Обработка событий с нескольких IP-адресов

Система R-Vision SIEM позволяет принимать в одну точку входа события с нескольких IP-адресов и настраивать для каждого IP-адреса отдельные правила обработки событий в рамках одного конвейера, без необходимости создания разных конвейеров с отдельными точками входа на каждый IP-адрес.

Данное руководство описывает процесс настройки конвейера для обработки событий, поступающих на одну точку входа с нескольких IP-адресов.

Об обработке событий с нескольких IP-адресов

Для настройки обработки событий с разных IP-адресов понадобятся следующие элементы конвейера:

  1. Точка входа: подключается к источнику данных и выдает поток исходных событий источника.

    Возможность определения IP-адреса доступна только для событий в точках входа Socket и Syslog.

  2. Маршрутизатор: проверяет каждое событие по условиям маршрутов и направляет его на выходы тех маршрутов, где условие фильтрации выполняется.

    Каждый маршрут должен быть настроен на проверку нужного IP-адреса. Таким образом, события, пришедшие с одного IP-адреса, будут перенаправляться на один и тот же маршрут.

  3. Нормализаторы: приводят структуру полученных событий к единому формату для упрощения последующей работы.

    На каждый маршрут должен быть настроен отдельный нормализатор.

  4. Дополнительные элементы: зависят от целей и задач пользователя по обработке и анализу событий.

  5. Конечные точки: отправляют обработанные события в хранилища данных и внешние системы.

Таким образом, настройка конвейера для обработки событий с нескольких IP-адресов включает следующие шаги:

  1. Добавление конвейера

  2. Настройка конфигурации конвейера

    1. Шаг 1. Точка входа

    2. Шаг 2. Маршрутизатор

    3. Шаг 3. Нормализация данных

    4. Шаг 4. Дополнительные элементы

    5. Шаг 5. Конечные точки

    6. Шаг 6. Включение коллектора и установка конфигурации конвейера

Добавление конвейера

Конвейер — это упорядоченная последовательность взаимосвязанных элементов, выполняющих отдельные этапы обработки событий в системе.

Чтобы добавить конвейер:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (включен/выключен).

  2. Нажмите на строку коллектора, в котором будет выполняться настройка конвейера. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Перейдите на вкладку Конвейеры в карточке коллектора. Система отобразит список конвейеров коллектора.

  4. В нижней части карточки нажмите на кнопку Добавить. На экране отобразится окно добавления конвейера.

  5. Введите название конвейера.

  6. При необходимости введите описание конвейера.

    Установите флажок Открыть конфигурацию конвейера, чтобы сразу перейти в окно настроек конфигурации конвейера после его создания.

  7. Нажмите на кнопку Добавить. Система отобразит уведомление о добавлении конвейера. Новый конвейер появится в списке конвейеров на вкладке Конвейеры в карточке коллектора.

Настройка конфигурации конвейера

При настройке конвейера необходимо создать его компоненты, сконфигурировать их, упорядочить и объединить в последовательность, соответствующую логике обработки данных.

Чтобы перейти к настройке конфигурации конвейера:

  1. Откройте карточку конвейера по стрелке (chevron down) в его строке и нажмите на кнопку Конфигурация конвейера в нижней части карточки.

  2. В открытом окне конфигурации конвейера убедитесь, что в выпадающем списке Версия в правом верхнем углу окна выбран пункт Черновик.

Шаг 1. Точка входа

Точка входа — это элемент конвейера, который отвечает за доставку в систему исходных событий. Имеет один выход и не имеет входов.

Группировка поступающих событий по IP-адресу доступна только для точек входа следующих типов:

  • Socket;

  • Syslog.

Добавьте на конвейер точку входа. При создании выберите нужный тип точки входа и заполните ее параметры.

Шаг 2. Маршрутизатор

Маршрутизатор — это элемент конвейера, который позволяет на основе заданных фильтров (маршрутов) направлять события на разные этапы обработки в зависимости от их содержимого или других условий. На входе маршрутизатора каждое событие проверяется по условиям маршрутов и появляется на выходах тех маршрутов, где условие выполняется.

Чтобы настроить маршрутизацию событий:

  1. Добавьте на конвейер маршрутизатор и задайте в нем маршруты, фильтрующие события по IP-адресам.

  2. Соедините выход из точки входа со входом маршрутизатора.

Настройки маршрутов

Для задания условий маршрутов по IP-адресам используются поля метаданных событий. Обращение к полям метаданных осуществляется через символ процента (%). Набор полей метаданных зависит от типа точки входа.

Table 1. Метаданные Socket
Поле Тип Описание Пример

socket.host

String

IP-адрес источника события.

10.0.0.1
Table 2. Метаданные Syslog
Поле Тип Описание Пример

socket.host

String

IP-адрес источника события.

10.0.0.1

Примеры условий маршрутов

  1. Фильтрация событий по IP-адресу 10.0.0.1:

    Example 1. Пример условия
    %socket.host == "10.0.0.1"

  2. Фильтрация событий по IP-адресу 10.0.0.1 или 10.0.0.2:

    Example 2. Пример условия
    %socket.host == "10.0.0.1" || %socket.host == "10.0.0.2"

Шаг 3. Нормализация данных

На этом этапе поступающие события приводятся к единому формату.

Нормализатор преобразовывает события с помощью установленных на нем правил нормализации. Этот элемент конвейера принимает на вход события, проводит их нормализацию и на выходе предоставляет нормализованные события.

Чтобы добавить нормализатор, необходимо создать и установить на нем правило нормализации, согласно которому нормализатор будет обрабатывать поступающие на него данные и нормализовывать их.

Чтобы настроить нормализацию данных:

  1. Перейдите в раздел Экспертиза.

  2. Создайте правило нормализации.

    Если события с разных IP-адресов необходимо нормализовать по-разному, создайте несколько соответствующих правил нормализации.

  3. Откройте окно конфигурации конвейера, созданного на шаге 1. Убедитесь, что в выпадающем списке в правом верхнем углу окна выбран пункт Черновик.

  4. Добавьте на конвейер нормализаторы, используя ранее созданные правила нормализации. Необходимо добавить на конвейер по одному нормализатору на каждый маршрут.

  5. Соедините выходы из маршрутизатора с нужными входами нормализаторов.

Шаг 4. Дополнительные элементы

При необходимости добавьте на конвейер прочие элементы для дополнительной обработки и анализа событий.

Шаг 5. Конечные точки

Конечная точка, в зависимости от настроек, пересылает событие в хранилище событий или внешнюю систему. Имеет один вход и не имеет выходов.

Чтобы настроить отправку событий:

  1. Добавьте на конвейер одну или несколько конечных точек, в которых будут сохраняться события.

  2. Соедините выходы из нормализаторов, созданных на шаге 3, или из дополнительных элементов, созданных на шаге 4, со входами конечных точек.

Шаг 6. Включение коллектора и установка конфигурации конвейера

Перед включением конвейера убедитесь, что связанный с ним коллектор уже включен.

Чтобы события начали поступать на конвейер и обрабатываться в соответствии с заданными правилами и условиями:

  1. Перейдите в карточку коллектора и включите его.

  2. Откройте конфигурацию конвейера и установите текущую конфигурацию.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение