Политики аудита источников событий

Данный раздел описывает процесс работы с источниками событий в системе. Работа осуществляется в разделе Инструменты → Аудит источников веб-интерфейса системы.

Раздел доступен администраторам, пользователям, которые имеют соответствующее разрешение в составе своих ролей, а также учетным записям со статусом Суперадминистратор.

Об аудите источников

В системе можно контролировать состояние источников, из которых поступают события в коллекторы.

Состояние источников оценивается на основе данных о частоте и количестве поступающих событий. Это позволяет обнаружить отклонения, такие как слишком слабые или слишком интенсивные потоки событий либо полное их отсутствие. Для отслеживания подобных ситуаций используются настраиваемые политики аудита источников.

Настройки и логика работы политик аудита зависит от их типов. Система позволяет задавать следующие политики аудита источников:

  • По маске — для политик данного типа источники событий определяются по указанной маске полей на нормализаторе. Политика по маске применяется ко всем источникам, полученным с нормализатора.

  • По точке входа — для политик данного типа источники событий определяются по точкам входа. Политику по точке входа можно применить к нескольким точкам, но каждой точке может быть назначена только одна такая политика.

Политики аудита источников позволяют автоматически отслеживать изменения в потоке событий и отправлять уведомления при достижении заданных пороговых значений через настроенные в системе интеграции.

Интерфейс раздела

Интерфейс раздела зависит от открытой вкладки. Доступные вкладки:

Интерфейс вкладки Источники

В верхней части вкладки расположена панель инструментов, которая включает следующие компоненты:

  • Поле Поиск предназначено для быстрого поиска источников событий.

  • Кнопка Фильтр (filter) позволяет применять фильтры для отображения источников событий.

В рабочей области отображается таблица источников, определенных значениями полей в масках. Если один и тот же источник получен с нескольких конвейеров, он отображается в списке только один раз.

Таблица содержит следующие столбцы:

  • Статус — текущий статус источника событий:

    • Активен — заданная политика аудита включена, события поступают на источник.

    • Нарушение политики — заданная политика аудита включена, на источник поступает событий меньше или больше, чем определено политикой аудита.

    • Не определяется — заданная политика аудита выключена.

  • Название — название источника событий. Название формируется из полей, определенных в маске.

    Например, в маске указаны поля dvendor, dhost, user, tenantId. Название источника может выглядеть так: Windows|admin.domain.local|UserAdmin|Main.

  • Время последнего обновления — дата и время последнего обновления информации об источнике.

  • Политика аудита источников — название политики аудита, примененной к источнику.

При работе с таблицей на вкладке Источники доступны следующие операции:

  • Поиск источников событий по полю Название.

  • Фильтрация источников событий по полям Статус и Политика аудита источников. Значения выбираются из выпадающего списка.

    В поле Политика аудита источников возможен выбор нескольких пунктов.

  • Сортировка источников событий по полю Название.

  • Настройка отображения таблицы.

  • Обновление таблицы.

Интерфейс вкладки Точки входа

В верхней части вкладки расположена панель инструментов, которая включает следующие компоненты:

  • Поле Поиск предназначено для быстрого поиска точек входа.

  • Кнопка Фильтр (filter) позволяет применять фильтры для отображения точек входа по различным критериям.

В рабочей области вкладки Точки входа отображается таблица имеющихся в системе точек входа, для которых включен аудит. Таблица содержит следующие столбцы:

  • Статус — текущий статус точки входа:

    • Включен — коллектор и конвейер, содержащие точку входа, включены, заданная политика аудита также включена и на точку поступают события.

    • Выключен — коллектор или конвейер, содержащий точку входа, отключен.

    • Нарушение политики — коллектор и конвейер, содержащие точку входа, включены, заданная политика аудита также включена, но на точку входа поступает событий меньше или больше, чем определено политикой аудита.

    • Не определяется — заданная политика аудита выключена.

  • ID элемента — уникальный идентификатор точки входа.

  • Название — имя точки входа.

  • Тип точки входа — тип точки входа, например, Database.

  • Адрес подключения — IP-адрес или доменное имя источника событий.

  • Порт подключения — номер порта для подключения к источнику событий

  • Конвейер — название и идентификатор конвейера событий.

  • Коллектор — название и идентификатор коллектора.

  • Политика аудита источников — название политики аудита, примененной к точке входа.

При работе с таблицей на вкладке Точки входа доступны следующие операции:

  • Поиск точек входа по полям Название и ID элемента.

  • Фильтрация точек входа по полям Тип точки входа, Статус, Коллектор, Конвейер и Политика аудита источников. Значения выбираются из выпадающего списка.

    В полях Коллектор, Конвейер и Политика аудита источников возможен выбор нескольких пунктов.

  • Сортировка точек входа по полям Название, Адрес подключения и Порт подключения.

  • Настройка отображения таблицы.

  • Обновление таблицы.

Интерфейс вкладки Политики аудита источников

В верхней части вкладки расположена панель инструментов, которая включает следующие компоненты:

  • Кнопка Создать (plus) позволяет добавить новую политику аудита источников.

  • Поле Поиск предназначено для быстрого поиска политик аудита источников.

  • Кнопка Фильтр (filter) позволяет применять фильтры для отображения политик аудита источников по различным критериям.

В рабочей области вкладки Политики аудита источников отображается таблица существующих политик аудита источников. Таблица содержит следующие столбцы:

  • Название — имя политики.

  • Статус — текущий статус политики: Включена или Выключена.

  • Тип политики — способ определения источника: По точке входа или По маске.

  • Метод расчета — метод расчета для политик По маске: По количеству событий или По среднему EPS.

  • Нижний порог — нижний порог, по которому фиксируется нарушение политики:

    • Для политик По точке входа и политик По маске с методом расчета По количеству событий: минимальное количество событий, которое можно получить от источника без нарушения политики.

    • Для политик По маске с методом расчета По среднему EPS: минимальное допустимое отклонение от среднего значения EPS в процентах, которое можно получить от источника без нарушения политики.

  • Верхний порог — верхний порог, по которому фиксируется нарушение политики:

    • Для политик По точке входа и политик По маске с методом расчета По количеству событий: максимальное количество событий, которое можно получить от источника без нарушения политики.

    • Для политик По маске с методом расчета По среднему EPS: максимальное допустимое отклонение от среднего значения EPS в процентах, которое можно получить от источника без нарушения политики.

  • Период — период, за который проверяются поступаемые события. Используется для политик По маске с методом расчета По среднему EPS.

  • Интервал — интервал времени, логика работы которого зависит от политики аудита и метода расчета:

    • Для политик По точке входа и политик По маске с методом расчета По количеству событий: интервал, в течение которого проверяется политика.

    • Для политик По маске с методом расчета По среднему EPS: интервал, в течение которого ежеминутно проверяется отклонение количества событий от нормы.

  • Дата создания — дата и время создания политики.

  • Дата изменения — дата и время последнего изменения политики.

При работе с таблицей на вкладке Политики аудита источников доступны следующие операции:

  • Поиск политик аудита источников по полям Название и ID элемента.

  • Фильтрация политик аудита источников по полям Статус, Тип политики и Метод расчета. Значения выбираются из выпадающих списков.

  • Сортировка политик аудита источников по полям Название, Дата создания, Дата изменения, Нижний порог и Верхний порог.

  • Настройка отображения таблицы.

При выборе отдельного источника событий или политики аудита в правой части рабочей области отображается карточка с детальной информацией.

Просмотр источников событий по маске

Чтобы просмотреть карточку источника событий по маске:

  1. Перейдите на вкладку Источники событий в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных источниках.

  2. Нажмите на строку источника в списке. Система отобразит в правой части экрана карточку с информацией об источнике.

В верхней части карточки отображается название источника событий.

Чтобы изменить ширину карточки, наведите курсор на ее левую границу. Курсор примет вид двунаправленной стрелки. Перетащите левую границу карточки в нужном направлении.

Карточка источника событий включает в себя следующие поля:

  • Название — название источника событий. Название формируется из полей, определенных в маске.

    Например, в маске указаны поля dvendor, dhost, user, tenantId. Название источника может выглядеть так: Windows|admin.domain.local|UserAdmin|Main.

  • Статус — текущий статус источника событий:

    • Активен — заданная политика аудита включена, события поступают на источник.

    • Нарушение политики — заданная политика аудита включена, на источник поступает событий меньше или больше, чем определено политикой аудита.

    • Не определяется — заданная политика аудита выключена.

  • Политика аудита источников — название политики аудита, примененной к источнику.

  • Время последнего обновления — дата и время последнего обновления информации об источнике.

  • Маска — список полей маски и их значений.

Работа с вкладкой Точки входа

Доступные операции на вкладке Точки входа:

Просмотр карточки точки входа

Чтобы просмотреть карточку точки входа:

  1. Перейдите на вкладку Точки входа в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных точках входа.

  2. Нажмите на строку точки входа в списке. Система отобразит в правой части экрана карточку этой точки с подробной информацией о ней.

В верхней части карточки отображается название точки входа.

Чтобы изменить ширину карточки, наведите курсор на ее левую границу. Курсор примет вид двунаправленной стрелки. Перетащите левую границу карточки в нужном направлении.

Карточка точки входа включает в себя следующие поля:

  • ID — уникальный идентификатор точки входа.

  • Название — название точки входа.

  • ID тенанта — идентификатор тенанта, к которому относится точка входа.

  • Тип точки входа — тип точки входа, например, Database.

  • Статус — текущий статус точки входа:

    • Включен — коллектор и конвейер, содержащие точку входа, включены, заданная политика аудита также включена и на точку поступают события.

    • Выключен — коллектор или конвейер, содержащий точку входа, отключен.

    • Нарушение политики — коллектор и конвейер, содержащие точку входа, включены, заданная политика аудита также включена, но на точку входа поступает событий меньше или больше, чем определено ее политикой аудита.

    • Не определяется — заданная политика аудита выключена.

  • Адрес подключения — IP-адрес или доменное имя источника событий.

    Для точек входа AMQP и Database в поле указывается название секрета, который используется для задания адреса подключения.

  • Порт точки входа — номер порта для подключения к источнику событий.

  • Конвейер — название конвейера обработки событий, к которому относится точка входа.

  • Коллектор — название коллектора, к которому относится точка входа.

  • Политика аудита источников — название политики аудита, примененной к точке входа.

Переход к конвейеру источника событий

Чтобы перейти к конфигурации конвейера, в котором настроен источник событий:

  1. Перейдите на вкладку Точки входа в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных источниках событий.

  2. Нажмите на строку точки входа в списке. Система отобразит в правой части экрана карточку этой точки с подробной информацией о ней.

  3. Нажмите на значение поля Конвейер в карточке точки входа. Система откроет страницу с конфигурацией конвейера, в котором находится выбранная точка.

Переход к коллектору источника событий

Чтобы перейти к коллектору, к которому относится источник событий:

  1. Перейдите на вкладку Точки входа в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных точках входа.

  2. Нажмите на строку точки входа в списке. Система отобразит в правой части экрана карточку этой точки с подробной информацией о ней.

  3. Нажмите на значение поля Коллектор в карточке точки входа. Система откроет страницу раздела Коллекторы и отобразит карточку коллектора, в котором содержится конвейер с выбранной точкой.

Переход к секрету источника событий

Для точек входа AMQP и Database адрес подключения задается с помощью секрета типа Строка подключения.

Чтобы просмотреть информацию о секрете, использующемся в точке входа:

  1. Перейдите на вкладку Точки входа в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных точках входа.

  2. Нажмите на строку точки входа типа AMQP или Database в списке. Система отобразит в правой части экрана карточку этой точки с подробной информацией о ней.

  3. Нажмите на значение поля Адрес подключения в карточке точки входа. Система откроет страницу раздела Секреты и отобразит карточку секрета, который используется в выбранной точке.

Выбор политики аудита источников

Чтобы изменить выбранную политику аудита для точки входа:

  1. Перейдите на вкладку Точки входа в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных точках входа.

  2. Нажмите на строку точки входа в списке. Система отобразит в правой части экрана карточку этой точки с подробной информацией о ней.

  3. Нажмите на кнопку edit в строке поля Политика аудита источников в карточке точки входа и выберите политику из выпадающего списка. На выбор доступны только включенные политики аудита источников.

  4. Нажмите на кнопку Сохранить. Выбранная политика применится к точке входа.

Вы также можете выбирать политику аудита для точки входа:

Работа с политиками аудита источников

Доступные операции на вкладке Политики аудита источников:

Добавление политики аудита источников

Система позволяет добавлять политики аудита следующих типов:

  • По маске — для политики данного типа источники событий определяются по заданной маске.

  • По точке входа — для политики данного типа источники событий определяются по точкам входа.

Добавление политики По маске

Чтобы добавить политику аудита источников типа По маске:

  1. Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных политиках аудита источников.

  2. Нажмите на кнопку Создать (plus). Отобразится форма создания политики аудита источников.

  3. Введите название политики аудита источников.

  4. При необходимости введите описание политики аудита источников.

  5. Выберите из выпадающего списка тип политики По маске.

  6. Задайте маску. Для этого укажите от одного до десяти полей событий для определения источников.

    Чтобы добавить поле в маску:

    1. Нажмите на кнопку Добавить. Отобразится строка добавления поля.

    2. Выберите поле универсальной модели события или универсальной модели 2.0 либо введите пользовательское значение.

    3. Если поле не обязательное, установите переключатель Опциональное в активное положение.

      Хотя бы одно поле маски должно быть обязательным.

    Чтобы удалить поле из маски, нажмите на кнопку trash в строке этого поля.

  7. Выберите из выпадающего списка метод расчета политики.

    • По количеству событий

    • По среднему EPS

    При данном методе расчета условие нарушения политики определяется количеством событий, поступивших за определенный интервал времени.

    Задайте параметры метода:

    1. Задайте пороговые значения количества событий:

      • Нижний порог — минимальное количество событий, которое можно получить от источника без нарушения политики.

      • Верхний порог (опционально) — максимальное количество событий, которое можно получить от источника без нарушения политики.

    2. Задайте интервал времени между проверками источников в минутах, часах или днях. По умолчанию установлен интервал в 30 минут.

      Если за указанный интервал событий поступает меньше, чем указано в нижнем пороге, или больше, чем указано в верхнем пороге, то будет зафиксировано нарушение политики.

      По умолчанию установлен интервал в 30 минут.

    Подробности о логике работы метода приведены в разделе Метод расчета по количеству событий.

    При данном методе расчета условие нарушения политики определяется отклонением от среднего количества событий в секунду (EPS), поступивших за определенный период времени.

    Задайте параметры метода:

    1. Задайте пороговые значения количества событий:

      • Нижний порог — максимальное допустимое отклонение вниз от среднего значения EPS в процентах, которое можно получить от источника без нарушения политики.

      • Верхний порог (опционально) — максимальное допустимое отклонение вверх от среднего значения EPS в процентах, которое можно получить от источника без нарушения политики.

    2. Задайте общий период времени в минутах, часах или днях, за который должны проверяться события из источника. Данный период используется для расчета среднего показателя EPS.

      По умолчанию установлен период в 7 дней. Максимальный допустимый период: 30 дней.

    3. Задайте интервал между проверками источников в минутах. В течение данного интервала будет происходить поминутная проверка количества событий, поступившего от источника. Если в течение всего интервала при каждой проверке количество событий отклоняется от среднего показателя EPS сильнее, чем указано в пороговых значениях, то будет зафиксировано нарушение политики.

      По умолчанию установлен интервал в 1 минуту. Максимальный допустимый интервал: 1440 минут (24 часа).

    Подробности о логике работы метода приведены в разделе Метод расчета по среднему EPS.
    При выборе метода расчета По среднему EPS системе необходимо собрать минимальное количество данных по источнику для корректного расчета среднего значения EPS. После включения политики система ожидает 24 часа, накапливая данные. В этот период нарушения политики по отклонениям EPS не фиксируются.

  8. При необходимости выберите из дерева источников элементы, к которым необходимо применить политику аудита. Чтобы выбрать элемент, установите флажок слева от его названия в списке.

    Для выбора доступны нормализаторы всех установленных конвейеров во всех включенных коллекторах.

    Нормализаторы в дереве сгруппированы по конвейерам и коллекторам. Чтобы просмотреть список конвейеров нужного коллектора или список элементов нужного конвейера, нажмите на кнопку chevron down справа от названия соответствующего родительского элемента в дереве.

    Чтобы скрыть отображенный список дочерних элементов, нажмите на кнопку chevron up справа от названия родительского элемента в дереве.

  9. При необходимости выберите интеграции для отправки уведомлений о нарушении политики аудита источников.

  10. Нажмите на кнопку Создать. Система создаст новую политику аудита источников и отобразит ее в списке политик.

Добавление политики По точке входа

Чтобы добавить политику аудита источников типа По точке входа:

  1. Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных политиках аудита источников.

  2. Нажмите на кнопку Создать (plus). Отобразится форма создания политики аудита источников.

  3. Введите название политики аудита источников.

  4. При необходимости введите описание политики аудита источников.

  5. Выберите из выпадающего списка тип политики По точке входа.

  6. Задайте пороговые значения количества событий:

    • Нижний порог — минимальное количество событий, которое можно получить от источника без нарушения политики.

    • Верхний порог (опционально) — максимальное количество событий, которое можно получить от источника без нарушения политики.

  7. Задайте интервал времени в минутах, часах или днях, за который будут проверяться поступаемые события.

    Если за указанный интервал событий поступает меньше, чем указано в нижнем пороге, или больше, чем указано в верхнем пороге, то будет зафиксировано нарушение политики.

    По умолчанию установлен интервал в 30 минут.

  8. При необходимости выберите из дерева источников элементы, к которым необходимо применить политику аудита. Чтобы выбрать элемент, установите флажок слева от его названия в списке.

    Для выбора доступны точки входа всех установленных конвейеров во всех включенных коллекторах.

    Точки входа в дереве сгруппированы по конвейерам и коллекторам. Чтобы просмотреть список конвейеров нужного коллектора или список элементов нужного конвейера, нажмите на кнопку chevron down справа от названия соответствующего родительского элемента в дереве.

    Чтобы скрыть отображенный список дочерних элементов, нажмите на кнопку chevron up справа от названия родительского элемента в дереве.

  9. При необходимости выберите интеграции для отправки уведомлений о нарушении политики аудита источников.

  10. Нажмите на кнопку Создать. Система создаст новую политику аудита источников и отобразит ее в списке политик.

Включение политики аудита источников

После включения политика аудита источников активно применяется к привязанным точкам входа или нормализаторам и доступна для выбора при их создании.

Чтобы включить политику аудита источников:

  1. Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных политиках аудита источников.

  2. Нажмите на строку политики в списке. Система отобразит в правой части экрана карточку этой политики с подробной информацией о ней.

  3. Переведите переключатель состояния элемента в верхней части карточки в активное положение. Отобразится окно подтверждения включения политики аудита источников.

  4. Нажмите на кнопку Включить. Система обновит информацию о статусе политики аудита источников, и она станет активной.

Отключение политики аудита источников

После отключения политика аудита источников перестает применяться к привязанным точкам входа или нормализаторам и недоступна для выбора при их создании. При этом источники, отслеживаемые данной политикой, переходят в статус Не определяется.

Чтобы отключить политику аудита источников:

  1. Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных политиках аудита источников.

  2. Нажмите на строку политики в списке. Система отобразит в правой части экрана карточку этой политики с подробной информацией о ней.

  3. Переведите переключатель состояния элемента в верхней части карточки в неактивное положение. Отобразится окно подтверждения отключения политики аудита источников.

  4. Нажмите на кнопку Отключить. Система обновит информацию о статусе политики аудита источников, и она станет неактивной.

Просмотр политики аудита источников

Чтобы просмотреть карточку политики аудита источников:

  1. Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных политиках аудита источников.

  2. Нажмите на строку политики в списке. Система отобразит в правой части экрана карточку этой политики с подробной информацией о ней.

В верхней части карточки отображается название политики аудита источников. Справа от названия расположена кнопка more vertical, при нажатии на которую открывается выпадающее меню с действиями, доступными для выбранной политики.

Чтобы изменить ширину карточки, наведите курсор на ее левую границу. Курсор примет вид двунаправленной стрелки. Перетащите левую границу карточки в нужном направлении.

Карточка политики аудита источников содержит следующие поля:

  • ID — уникальный идентификатор политики аудита источников.

  • Название — имя политики аудита источников.

  • Описание — описание политики аудита источников.

  • ID тенанта — идентификатор тенанта.

  • Статус — текущее состояние политики аудита источников: Включена или Выключена.

  • Тип политики — способ определения источника: По маске или По точке входа.

  • Метод расчета — метод расчета для политик По маске: По количеству событий или По среднему EPS.

  • Нижний порог — нижний порог, по которому фиксируется нарушение политики:

    • Для политик По точке входа и политик По маске с методом расчета По количеству событий: минимальное количество событий, которое можно получить от источника без нарушения политики.

    • Для политик По маске с методом расчета По среднему EPS: минимальное допустимое отклонение от среднего значения EPS в процентах, которое можно получить от источника без нарушения политики.

  • Верхний порог — верхний порог, по которому фиксируется нарушение политики:

    • Для политик По точке входа и политик По маске с методом расчета По количеству событий: максимальное количество событий, которое можно получить от источника без нарушения политики.

    • Для политик По маске с методом расчета По среднему EPS: максимальное допустимое отклонение от среднего значения EPS в процентах, которое можно получить от источника без нарушения политики.

  • Период — период, за который проверяются поступаемые события. Используется для политик По маске с методом расчета По среднему EPS.

  • Интервал — интервал времени, логика работы которого зависит от политики аудита и метода расчета:

    • Для политик По точке входа и политик По маске с методом расчета По количеству событий: интервал, в течение которого проверяется политика.

    • Для политик По маске с методом расчета По среднему EPS: интервал, в течение которого ежеминутно проверяется отклонение количества событий от нормы.

  • Дата создания — дата и время создания политики аудита источников.

  • Дата изменения — дата и время последнего изменения политики аудита источников.

  • Создал — имя пользователя, создавшего политику аудита источников.

  • Изменил — имя пользователя, изменившего политику аудита источников.

  • Интеграции — список интеграций для отправки уведомлений. Список представлен в виде таблицы со столбцами Название и Статус.

    Список можно сортировать по названию.

    Поле отображается, если для политики задана хотя бы одна интеграция.

  • Точки входа — список точек входа, к которым применяется политика аудита. Список представлен в виде таблицы со столбцами Название и Статус.

    Список можно сортировать по названию.

    Поле отображается для политик По точке входа.

  • Источники — список определенных по маске источников, к которым применяется политика аудита. Список представлен в виде таблицы со столбцами Название и Статус.

    Список можно сортировать по названию.

    Поле отображается для политик По маске.

Также в карточке находится переключатель статуса политики аудита источников.

Изменение политики аудита источников

Чтобы изменить параметры существующей политики аудита источников:

  1. Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных политиках аудита источников.

  2. Нажмите на строку политики в списке. Система отобразит в правой части экрана карточку этой политики с подробной информацией о ней.

  3. Нажмите на кнопку действий в верхнем правом углу карточки и выберите опцию Изменить. Отобразится окно редактирования политики аудита источников.

  4. Внесите необходимые изменения в поля.

    Тип политики изменить невозможно.

  5. Нажмите на кнопку Сохранить. Система сохранит изменения и отобразит соответствующее уведомление. Обновленная информация отобразится в списке политик.

    Если при редактировании системной политики аудита в дереве источников были удалены связи с элементами конвейера, то для этих элементов аудит будет отключен.

    Если связи были удалены при редактировании пользовательской политики, то после нажатия на кнопку Сохранить отобразится окно, в котором необходимо выбрать действие над элементами с удаленными связями:

    • Использовать политику по умолчанию — для исключенных элементов конвейера будет назначена системная политика аудита:

      • для точек входа — Политика аудита источников по точке входа;

      • для нормализаторов — Политика аудита источников по маске.

    • Выключить аудит — для исключенных элементов конвейера аудит будет отключен.
Если был изменен набор полей в маске, все источники, которые были созданы по этой маске, удаляются. Новые источники будут определяться по мере поступления событий на нормализатор.

Изменить название и описание пользовательской политики можно непосредственно из ее карточки:

  1. Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных политиках аудита источников.

  2. Нажмите на строку политики в списке. Система отобразит в правой части экрана карточку этой политики с подробной информацией о ней.

  3. Нажмите на кнопку edit в строке названия или описания политики в ее карточке. Система отобразит поле ввода значения.

  4. Введите новое значение поля.

  5. Нажмите Сохранить. Измененные данные политики аудита источников будут сохранены.

Название и описание системных политик изменить невозможно.

Удаление политики аудита источников

Невозможно удалить предустановленные политики аудита источников, а также политики, назначенные источникам событий.

Чтобы удалить существующую политику аудита источников:

  1. Перейдите на вкладку Политики аудита источников в разделе Инструменты → Аудит источников.

  2. Нажмите на строку политики в списке. Система отобразит в правой части экрана карточку этой политики с подробной информацией о ней.

  3. Нажмите на кнопку действий в верхнем правом углу карточки и выберите опцию Удалить. Отобразится окно подтверждения удаления политики.

  4. Нажмите на кнопку Удалить. Система удалит политику и отобразит соответствующее уведомление. Удаленная политика будет исключена из списка.

Настройка параметров политики аудита источников

Настройка маски

Маска — это набор полей события, которые используются для идентификации источника. Источник определяется как уникальный набор значений полей, указанных в маске. При изменении набора полей источники, сформированные по маске, удаляются.

Особенности маски:

  • В маску можно добавить от одного до десяти полей.

  • Поля в маске могут быть обязательными или опциональными. В маске должно быть хотя бы одно обязательное поле.

  • Если любое из обязательных полей содержит пустое значение, источник не формируется.

    Пустыми значениями считаются null, а также 0.

Система не позволяет создавать несколько политик аудита с одинаковым набором полей в маске, даже если в них отличается указанный порядок или список опциональных полей.

Пример работы маски

В политике задана маска со следующими полями:

  • dvendor (обязательное);

  • dhost (обязательное);

  • user (опциональное).

После обработки следующих трех событий формируются два источника:

dvendor dhost user Результат

Windows

admin.example.local

Admin

Windows|admin.example.local|Admin

WINDOWS

admin.example.local

Admin

WINDOWS|admin.example.local|Admin

null

admin.example.local

User32

Источник не формируется.

Метод расчета по количеству событий

При использовании метода расчета По количеству событий условие нарушения политики определяется количеством событий, поступивших за определенный интервал времени.

Логика работы метода:

  1. Проверяется количество событий, поступивших от источника за указанный интервал времени.

  2. Если за рассматриваемый интервал событий пришло меньше, чем указано в нижнем пороге, или больше, чем указано в верхнем пороге, будет зафиксировано нарушение политики.

Пример расчета по количеству событий

Пусть задана политика с расчетом по количеству событий со следующими параметрами:

  • Нижний порог: 10.

  • Верхний порог: 100.

  • Интервал: 30 минут.

Для источника с такой политикой каждые 30 минут будет запускаться проверка поступивших событий. Если за прошедший интервал времени (30 минут) событий пришло меньше 10 или больше 100, будет выявлено нарушение политики.

Метод расчета по среднему EPS

При использовании метода расчета По среднему EPS условие нарушения политики определяется отклонением от среднего количества событий в секунду (EPS), поступивших за определенный период времени.

Логика работы метода:

  1. Высчитывается среднее значение EPS за указанный период. Данное значение принимается за норму.

  2. Каждую минуту проверяется отклонение поступивших событий от нормы. Если в течение указанного интервала в каждую минуту поток событий отклоняется вниз сильнее, чем указано в нижнем пороге, или вверх сильнее, чем указано в верхнем пороге, будет зафиксировано нарушение политики.

При выборе метода расчета По среднему EPS системе необходимо собрать минимальное количество данных по источнику для корректного расчета среднего значения EPS. После включения политики система ожидает 24 часа, накапливая данные. В этот период нарушения политики по отклонениям EPS не фиксируются.

Пример расчета по среднему EPS

Пусть задана политика с расчетом по среднему значению EPS со следующими параметрами:

  • Нижний порог: 5%.

  • Верхний порог: 10%.

  • Период: 10 дней.

  • Интервал: 30 минут.

Для источника с такой политикой будет рассчитан средний показатель EPS за 10 дней, который будет принят за норму. Далее будут происходить ежеминутные проверки поступающего потока событий. Если в течение указанного интервала времени (30 минут) поток событий каждую минуту отклоняется от нормы более чем на 5% вниз или более чем на 10% вверх, то будет зафиксировано нарушение политики.

Системные политики аудита

В системе имеются следующие политики, применяемые по умолчанию:

  • Политика аудита источников по маске;

  • Политика аудита источников по точке входа.

Параметры системных политик можно редактировать. По умолчанию установлены следующие значения:

  • По маске

  • По точке входа

  • Поля маски:

    • dproduct (обязательное);

    • dvchost (обязательное);

    • dvc (опциональное);

    • deviceProcessName (опциональное).

  • Метод расчета: По количеству событий.

  • Нижний порог: 1.

  • Верхний порог: не задан.

  • Интервал: 30 минут.

  • Нижний порог: 1.

  • Верхний порог: не задан.

  • Интервал: 30 минут.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь