Источники событий ИБ в аудите источников
Данный раздел описывает процесс работы с вкладкой Источники в разделе Инструменты → Аудит источников веб-интерфейса системы.
| Раздел доступен администраторам, пользователям, которые имеют соответствующее разрешение в составе своих ролей, а также учетным записям со статусом Суперадминистратор. |
Об источниках событий ИБ
Источники событий ИБ на вкладке Источники определяются масками политик аудита на нормализаторах. Каждый источник представляет собой уникальный набор значений полей в маске.
Пример генерации источников по маске
Пусть в политике задана маска со следующими полями:
-
dvendor(обязательное); -
dhost(обязательное); -
user(опциональное).
После обработки следующих трех событий формируются два источника:
| dvendor | dhost | user | Результат |
|---|---|---|---|
|
|
|
Windows|admin.example.local|Admin |
|
|
|
WINDOWS|admin.example.local|Admin |
|
|
|
Источник не формируется. |
Интерфейс вкладки
В верхней части вкладки расположена панель инструментов, которая включает следующие компоненты:
-
Поле Поиск предназначено для быстрого поиска источников событий.
-
Кнопка Фильтр (
) позволяет применять фильтры для отображения источников событий.
В рабочей области отображается таблица источников, определенных значениями полей в масках. Если один и тот же источник получен с нескольких конвейеров, он отображается в списке только один раз.
Таблица содержит следующие столбцы:
-
Статус — текущий статус источника событий:
-
Название — название источника событий. Название формируется из полей, определенных в маске.
Например, в маске указаны поля dvendor,dhost,user,tenantId. Название источника может выглядеть так:Windows|admin.domain.local|UserAdmin|Main. -
Время последнего обновления — дата и время последнего обновления информации об источнике.
-
Политика аудита источников — название политики аудита, примененной к источнику.
При работе с таблицей на вкладке Источники доступны следующие операции:
-
Поиск источников событий по полю Название.
-
Фильтрация источников событий по полям Статус и Политика аудита источников. Значения выбираются из выпадающего списка.
В поле Политика аудита источников возможен выбор нескольких пунктов. -
Сортировка источников событий по полям Название и Время последнего обновления.
-
Настройка отображения таблицы.
-
Обновление таблицы.
При выборе конкретного источника в правой части рабочей области отображается его карточка с детальной информацией.
Просмотр источников событий по маске
Чтобы просмотреть карточку источника событий по маске:
-
Перейдите на вкладку Источники в разделе Инструменты → Аудит источников. Система отобразит сведения о доступных источниках.
-
Нажмите на строку источника в списке. Система отобразит в правой части экрана карточку с информацией об источнике.
В верхней части карточки отображается название источника событий.
Чтобы изменить ширину карточки, наведите курсор на ее левую границу. Курсор примет вид двунаправленной стрелки. Перетащите левую границу карточки в нужном направлении.
Карточка источника событий включает в себя следующие поля:
-
Название — название источника событий. Название формируется из полей, определенных в маске.
Например, в маске указаны поля dvendor,dhost,user,tenantId. Название источника может выглядеть так:Windows|admin.domain.local|UserAdmin|Main. -
Статус — текущий статус источника событий:
-
Политика аудита источников — название политики аудита, примененной к источнику.
-
Время последнего обновления — дата и время последнего обновления информации об источнике.
-
Маска — список полей маски и их значений.
Была ли полезна эта страница?
