Политики аудита источников событий

Данный раздел описывает процесс работы с источниками событий в системе. Работа осуществляется в разделе Инструменты → Аудит источников веб-интерфейса системы.

Раздел доступен администраторам, пользователям, которые имеют соответствующее разрешение в составе своих ролей, а также учетным записям со статусом Суперадминистратор.

Об аудите источников

В системе R-Vision SIEM можно контролировать состояние источников, из которых поступают события в коллекторы.

Состояние источников оценивается на основе данных о частоте и количестве поступающих событий. Это позволяет обнаружить отклонения, такие как слабые потоки событий или полное прекращение поступления событий. Для отслеживания таких ситуаций используются настраиваемые политики аудита источников. В политике можно задать пороговое значение количества поступающих событий и период времени, за который они должны учитываться.

Запуск политики аудита источников происходит по расписанию, которое определяется параметром Интервал. В заданное время система запускает проверку количества событий, поступивших от источника за интервал времени. Если количество событий меньше или равно значению, указанному в параметре Порог, происходит срабатывание политики аудита источников. Если для точки входа или нормализатора не задана политика аудита, применяется одна из системных политик.

Источник может быть задан по точке входа или по маске полей на нормализаторе. Одну политику по точке входа можно применить к нескольким точкам, но каждой точке может быть назначена только одна такая политика. Политика по маске полей применяется ко всем источникам, полученным с данного нормализатора.

Политики аудита источников позволяют автоматически отслеживать изменения в потоке событий и отправлять уведомления при достижении заданных пороговых значений через настроенные в системе интеграции.

Работа с политиками аудита осуществляется в разделе Инструменты → Аудит источников.

Интерфейс раздела

Вкладка Список источников

В верхней части вкладки расположена панель инструментов, которая включает следующие компоненты:

Поле Поиск предназначено для быстрого поиска источников событий.
Кнопка Фильтр () позволяет применять фильтры для отображения источников событий.

В рабочей области отображается таблица источников, определенных значениями полей в масках. Если один и тот же источник получен с нескольких конвейеров, он отображается в списке только один раз.

Таблица содержит следующие столбцы:

Название — название источника событий. Название формируется из полей, определенных в маске.

Например, в маске указаны поля dvendor, dhost, user, tenantId. Название источника может выглядеть так: Windows|admin.domain.local|UserAdmin|Main.

Статус — цветовой индикатор и текущий статус источника событий:
- Зеленый — Активен. События поступают на источник.
- Красный — Нарушение политики. На источник не поступают события или событий поступает меньше, чем определено политикой аудита.
Политика аудита источников — название примененной к источнику политики аудита.

При работе с таблицей на вкладке Список точек входа доступны следующие операции:

Поиск источников событий по полю Название.
Фильтрация источников событий по полям Статус и Политика аудита источников. Значение каждого поля выбирается из выпадающего списка.
Сортировка источников событий по полю Название.
Настройка отображения таблицы.
Обновление таблицы.

Вкладка Список точек входа

В верхней части вкладки расположена панель инструментов, которая включает следующие компоненты:

Поле Поиск предназначено для быстрого поиска точек входа.
Кнопка Фильтр () позволяет применять фильтры для отображения точек входа по различным критериям.

В рабочей области вкладки Список точек входа отображается таблица имеющихся в системе точек входа. Таблица содержит следующие столбцы:

Статус — текущий статус точки входа:

Включен — коллектор и конвейер, содержащие точку входа, включены и на точку поступают события.
Выключен — коллектор или конвейер, содержащий точку входа, отключен.

Нарушение политики — коллектор и конвейер, содержащие точку входа, включены, но на точку входа поступает событий меньше, чем определено ее политикой аудита.

Если политика аудита не задана или отключена, то статус Нарушение политики определяется согласно политике по умолчанию со следующими параметрами:

Порог: 1.
Интервал: 30 мин.

Таким образом, система будет проверять поступление на точку входа хотя бы одного события за 30 минут.

ID элемента — уникальный идентификатор точки входа.
Название — имя точки входа.
Тип точки входа — тип точки входа, например, Endpoint.
Адрес подключения — IP-адрес или доменное имя источника событий.
Порт подключения — номер порта для подключения к источнику событий
Конвейер — название и идентификатор конвейера событий.
Коллектор — название и идентификатор коллектора.
Политика аудита источников — название политики аудита источников, назначенной точке входа.

При работе с таблицей на вкладке Список точек входа доступны следующие операции:

Поиск точек входа по полям Название и ID элемента.
Фильтрация точек входа по полям Тип точки входа, Статус, Коллектор, Конвейер и Политика аудита источников. Значение каждого поля выбирается из выпадающего списка.
Сортировка точек входа по полям Название, Адрес подключения и Порт подключения.
Настройка отображения таблицы.

Вкладка Политики аудита источников

В верхней части вкладки расположена панель инструментов, которая включает следующие компоненты:

Кнопка Создать () позволяет добавить новую политику аудита источников.
Поле Поиск предназначено для быстрого поиска политик аудита источников.
Кнопка Фильтр () позволяет применять фильтры для отображения политик аудита источников по различным критериям.

В рабочей области вкладки Политики аудита источников отображается таблица существующих политик аудита источников. Таблица содержит следующие столбцы:

Название — имя политики.
Статус — текущий статус политики: Включена или Выключена.
Тип политики — способ определения источника: По точке входа или По маске.
Порог — количество событий, полученных от источника за заданный интервал времени, при достижении которого происходит срабатывание политики.
Интервал — период, за который в политике должны учитываться события, полученные от источника.
Дата создания — дата и время создания политики.
Дата изменения — дата и время последнего изменения политики.

При работе с таблицей на вкладке Политики аудита источников доступны следующие операции:

Поиск политик аудита источников по полям Название и ID элемента.
Фильтрация политик аудита источников по полям Статус и Тип политики. Значения выбираются из выпадающих списков.
Сортировка политик аудита источников по полям Название, Дата создания, Дата изменения и Порог.
Настройка отображения таблицы.

При выборе отдельного источника событий или политики аудита в правой части рабочей области отображается карточка с детальной информацией.

Источники событий по маске

Чтобы просмотреть карточку источника событий по маске:

Перейдите на вкладку Список источников событий в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных источниках.
Нажмите на строку источника в списке. Система отобразит в правой части экрана карточку с информацией об источнике.

В верхней части карточки отображается название источника событий.

Чтобы изменить ширину карточки, наведите курсор на ее левую границу. Курсор примет вид двунаправленной стрелки. Перетащите левую границу карточки в нужном направлении.

Карточка источника событий включает в себя следующие поля:

Название — название источника событий. Название формируется из полей, определенных в маске.

Статус — цветовой индикатор и текущий статус источника событий:
- Зеленый — Активен. События поступают на источник.
- Красный — Нарушение политики. На источник не поступают события или событий поступает меньше, чем определено политикой аудита.
Политика аудита источников — название примененной к источнику политики аудита.

Точки входа

Доступные операции на вкладке Список точек входа:

Просмотр карточки точки входа
Переход к конвейеру источника событий
Переход к коллектору источника событий
Переход к секрету источника событий
Выбор политики аудита источников

Просмотр карточки точки входа

Чтобы просмотреть карточку точки входа:

Перейдите на вкладку Список точек входа в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных точках входа.
Нажмите на строку точки входа в списке. Система отобразит в правой части экрана карточку этой точки с подробной информацией о ней.

В верхней части карточки отображается название точки входа.

Карточка точки входа включает в себя следующие поля:

ID — уникальный идентификатор точки входа.
Название — название точки входа.
ID тенанта — идентификатор тенанта, к которому относится точка входа.
Тип точки входа — тип точки входа, например, Endpoint.

Статус — текущий статус точки входа:

Включен — коллектор и конвейер, содержащие точку входа, включены, и на точку поступают события.
Выключен — отключен коллектор или конвейер, содержащий точку входа.

Порог: 1.
Интервал: 30 мин.

Таким образом, система будет проверять поступление на точку входа хотя бы одного события за 30 минут.

Адрес подключения — IP-адрес или доменное имя источника событий.

Для точек входа AMQP и Database в поле указывается название секрета, который используется для задания адреса подключения.
Порт точки входа — номер порта для подключения к источнику событий.
Конвейер — название конвейера обработки событий, к которому относится точка входа.
Коллектор — название коллектора, к которому относится точка входа.
Политика аудита источников — название политики аудита источников, назначенной точке входа.

Переход к конвейеру источника событий

Чтобы перейти к конфигурации конвейера, в котором настроен источник событий:

Перейдите на вкладку Список точек входа в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных источниках событий.
Нажмите на строку точки входа в списке. Система отобразит в правой части экрана карточку этой точки с подробной информацией о ней.
Нажмите на значение поля Конвейер в карточке точки входа. Система откроет страницу с конфигурацией конвейера, в котором находится выбранная точка.

Переход к коллектору источника событий

Чтобы перейти к коллектору, к которому относится источник событий:

Перейдите на вкладку Список точек входа в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных точках входа.
Нажмите на строку точки входа в списке. Система отобразит в правой части экрана карточку этой точки с подробной информацией о ней.
Нажмите на значение поля Коллектор в карточке точки входа. Система откроет страницу раздела Коллекторы и отобразит карточку коллектора, в котором содержится конвейер с выбранной точкой.

Переход к секрету источника событий

Для точек входа AMQP и Database адрес подключения задается с помощью секрета типа Строка подключения.

Чтобы просмотреть информацию о секрете, использующемся в точке входа:

Перейдите на вкладку Список точек входа в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных точках входа.
Нажмите на строку точки входа типа AMQP или Database в списке. Система отобразит в правой части экрана карточку этой точки с подробной информацией о ней.
Нажмите на значение поля Адрес подключения в карточке точки входа. Система откроет страницу раздела Секреты и отобразит карточку секрета, который используется в выбранной точке.

Выбор политики аудита источников

Чтобы выбрать политику аудита для точки входа:

Перейдите на вкладку Список точек входа в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных точках входа.
Нажмите на строку точки входа в списке. Система отобразит в правой части экрана карточку этой точки с подробной информацией о ней.
Нажмите на кнопку в строке поля Политика аудита источников в карточке точки входа и выберите политику из выпадающего списка. На выбор доступны только включенные политики аудита источников.
Нажмите на кнопку Сохранить. Выбранная политика применится к точке входа.

Вы также можете выбирать политику аудита для точки входа:

при добавлении или изменении точки входа;
при добавлении или изменении политики аудита источников.

Политики аудита источников

Доступные операции на вкладке Политики аудита источников:

Добавление политики аудита источников
Включение политики аудита источников
Отключение политики аудита источников
Просмотр политики аудита источников
Изменение политики аудита источников
Удаление политики аудита источников

Добавление политики аудита источников

Чтобы добавить политику аудита источников:

Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных политиках аудита источников.
Нажмите на кнопку Создать (). Отобразится форма создания политики аудита источников.

Заполните необходимые поля:

Название — введите название политики аудита источников.
Описание (опционально) — введите описание политики аудита источников.
Тип политики — выберите из выпадающего списка, каким образом требуется определять политики на конвейере: По маске или По точке входа.
Маска (если выбран тип политики По маске) — укажите от одного до десяти полей событий для определения источников.
Чтобы задать поле:
1. Нажмите на кнопку Добавить. Отобразится строка добавления поля.
2. Выберите поле универсальной модели событий или введите пользовательское значение.
3. Если поле не обязательное, установите переключатель Опциональное в активное положение.
  
  Хотя бы одно поле маски должно быть обязательным.
Чтобы удалить поле, нажмите на кнопку в строке этого поля.
Порог — задайте количество событий, при достижении которого будет происходить срабатывание политики аудита источников.
Интервал — задайте период времени в минутах, часах или днях, за который должны учитываться события из источника для срабатывания политики аудита источников.

Источники (опционально) — выберите из дерева источников элементы, к которым необходимо применить политику аудита.

Для выбора доступны элементы всех установленных конвейеров во всех включенных коллекторах:

Если выбран тип политики По точке входа — точки входа.
Если выбран тип политики По маске — нормализаторы.

Точки входа и нормализаторы в дереве сгруппированы по конвейерам и коллекторам. Чтобы просмотреть список конвейеров нужного коллектора или список элементов нужного конвейера, нажмите на кнопку chevron down справа от названия соответствующего родительского элемента в дереве.

Чтобы скрыть отображенный список дочерних элементов, нажмите на кнопку chevron up справа от названия родительского элемента в дереве.

Чтобы выбрать элемент, установите флажок слева от его названия в списке.

Снятие выбора в дереве политики не отключает аудит источника на нормализаторе, а возвращает его к политике по умолчанию. Чтобы отключить аудит, установите переключатель Политика аудита источников в настройках нормализатора в неактивное положение.

При изменении политики на нормализаторе список источников будет обновлен. Источники, определенные ранее, будут удалены.

Отправить (опционально) — выберите интеграции для отправки уведомлений о срабатывании политики аудита источников.

Нажмите на кнопку Создать. Система создаст новую политику аудита источников и отобразит ее в списке политик.

Включение политики аудита источников

Включение или отключение политики аудита источников влияет на ее работоспособность и доступность в списках выбора политик при создании точки входа. Когда политика аудита источников включена, она активно применяется к привязанным точкам входа и доступна для выбора. При отключении политики аудита источников, она перестает применяться к привязанным точкам входа и не отображается в списках выбора политик точек входа.

Чтобы включить политику аудита источников:

Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных политиках аудита источников.
Нажмите на строку политики в списке. Система отобразит в правой части экрана карточку этой политики с подробной информацией о ней.
Переведите переключатель состояния элемента в верхней части карточки в активное положение. Отобразится окно подтверждения включения политики аудита источников.
Нажмите на кнопку Включить. Система обновит информацию о статусе политики аудита источников, и она станет активной.

Отключение политики аудита источников

Чтобы отключить политику аудита источников:

Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных политиках аудита источников.
Нажмите на строку политики в списке. Система отобразит в правой части экрана карточку этой политики с подробной информацией о ней.
Переведите переключатель состояния элемента в верхней части карточки в неактивное положение. Отобразится окно подтверждения отключения политики аудита источников.
Нажмите на кнопку Отключить. Система обновит информацию о статусе политики аудита источников, и она станет неактивной.

Просмотр политики аудита источников

Чтобы просмотреть карточку политики аудита источников:

Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных политиках аудита источников.
Нажмите на строку политики в списке. Система отобразит в правой части экрана карточку этой политики с подробной информацией о ней.

В верхней части карточки отображается название политики аудита источников.

Карточка политики аудита источников включает в себя следующие поля:

ID — уникальный идентификатор политики аудита источников.
Название — имя политики аудита источников.
Описание — описание политики аудита источников.
ID тенанта — идентификатор тенанта.
Статус — текущее состояние политики аудита источников: Включена или Выключена.
Тип политики — способ определения источника: По маске или По точке входа.
Порог — количество событий, полученных от источника за заданный интервал времени, при достижении которого происходит срабатывание политики.
Интервал — период, за который в политике аудита источников должны учитываться события, полученные от источника.
Дата создания — дата и время создания политики аудита источников.
Дата изменения — дата и время последнего изменения политики аудита источников.
Создал — имя пользователя, создавшего политику аудита источников.
Изменил — имя пользователя, изменившего политику аудита источников.
Интеграции — список интеграций для отправки уведомлений. Список представлен в виде таблицы со столбцами Название и Статус.

Интеграции можно сортировать по названию.
Точки входа (если установлен тип политики По точке входа) или Источники (если установлен тип политики По маске) — список точек входа или источников, определенных по маске, к которым применяется политика аудита. Список представлен в виде таблицы со столбцами Название и Статус.

Список можно сортировать по названию.

В верхнем правом углу карточки расположена кнопка действий ( more vertical ). При нажатии на нее открывается выпадающее меню с действиями, доступными для выбранной политики аудита источников: изменение и удаление.

Также в карточке находится переключатель статуса политики аудита источников.

Изменение политики аудита источников

Чтобы изменить параметры существующей политики аудита источников:

Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных политиках аудита источников.
Нажмите на строку политики в списке. Система отобразит в правой части экрана карточку этой политики с подробной информацией о ней.
Нажмите на кнопку действий в верхнем правом углу карточки и выберите опцию Изменить. Отобразится окно редактирования политики аудита источников.
Внесите необходимые изменения в поля.

Тип политики изменить невозможно.
Нажмите на кнопку Сохранить. Система сохранит изменения и отобразит соответствующее уведомление. Обновленная информация отобразится в списке политик.

Если был изменен набор полей в маске, все источники, которые были созданы по этой маске, удаляются. Новые источники будут определяться по мере поступления событий на нормализатор.

Изменить название и описание политики можно непосредственно из ее карточки:

Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных политиках аудита источников.
Нажмите на строку политики в списке. Система отобразит в правой части экрана карточку этой политики с подробной информацией о ней.
Нажмите на кнопку в строке названия или описания политики в ее карточке. Система отобразит поле ввода значения.
Введите новое значение поля.
Нажмите Сохранить. Измененные данные политики аудита источников будут сохранены.

Название и описание системных политик изменить невозможно.

Удаление политики аудита источников

Невозможно удалить предустановленные политики аудита источников, а также политики, назначенные источникам событий.

Чтобы удалить существующую политику аудита источников:

Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных политиках аудита источников.
Установите флажки напротив тех политик, которые вы хотите удалить, в левом столбце таблицы.
Нажмите на кнопку () на панели инструментов. Отобразится окно подтверждения удаления.
Нажмите на кнопку Удалить. Система удалит выбранные политики аудита источников и отобразит соответствующее уведомление. Удаленные политики будут исключены из списка.

Удалить политику аудита источников можно также из ее карточки. Для этого:

Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников.
Нажмите на строку политики в списке. Система отобразит в правой части экрана карточку этой политики с подробной информацией о ней.
Нажмите на кнопку действий в верхнем правом углу карточки и выберите опцию Удалить. Отобразится окно подтверждения удаления политики.
Нажмите на кнопку Удалить. Система удалит политику и отобразит соответствующее уведомление. Удаленная политика будет исключена из списка.

Настройка параметров политики аудита источников

Порог и интервал определяют частоту срабатывания политики аудита источников и должны настраиваться с учетом ожидаемых пиковых значений поступающих от источника событий. В маске задается набор полей для определения источника.

Параметр Маска

Маска — это набор полей события, которые используются для идентификации источника. Источник определяется как уникальный набор значений полей, указанных в маске. При изменении набора полей источники, сформированные по маске, удаляются.

В маске может быть от одного до десяти полей. Поля в маске могут быть обязательными или опциональными. В маске должно быть хотя бы одно обязательное поле. Если любое из обязательных полей содержит пустое значение, источник не формируется.

Пустыми значениями считаются null, а также 0.

Пример. В политике задана маска с полями dvendor (обязательное), dhost (обязательное), user (опциональное). После обработки следующих трех событий формируются два источника:

dvendor dhost user Результат

dvendor	dhost	user	Результат
`Windows`	`admin.example.local`	`Admin`	Windows\|admin.example.local\|Admin
`WINDOWS`	`admin.example.local`	`Admin`	WINDOWS\|admin.example.local\|Admin
`null`	`admin.example.local`	`User32`	Источник не формируется.

Windows

admin.example.local

Admin

Windows|admin.example.local|Admin

WINDOWS

admin.example.local

Admin

WINDOWS|admin.example.local|Admin

null

admin.example.local

User32

Источник не формируется.

Система не позволяет создавать несколько политик аудита источников с одинаковым набором полей в маске, даже если отличается указанный порядок полей или список полей, отмеченных как опциональные.

Параметр Порог

Порог — количество событий, полученных от источника за заданный интервал времени, при достижении которого происходит срабатывание политики. Если количество событий с точки входа за интервал времени меньше или равно значению порога, происходит срабатывание политики.

Параметр позволяет настроить чувствительность системы к количеству событий, поступающих от источника. Например, при установке порога на 100 событий за час, политика аудита источников будет срабатывать, если за один час от источника не поступит 100 или более событий.

Параметр Интервал

Интервал задает временной промежуток, в течение которого события из источника учитываются для выполнения политики аудита источников. Если количество событий с точки входа за интервал времени больше или равно значению порога, происходит срабатывание политики.

Интервал задает фиксированное время для запуска проверки. Например, если установлен интервал в 1 минуту, система будет запускать политику каждую минуту и проверять количество событий, полученных от источника за эту минуту. Если установлен интервал в 1 час, политика будет запускаться в начале каждого часа (например, в 15:00, 16:00 и так далее). Если установлен интервал в 1 день, политика будет срабатывать ежедневно в 00:00.

Системные политики аудита

В системе изначально есть две политики, применяемые по умолчанию:

Политика аудита источников по маске;
Политика аудита источников по точке входа.

Параметры системных политик можно редактировать. По умолчанию установлены следующие значения:

поля маски:
- dproduct (обязательное);
- dvchost (обязательное);
- dvc (опциональное);
- deviceProcessName (опциональное);
- tenantID (обязательное, заполняется системой автоматически).
порог срабатывания — 1 событие;
интервал проверки — 30 минут.