В данной статье описана схема обработки событий и пайплайны, которые выполняют обработку событий.
На рисунке выше показана схема обработки событий в компоненте Saturn. Каждый из блоков представляет собой сущность в Системе:
- input: данный пайплайн является единой точкой входа в обработку для всех событий;
- clone: данный пайплайн осуществляет отправку всех событий в хранилище (СlickHouse), выполняет предобработку событий Windows, а также отправляет события в пайплайн identity, если включена фильтрация на основе правил корреляции;
- pre_parse: данный пайплайн осуществляет предварительный парсинг событий. События с тегом unparsed отправляются в пайплайн clone, а с тегом parsed — в пайплайн pre_filtration;
- pre_filtration: данный пайплайн осуществляет распределение событий в пайплайны в соответствии со значением поля product (в пайплайне parse). События с product = auditd отправляются в пайплайн grouping, события с тегом unparsed отправляются в пайплайн clone;
- parse: данный блок является совокупностью пайплайнов, каждый из которых обрабатывает события только для своего product. Псоле окончания процедуры парсинга, все события отправляются в пайплайн clone;
- grouping: данный пайплайн выполняет группировку событий auditd. События с тегом unparsed отправляются в пайплайн clone, а с тегом parsed — в блок parse;
- identity: данный пайплайн отвечает за распределение событий по тегам. Если в событиях product = checkpoint_gaia/auditd/usergate/postgresql/cisco/esxi/nginx/unix_like/vsphere, пайплайн отправляет события в пайплайн mpsiem_tags. В ином случае события отправляется сразу в пайплайн output_siem;
- output_siem: данный пайплайн осуществляет отправку событий в MP SIEM;
- mpsiem_tags: если включена фильтрация событий на основе правил корреляций, пайплайн отправляет прошедшие фильтрацию события в пайплайн output_siem;
