13.4. Срабатывания

Во вкладке Срабатывания показан список срабатываний правил аналитики и отображена краткая информация о них. Срабатывание - это набор событий, объединенных правилом аналитики.

Можно увидеть следующую информацию о срабатываниях.

Наименование

Описание

Узел

Показан уникальный код, соответствующий устройству.

Время

Указаны дата и время срабатывания правила аналитики.

ID

Отображен идентификатор срабатывания.

Время первого события

Показано время первого события, попавшего под срабатывание правила аналитики.

Время последнего события

Показано время последнего события, попавшего под срабатывание правила аналитики.

Количество событий

Показано количество событий, попавших под срабатывание правила аналитики.

Правило

Отображено название правила аналитики, которое сработало.

Категория

Отображена категория, к которой относится срабатывание. По умолчанию для выбора доступны следующие категории:

  • Security: правила данной категории определяют инциденты, приводящие к ухудшению безопасности информационных систем.

  • Availability: правила данной категории определяют инциденты, которые приводят к ухудшению доступности информационных систем.

  • Performance: правила данной категории определяют инциденты, которые приводят к ухудшению производительности информационных систем.

Дополнительные категории срабатываний правил аналитики могут быть созданы во вкладке Настройки в разделе Библиотеки --> Категории срабатываний.

Приоритет

Показан приоритет срабатывания, указанный при настройке правила аналитики:

  • Низкий: данные правила обладают низким приоритетом реагирования.

  • Нормальный: на данные правила необходимо обратить внимание и, возможно, предпринять меры.

  • Важный: на данные правила необходимо обратить внимание и предпринять меры.

  • Критический: данные правила требуют незамедлительного реагирования.

Установленный приоритет указывает на важность срабатывания.

Пользователь

Указано имя пользователя.

Сигнатуры

Отображено имя сработавшей сигнатуры СОВ.

Зона источника

Отображена зона, из которой происходит подключение.

IP источника

Показан IP-адрес источника.

Порт источника

Указан порт источника.

Зона назначения

Отображена зона назначения.

IP назначения

Показан IP-адрес назначения.

Порт назначения

Указан порт назначения.

Администратор может выбрать для показа только те столбцы, которые ему необходимы. Для этого необходимо навести указатель мыши на название любого столбца, нажать на появившуюся справа от названия столбца стрелку, выбрать Столбцы и в появившемся контекстном меню выбрать необходимые параметры.

Доступны два режима поиска: простой и расширенный. Простой режим использует графический интерфейс; расширенный поиск предназначен для формирования более сложных фильтров поиска с использованием специального языка запросов, о синтаксисе которого написано в разделе Поиск и фильтрация данных.

Нажатием кнопки Сохранить как можно сохранить настроенный фильтр. Список сохранённых фильтров поиска можно просмотреть, нажав на кнопку Популярные фильтры.

Чтобы посмотреть карточку срабатывания (краткую информацию о выбранном срабатывании), необходимо нажать кнопку Показать.

Нажатие кнопки Показать подробно произведёт перевод на вкладку Подробности срабатывания, где отображена подробная информации о выбранном срабатывании. О вкладке Подробности срабатывания читайте в соответствующей главе Подробности срабатывания.

Выбранное срабатывание правила аналитики можно добавить в инцидент нажатием одноимённой кнопки Добавить в инцидент.

С помощью кнопки Экспортировать в CSV администратор может скачать отфильтрованные данные журнала в csv-файл для дальнейшего анализа.