оповещение. Все последующие события, поступающие на то же оповещение, не учитываются.

Пример 1:

Example 1. Пример шаблона с полем оповещения

{{alert.link}}

В примере выше шаблон получает данные из поля link оповещения. Например, если поле link содержит значение "https://1.0.0.0/alert/id", то такое значение и будет передаваться в сообщении с этим шаблоном.

Пример 2:

Example 2. Пример шаблона с полем корреляционного события

{{correlationEvent.name}}

В примере выше шаблон получает данные из названия корреляционного события. Например, если в качестве названия используется "UsualCorrelationEvent", то такое значение и будет передаваться в сообщении с этим шаблоном.

Если требуются данные из базового события, то необходимо предварительно перенести соответствующие поля события в блок on_correlate правила корреляции.

Построение сложных шаблонов полей

При отправке сообщений по SMTP-интеграции может возникнуть необходимость гибкой настройки шаблона, обрабатывающего различные значения одного и того же поля. Для этого, помимо простых шаблонов полей, в R-Vision SIEM можно использовать шаблоны с конструкцией ветвления switch.

Example 3. Общая структура switch-конструкции

{{#switch <поле> }}
    {{#case '<значение 1>'}} <результат 1> {{/case}}
    {{#case '<значение 2>'}} <результат 2> {{/case}}
    ...
    {{#default '<значение по умолчанию>' }} <результат по умолчанию> {{/default}}
{{/switch}}

Конструкция работает следующим образом:

Проверяется поле <поле> оповещения или корреляционного события.
Содержимое поля сравнивается с заданным списком значений: <значение 1>, <значение 2>, …, <значение по умолчанию>.
В зависимости от значения поля, в сообщении передается одно из следующих значений: <результат 1>, <результат 2>, …, <результат по умолчанию>.

Рассмотрим пример switch-конструкции, работающей на основе оповещения.

Example 4. Пример switch-конструкции

{{#switch alert.status }}
    {{#case 'STATUS_OPEN'}} Создан {{/case}}
    {{#case 'STATUS_IN_PROGRESS'}} Создан {{/case}}
    {{#case 'STATUS_RESOLVED'}} Закрыт {{/case}}
    {{#case 'STATUS_FALSE_POSITIVE'}} Закрыт {{/case}}
    {{#default 'Создан' }} {{/default}}
{{/switch}}

Пример выше проверяет поле status оповещения, а затем передает в сообщении значение, отвечающее содержимому поля status. Например, если поступившее оповещение имеет статус STATUS_OPEN, то в сообщении будет передано значение "Создан".