Аудит источников событий

Данный раздел описывает процесс работы с источниками событий в системе. Работа осуществляется в разделе Инструменты → Аудит источников веб-интерфейса системы.

Раздел доступен администраторам, пользователям, которые имеют соответствующее разрешение в составе своих ролей, а также учетным записям со статусом Суперадминистратор.

Об аудите источников

В системе R-Vision SIEM можно контролировать состояние источников, из которых поступают события в коллекторы.

Состояние источников оценивается на основе данных о частоте и количестве поступающих событий. Это позволяет обнаружить отклонения, такие как слабые потоки событий или полное прекращение поступления событий. Для отслеживания таких ситуаций используются настраиваемые политики аудита источников. В политике можно задать пороговое значение количества поступающих событий и период времени, за который они должны учитываться.

Запуск политики аудита источников происходит по расписанию, которое определяется параметром Интервал. В заданное время система запускает проверку количества событий, поступивших от источника за интервал времени. Если количество событий меньше или равно значению, указанному в параметре Порог, происходит срабатывание политики аудита источников. Одну политику аудита источников можно применить к нескольким источникам событий. Однако одному источнику событий может быть назначена только одна политика. Если к источнику не применена политика аудита источников, то по умолчанию установленный интервал проверки составляет 30 минут, а порог срабатывания — 1 событие.

Политики аудита источников позволяют автоматически отслеживать изменения в потоке событий и отправлять уведомления при достижении заданных пороговых значений через настроенные в системе интеграции.

Политики аудита источников событий отображаются в таблице в разделе Инструменты → Аудит источников на вкладке Политики аудита источников. В этом разделе можно добавлять новые политики и изменять существующие.

Списки источников отображаются в веб-интерфейсе программы в разделе Инструменты → Аудит источников на вкладке Список точек входа. В этом разделе можно изменять и удалять источники событий.

Интерфейс раздела

Панель инструментов раздела включает следующие компоненты:

  • Кнопка Создать (plus) позволяет добавить новую политику аудита источников. Кнопка отображается только на вкладке Политики аудита источников.

  • Поле Поиск предназначено для быстрого поиска источников событий и политик аудита источников по их названию и ID.

  • Кнопка Фильтр (filter) позволяет применять фильтры для отображения источников событий и политик аудита источников по различным критериям.

Раздел содержит две вкладки:

  • Список точек входа — отображает список всех подключенных источников событий, их статус, идентификатор, тип, адрес и порт подключения, а также информацию о связанных с ними конвейерах, коллекторах и политиках аудита источников.

  • Политики аудита источников — предоставляет возможности управления политиками аудита источников, которые применяются к источникам событий, включая создание, редактирование и удаление политик, а также отображение их текущего статуса, пороговых значений, интервалов проверки, даты создания и последнего изменения.

В рабочей области вкладки Список точек входа отображается таблица имеющихся в системе источников событий, которые доступны пользователю. Колонки таблицы представлены следующим образом:

  • Статус — текущий статус источника событий (Включен/Выключен/Ошибка).

  • ID элемента — уникальный идентификатор источника событий.

  • Название — имя источника событий.

  • Тип точки входа — тип источника событий (например, Endpoint).

  • Адрес подключения — IP-адрес или доменное имя источника событий.

  • Порт подключения — номер порта для подключения к источнику событий.

  • Конвейер — название и идентификатор конвейера событий.

  • Коллектор — название и идентификатор коллектора.

  • Политика аудита источников — название политики аудита источников, назначенной источнику событий.

При работе с таблицей на вкладке Список точек входа доступны следующие операции:

  • Поиск источников событий по полям Название и ID элемента.

  • Фильтрация источников событий по полям Тип точки входа, Статус, Коллектор, Конвейер и Политика аудита источников. Значение каждого поля выбирается из выпадающего списка.

  • Сортировка источников событий по полям Название, Адрес подключения, и Порт подключения.

  • Настройка отображения таблицы источников событий.

В рабочей области вкладки Политики аудита источников отображается таблица существующих политик аудита источников. Колонки таблицы представлены следующим образом:

  • Название — имя политики.

  • Порог — количество событий, полученных от источника за заданный интервал времени, при достижении которого происходит срабатывание политики.

  • Интервал — период, за который в политике должны учитываться события, полученные от источника.

  • Дата создания — дата и время создания политики.

  • Дата изменения — дата и время последнего изменения политики.

  • Статус — текущий статус политики (Включен/Выключен).

При работе с таблицей на вкладке Политики аудита источников доступны следующие операции:

  • Поиск политик аудита источников по полям Название и ID элемента.

  • Фильтрация политик аудита источников по полю Статус. Статус выбирается из выпадающего списка.

  • Сортировка политик аудита источников по полям Название, Дата создания, Дата изменения, и Порог.

  • Настройка отображения таблицы политик аудита источников.

Источники событий

Доступные операции на вкладке Источники событий:

Просмотр карточки источника событий

Чтобы просмотреть карточку источника событий:

  1. Перейдите на вкладку Список точек входа в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных источниках событий.

  2. Нажмите на строку источника в списке. Система отобразит в правой части экрана карточку этого источника с подробной информацией о нем.

Карточка источника событий включает в себя следующие поля:

  • ID — уникальный идентификатор источника событий.

  • Название — название источника событий.

  • ID тенанта — идентификатор тенанта, к которому относится источник.

  • Тип точки входа — тип источника событий (например, Endpoint).

  • Адрес подключения — IP-адрес или доменное имя источника событий.

    Для источников AMQP и Database в поле указывается название секрета, использующегося для задания адреса подключения.

  • Порт подключения — номер порта для подключения к источнику событий.

  • Конвейер — название конвейера обработки событий, к которому относится источник.

  • Коллектор — название коллектора, к которому относится источник.

  • Дата создания — дата и время создания источника событий.

  • Дата изменения — дата и время последнего изменения источника событий.

  • Создал — имя пользователя, создавшего источник событий.

  • Изменил — имя пользователя, изменившего источник событий.

  • Политика аудита источников — название политики аудита источников, назначенной источнику событий.

  • Получено событий — график поступления данных от источника событий.

Переход к конвейеру источника событий

Чтобы перейти к конфигурации конвейера, в котором настроен источник событий:

  1. Перейдите на вкладку Список точек входа в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных источниках событий.

  2. Нажмите на строку источника в списке. Система отобразит в правой части экрана карточку этого источника с подробной информацией о нем.

  3. Нажмите на значение поля Конвейер в карточке источника. Система откроет страницу с конфигурацией конвейера, в котором находится выбранный источник событий.

Переход к коллектору источника событий

Чтобы перейти к коллектору, к которому относится источник событий:

  1. Перейдите на вкладку Список точек входа в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных источниках событий.

  2. Нажмите на строку источника в списке. Система отобразит в правой части экрана карточку этого источника с подробной информацией о нем.

  3. Нажмите на значение поля Коллектор в карточке источника. Система откроет страницу раздела Коллекторы и отобразит карточку коллектора, в котором содержится конвейер с выбранным источником событий.

Переход к секрету источника событий

Для источников AMQP и Database адрес подключения задается с помощью секрета типа Строка подключения.

Чтобы просмотреть информацию о секрете, использующемся в источнике событий:

  1. Перейдите на вкладку Список точек входа в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных источниках событий.

  2. Нажмите на строку источника типа AMQP или Database в списке. Система отобразит в правой части экрана карточку этого источника с подробной информацией о нем.

  3. Нажмите на значение поля Адрес подключения в карточке источника. Система откроет страницу раздела Секреты и отобразит карточку секрета, который используется в выбранном источнике событий.

Выбор политики аудита источников

Чтобы выбрать политику аудита для источника событий:

  1. Перейдите на вкладку Список точек входа в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных источниках событий.

  2. Нажмите на строку источника в списке. Система отобразит в правой части экрана карточку этого источника с подробной информацией о нем.

  3. Нажмите на кнопку edit в строке поля Политика аудита источников в карточке источника и выберите политику из выпадающего списка. На выбор доступны только включенные политики аудита источников.

  4. Нажмите на кнопку Сохранить. Выбранная политика применится к источнику событий.

Вы также можете выбирать политику аудита для источника событий:

Политики аудита источников

Доступные операции на вкладке Политики аудита источников:

Добавление политики аудита источников

Чтобы добавить политику аудита источников:

  1. Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных политиках аудита источников.

  2. Нажмите на кнопку Создать (plus). Отобразится форма создания политики аудита источников.

  3. Заполните необходимые поля:

    • Название — введите название политики аудита источников.

    • Описание (опционально) — введите описание политики аудита источников.

    • Порог — задайте количество событий, при достижении которого будет происходить срабатывание политики аудита источников.

    • Интервал — задайте период времени в минутах, часах или днях, за который должны учитываться события из источника для срабатывания политики аудита источников.

      Точка входа может быть привязана только к одной политике аудита источников, но к одной политике может быть привязано несколько точек входа. При привязке новой политики к точке входа, она заменит ранее привязанную к ней политику.

    • Точки входа (опционально) — выберите элементы, к которым необходимо применить политику аудита источников, из дерева точек входа. Для выбора доступны точки входа всех установленных конвейеров во всех включенных коллекторах.

      Чтобы выбрать точку входа, установите флажок слева от ее названия в списке.

      Точки входа в дереве сгруппированы по конвейерам и коллекторам. Чтобы просмотреть список конвейеров нужного коллектора или список точек входа нужного конвейера, нажмите на кнопку chevron down справа от названия соответствующего родительского элемента в дереве.

      Чтобы скрыть отображенный список дочерних элементов, нажмите на кнопку chevron up справа от названия родительского элемента в дереве.

    • Отправить (опционально) — выберите интеграции для отправки уведомлений о срабатывании политики аудита источников.

  4. Нажмите на кнопку Создать. Система создаст новую политику аудита источников и отобразит ее в списке политик.

Включение политики аудита источников

Включение или отключение политики аудита источников влияет на её работоспособность и доступность в списках выбора политик при создании точки входа. Когда политика аудита источников включена, она активно применяется к привязанным точкам входа и доступна для выбора. При отключении политики аудита источников, она перестает применяться к привязанным точкам входа и не отображается в списках выбора политик точек входа.

Чтобы включить политику аудита источников:

  1. Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных политиках аудита источников.

  2. Нажмите на строку политики в списке. Система отобразит в правой части экрана карточку этой политики с подробной информацией о ней.

  3. Переведите переключатель состояния элемента в верхней части карточки в активное положение. Отобразится окно подтверждения включения политики аудита источников.

  4. Нажмите на кнопку Включить. Система обновит информацию о статусе политики аудита источников, и она станет активной.

Отключение политики аудита источников

Чтобы отключить политику аудита источников:

  1. Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных политиках аудита источников.

  2. Нажмите на строку политики в списке. Система отобразит в правой части экрана карточку этой политики с подробной информацией о ней.

  3. Переведите переключатель состояния элемента в верхней части карточки в неактивное положение. Отобразится окно подтверждения отключения политики аудита источников.

  4. Нажмите на кнопку Отключить. Система обновит информацию о статусе политики аудита источников, и она станет неактивной.

Просмотр политики аудита источников

Чтобы просмотреть карточку политики аудита источников:

  1. Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных политиках аудита источников.

  2. Нажмите на строку политики в списке. Система отобразит в правой части экрана карточку этой политики с подробной информацией о ней.

Карточка политики аудита источников включает в себя следующие поля:

  • ID — уникальный идентификатор политики аудита источников.

  • Название — имя политики аудита источников.

  • Описание — описание политики аудита источников.

  • ID тенанта — идентификатор тенанта.

  • Статус — текущее состояние политики аудита источников (Включена/Выключена).

  • Тип политики — тип точки входа.

  • Порог — количество событий, полученных от источника за заданный интервал времени, при достижении которого происходит срабатывание политики.

  • Интервал — период, за который в политике аудита источников должны учитываться события, полученные от источника.

  • Дата создания — дата и время создания политики аудита источников.

  • Дата изменения — дата и время последнего изменения политики аудита источников.

  • Создал — имя пользователя, создавшего политику аудита источников.

  • Изменил — имя пользователя, изменившего политику аудита источников.

  • Интеграции — список интеграций для отправки уведомлений. Список представлен в виде таблицы с колонками Название и Статус.

    Интеграции можно сортировать по названию.

  • Точки входа — список точек входа, к которым применяется политика аудита источников. Список представлен в виде таблицы с колонкой Название.

    Список точек входа можно сортировать по названию.

В выпадающем меню по кнопке Действия (more vertical), расположенной в верхнем правом углу карточки, доступны опции изменения и удаления выбранной политики аудита источников.

Также в карточке находится переключатель статуса политики аудита источников.

Изменение политики аудита источников

Чтобы изменить параметры существующей политики аудита источников:

  1. Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных политиках аудита источников.

  2. Нажмите на строку политики в списке. Система отобразит в правой части экрана карточку этой политики с подробной информацией о ней.

  3. Выберите опцию Изменить в выпадающем меню Действия (more vertical). Отобразится окно редактирования политики аудита источников.

  4. Внесите необходимые изменения в поля.

  5. Нажмите на кнопку Сохранить. Система отобразит уведомление о сохранении изменений, и обновленная информация отобразится в списке политик.

Изменить название и описание политики можно непосредственно из ее карточки:

  1. Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных политиках аудита источников.

  2. Нажмите на строку политики в списке. Система отобразит в правой части экрана карточку этой политики с подробной информацией о ней.

  3. Нажмите на кнопку edit в строке названия или описания политики в ее карточке. Система отобразит поле ввода значения.

  4. Введите новое значение поля.

  5. Нажмите Сохранить. Измененные данные политики аудита источников будут сохранены.

Удаление политики аудита источников

Невозможно удалить предустановленные политики аудита источников, а также политики, назначенные источникам событий.

Чтобы удалить существующую политику аудита источников:

  1. Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных политиках аудита источников.

  2. Установите флажки напротив тех политик, которые вы хотите удалить, в левом столбце таблицы.

  3. Нажмите на кнопку (trash) на панели инструментов. Отобразится окно подтверждения удаления.

  4. Нажмите на кнопку Удалить. Система отобразит уведомление об удалении выбранных политик аудита источников, и они будут удалены из списка.

Удалить политику аудита источников можно также из ее карточки. Для этого:

  1. Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников.

  2. Нажмите на строку политики в списке. Система отобразит в правой части экрана карточку этой политики с подробной информацией о ней.

  3. Выберите опцию Удалить в выпадающем меню Действия (more vertical). Отобразится окно подтверждения удаления политики.

  4. Нажмите на кнопку Удалить. Система отобразит уведомление об удалении политики, и она будет удалена из списка.

Настройка параметров политики аудита источников

Порог и интервал определяют частоту срабатывания политики аудита источников и должны настраиваться с учетом ожидаемых пиковых значений поступающих от источника событий.

Если к источнику не применена политика аудита источников, то по умолчанию установленный интервал проверки составляет 30 минут, а порог срабатывания — 1 событие.

Параметр Порог

Порог — количество событий, полученных от источника за заданный интервал времени, при достижении которого происходит срабатывание политики. Если количество событий с точки входа за интервал времени меньше или равно значению порога, происходит срабатывание политики.

Параметр позволяет настроить чувствительность системы к количеству событий, поступающих от источника. Например, при установке порога на 100 событий за час, политика аудита источников будет срабатывать, если за один час от источника не поступит 100 или более событий.

Параметр Интервал

Интервал задает временной промежуток, в течение которого события из источника учитываются для выполнения политики аудита источников. Если количество событий с точки входа за интервал времени больше или равно значению порога, происходит срабатывание политики.

Интервал задает фиксированное время для запуска проверки. Например, если интервал установлен на 1 минуту, система будет запускать политику каждую минуту и проверять количество событий, полученных от источника за эту минуту. Если интервал установлен на 1 час, политика будет запускаться каждый час в начале часа (например, в 15:00, 16:00 и так далее). Если интервал установлен на 1 день, политика будет срабатывать ежедневно в 00:00.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение