События

В настоящем разделе представлено описание раздела меню «События», предусматривающего механизм просмотра событий от подключенных к ARMA MC источников.

Для перехода в подраздел меню на панели навигации необходимо выбрать раздел меню «Журналы», затем - подраздел «События» (см. Рисунок – Список событий).

../../../_images/amc.rp.events.1.png

Рисунок – Список событий

Подраздел меню позволяет просматривать инциденты в формате таблицы, состоящей из следующих столбцов:

  • «Дата» - дата формирования события в ARMA MC;

  • «Сообщение» - текст сообщения от источника в формате «cef»;

  • «Источник» - источник, зафиксировавший событие;

  • «Сигнатура» - образец, используемый для идентификации атаки в сети;

  • «Критичность» - критичность события, определяется источником, возможные значения от 0 до 10;

  • «Категория» - категория сигнатуры, модуль источника событий, отреагировавшего на пакет;

  • «IP отправителя»;

  • «IP получателя».

Подраздел меню позволяет настроить отображение столбцов таблицы. Для настройки отображения столбцов необходимо нажать кнопку «Настройка столбцов» и выбрать в выпадающем списке необходимые столбцы. По умолчанию в таблице отображаются все столбцы.

Порядок работы с информацией, представленной в формате таблицы описан в разделе «Форма раздела меню. Таблица» настоящего руководства.

Примечание

Просмотр информации о каждом событии доступен через поле «Поиск» на панели инструментов.

Поиск и фильтрация

Блок фильтрации позволяет отфильтровать необходимые события и по умолчанию состоит из следующих полей (см. Рисунок – Блок фильтрации):

  • «Поиск»;

  • кнопка «Помощь по коррелятору»;

  • «Критичность»;

  • кнопка «Сбросить фильтры».

../../../_images/amc.rp.events.1.1.png

Рисунок – Блок фильтрации

Сквозной поиск по полям таблицы осуществляется с помощью ввода искомого значения в поле параметра «Поиск» с использованием синтаксиса коррелятора. Поиск осуществляется по всем столбцам таблицы. В качестве примера приведён поиск событий по категории сигнатуры, содержащей значение «control» (см. Рисунок – Помощь по коррелятору).

../../../_images/amc.rp.events.1.2.png

Рисунок – Блок фильтрации

Кнопка «bttn.corr.help» содержит рекомендации, упрощающие поиск необходимых событий, и открывает карточку «Помощь по коррелятору» с двумя вкладками - «Синтаксис» и «Поля» (см. Рисунок – Помощь по коррелятору). Вкладка «Синтаксис» содержит пояснения по именам полей и терминам, особым символам, диапазонам и логическим операторам. Вкладка «Поля» содержит описание полей и типа данных каждого поля.

../../../_images/amc.rp.events.1.3.png

Рисунок – Помощь по коррелятору

Фильтрация по полю «Критичность» позволяет отфильтровать данные по критичности события.

Сброс всех установленных фильтров осуществляется нажатием кнопки «Сбросить фильтры».

Просмотр подробной информации о событии

Для просмотра подробной информации о событии необходимо нажать на запись с событием, в результате будет отображена карточка «Информация о событии [дата] в [время]» (см. Рисунок – Информация о событии).

../../../_images/amc.rp.events.2.1.png

Рисунок – Информация о событии

Информация в карточке событий разбита на следующие блоки:

  • «Основное»;

  • «Сигнатуры»;

  • «Отправитель»;

  • «Получатель»;

  • «Источник события».

Блок «Основное» содержит информацию об ID события, дате и времени создания записи о событии, исходное сообщение в формате «cef», критичность события, данные о первом и последнем срабатывании, суммарном количестве срабатываний, а также информацию о действии, которое предпринял источник события по отношению к сетевому пакету.

Блок «Сигнатуры» содержит информацию об ID, имени и категории сигнатуры.

Блок «Отправитель» содержит информацию об IP, порте, исходном хосте отправителя, а также об исходном пользователе.

Блок «Получатель» содержит информацию об IP, порте и целевом хосте получателя.

Блок «Источник события» содержит информацию о версии и модуле источника событий, отреагировавших на сетевой пакет, а также ID и имя источника событий, приславшего сообщение о событии, и производителе источника.

Примечание

Информация о событии может отличаться в зависимости от категории события.

Экспорт событий

Существует возможность локально сохранить таблицу событий. Для этого необходимо нажать кнопку «Экспорт» на панели инструментов. Формат экспортируемого файла - «csv».

После успешного экспорта списка событий появится соответствующее уведомление (см. Рисунок – Успешный экспорт событий).

../../../_images/amc.rp.events.3.1.png

Рисунок – Успешный экспорт событий