События

В настоящем разделе представлено описание раздела меню «События», предусматривающего механизм просмотра событий от подключённых к ARMA MC источников.

Для перехода в подраздел меню на панели навигации необходимо выбрать раздел меню «Журналы», затем – подраздел «События» (см. Рисунок – Список событий).

../../../../_images/amc.rp.events.1.png

Рисунок – Список событий

Подраздел меню позволяет просматривать события в формате таблицы, состоящей из следующих столбцов:

  • «Дата» – дата формирования события в ARMA MC;

  • «Сообщение» – текст сообщения от источника в формате «cef»;

  • «Источник» – источник, зафиксировавший событие;

  • «Сигнатура» – образец, используемый для идентификации атаки в сети;

  • «Критичность» – критичность события, определяется источником, возможные значения от 0 до 10;

  • «Категория» – категория сигнатуры, модуль источника событий, отреагировавшего на пакет;

  • «IP отправителя»;

  • «IP получателя».

Подраздел меню позволяет настроить отображение столбцов таблицы. Для настройки отображения столбцов необходимо нажать кнопку «Настройка столбцов» и выбрать в выпадающем списке необходимые столбцы. По умолчанию в таблице отображаются все столбцы.

Порядок работы с информацией, представленной в формате таблицы описан в разделе «Форма раздела меню. Таблица» настоящего руководства.

Примечание

Просмотр информации о каждом событии доступен через поле «Поиск» на панели инструментов.

Поиск и фильтрация

Блок фильтрации позволяет отфильтровать необходимые события и по умолчанию состоит из следующих полей (см. Рисунок – Блок фильтрации):

  • «Поиск»;

  • кнопка «Помощь по коррелятору»;

  • «Критичность»;

  • кнопка «Сбросить фильтры».

../../../../_images/amc.rp.events.1.1.png

Рисунок – Блок фильтрации

Сквозной поиск по полям таблицы осуществляется с помощью ввода искомого значения в поле параметра «Поиск». Поиск осуществляется по исходному cef-сообщению с использованием синтаксиса коррелятора. В качестве примера приведён поиск событий по категории сигнатуры, содержащей значение «control» (см. Рисунок – Помощь по коррелятору).

../../../../_images/amc.rp.events.1.2.png

Рисунок – Блок фильтрации

Кнопка «bttn.corr.help» содержит рекомендации, упрощающие поиск необходимых событий, и открывает карточку «Помощь по коррелятору» с двумя вкладками – «Синтаксис» и «Поля» (см. Рисунок – Помощь по коррелятору). Вкладка «Синтаксис» содержит пояснения по именам полей и терминам, особым символам, диапазонам и логическим операторам. Вкладка «Поля» содержит описание полей и типа данных каждого поля.

../../../../_images/amc.rp.events.1.3.png

Рисунок – Помощь по коррелятору

Фильтрация по полю «Критичность» позволяет отфильтровать данные по критичности события.

Сброс всех установленных фильтров осуществляется нажатием кнопки «Сбросить фильтры».

Просмотр подробной информации о событии

Для просмотра подробной информации о событии необходимо нажать на запись с событием, в результате будет отображена карточка «Информация о событии [дата] в [время]» (см. Рисунок – Информация о событии).

../../../../_images/amc.rp.events.2.1.png

Рисунок – Информация о событии

Информация в карточке событий разбита на следующие блоки:

  • «Основное»;

  • «Сигнатуры»;

  • «Отправитель»;

  • «Получатель»;

  • «Источник события».

Блок «Основное» содержит информацию об ID события, дате и времени создания записи о событии, исходное сообщение в формате «cef», критичность события, данные о первом и последнем срабатывании, суммарном количестве срабатываний, тип и протокол события, информацию о действии, которое предпринял источник события по отношению к сетевому пакету, а также тэги правил корреляции, которые сработали на сетевой пакет.

Блок «Сигнатуры» содержит информацию об ID, имени и категории сигнатуры.

Блок «Отправитель» содержит информацию об IP, порте, исходном хосте отправителя, а также об исходном пользователе.

Блок «Получатель» содержит информацию об IP, порте и целевом хосте получателя.

Блок «Источник события» содержит информацию о версии, модуле и производителе источника событий, отреагировавших на сетевой пакет.

Примечание

Информация о событии может отличаться в зависимости от категории события.

Экспорт событий

Существует возможность локально сохранить таблицу событий. Для этого необходимо нажать кнопку «Экспорт» на панели инструментов. Формат экспортируемого файла – «csv».

После успешного экспорта списка событий появится соответствующее уведомление (см. Рисунок – Успешный экспорт событий).

../../../../_images/amc.rp.events.3.1.png

Рисунок – Успешный экспорт событий