База знаний

База знаний AxelNAC

База знаний LogIQ

Документация

...

Система хранения и обработки данных «LogIQ». Версия 2.5.0

Система хранения и обработки данных «LogIQ». Версия 2.4.0

LogIQ. Руководство администратора

Введение

Мониторинг и оповещения

Работа с оповещениями

Управление правилами оповещений

Управление шаблонами писем

Конфигурация тенантов

Управление учетными записями

Внешние интеграции

Синхронизация компонентов системы

Управление конфигурационными файлами

Журнал аудита

Работа с ошибками

LogIQ. Руководство пользователя

LogIQ. Руководство разработчика

Система хранения и обработки данных «LogIQ». Версия 2.3.0

Система хранения и обработки данных «LogIQ». Версия 2.2.0

Обучающие материалы

База знаний Шерлок

Юридические документы

Управление правилами оповещений

Содержание:

В данной статье описано взаимодействие с правилами оповещений в Системе: как их добавить, просмотреть, найти, отредактировать, копировать, активировать/деактивировать и удалить.

Общие сведения

Система позволяет создавать и конфигурировать правила, по которым будут регистрироваться оповещения об определенных событиях.

Для управления правилами необходимо перейти на вкладку Мониторинг → Правила.

На вкладке Правила расположена таблица со списком всех существующих правил.

Таблица содержит следующие поля:

Название — имя созданного правила;
Последний запуск — дата последнего запуска правила;
Расписание — периодичность запуска проверки событий по правилу;
Активность — состояние активности правила:
- Активно — система осуществляет проверку событий на соответствие условиям правила по расписанию;
- Деактивировано — система не осуществляет проверку.
Метки — метки для классификации правил и оповещений. Возможные значения:
- account-lockout;
- asset;
- database;
- endpoint;
- file;
- session;
- web.
Тенанты — тенанты базы данных, для которых будет срабатывать правило.

Управление таблицей

По умолчанию на странице отображается 20 записей, однако вы можете выбрать отображение 10, 20 и 50 записей на странице. Для этого нажмите на поле в правом верхнем углу списка и выберите в выпадающем списке необходимое количество для отображения.

Вы можете отсортировать таблицу по названию и дате последнего запуска правила в порядке возрастания или убывания с помощью значка . По умолчанию все записи в таблице отображаются в порядке возрастания по дате создания правила.

Для переключения между страницами используйте блок в левом нижнем углу списка:

Добавление правила

Для того, чтобы добавить новое правило, нажмите кнопку Создать в правом верхнем углу страницы. При нажатии будет открыто окно со следующими параметрами:

Название — название правила, которое будет отображаться в списке правил, списке оповещений и самих оповещениях;
Описание — описание правила, которое будет отображаться в подробной информации об оповещении;
Активность — состояние активности правила:
- Активно — система осуществляет проверку событий на соответствие условиям правила по расписанию;
- Деактивировано — система не осуществляет проверку.
Метки — метки для классификации правил и оповещений. Возможные значения:
- account-lockout;
- asset;
- database;
- endpoint;
- file;
- session;
- web.
Запуск — периодичность запуска проверки событий по правилу;
Фильтр событий — раздел, в котором задаются параметры выборки событий для проверки;
Интервал — интервал времени выборки событий для проверки;
Тенанты — тенанты, в которых будут проверяться события;
Условия — в данной строке вы можете выбрать поле, оператор и значение в событии, которые будут подпадать под проверку;
Условие — добавить условия попадания событий в выборку. Если вы добавили более одного условия, вы можете выбрать оператор для этих условий;
Группа — добавить группу условий попадания событий в выборку. Если вы добавили более одного условия, вы можете выбрать оператор для этих групп условий;
Срабатывание — раздел, в котором задаются приоритеты оповещений, условия их создания, а также действия, которые при этом совершит система;
Добавить условие — добавить условие срабатывания правила. При нажатии будет доступен выбор приоритета оповещения:
- Критичный;
- Высокий;
- Средний;
- Низкий;
- Информационный.
Поле условия — в данном разделе вы можете задать параметры для срабатывания оповещения;
Удалить условие — нажмите на иконку, чтобы удалить условие для оповещения;
Условия оповещения — в данной строке вы можете задать количество событий и срабатываний правил для создания оповещения;
Действия — в данном разделе вы можете настроить действия, которые будут выполняться при создании оповещения. На данный момент доступна только отправка уведомления по электронной почте;
Шаблон — шаблон электронного письма, которое будет отправлено при создании оповещения;
Получатели — электронная почта получателей уведомления;
Восстановление — раздел, в котором задаются условия закрытия оповещения, а также действия, которые при этом совершит система;
Условие — данный параметр отвечает за активацию автоматического закрытия оповещения при соблюдении указанных ниже условий;
Правило не сработало — в данном поле вы можете указать количество раз подряд, когда правило не сработало и уязвимость можно считать закрытой;
Действия — в данном разделе вы можете настроить действия, которые будут выполняться при закрытии оповещения. На данный момент доступна только отправка уведомления по электронной почте;
Шаблон — шаблон электронного письма, которое будет отправлено при закрытии оповещения;
Получатели — электронная почта получателей уведомления;
Создать — нажмите кнопку, чтобы создать правило;
Отменить — нажмите кнопку, чтобы отменить изменения.

Правило может иметь не более пяти условий срабатывания — по одному условию на каждый уровень приоритета.

Поиск и фильтрация правил

Для того, чтобы найти определенное правило в списке, нажмите на форму поиска в левом верхнем углу таблицы и введите ключевое слово.

В качестве ключевых слов для поиска могут быть использованы:

Имя правила;
Метки.

Вы также можете отфильтровать список правил по их статусу, тенантам и меткам. Для этого нажмите на иконку фильтра и выберите параметры для фильтрации списка.

Просмотр правил

Для того, чтобы просмотреть подробную информацию о параметрах правила, нажмите на него в списке, после чего откроется страница со всеми доступными данными.

Редактирование правила

Для того, чтобы отредактировать ранее добавленное правило:

Нажмите на правило в списке, после чего нажмите кнопку Изменить в левом нижнем углу открывшейся страницы;

Нажмите на три точки справа от правила в списке, после чего в выпадающем списке выберите Изменить.

При нажатии будет открыта страница редактирования правила.

Чтобы сохранить изменения, нажмите кнопку Сохранить в левом нижнем углу страницы. После этого вы будете автоматически перенаправлены на страницу со списком всех добавленных правил.

Нажмите кнопку Отменить, чтобы сбросить все внесенные изменения.

Деактивация/активация правила

Деактивация правила позволяет остановить работу правила в Системе, не удаляя его полностью. Для того, чтобы деактивировать правило, нажмите на три точки справа от правила в списке, после чего выберите в выпадающем списке Деактивировать.

Для активации правила нажмите на три точки справа от правила в списке и выберите Активировать.

Копирование правила

Копирование позволяет позволяет создать дубликат правила для последующего редактирования. Для того, чтобы скопировать правило, нажмите на три точки справа от правила в списке, после чего выберите в выпадающем списке Копировать.

После этого откроется страница редактирования скопированного правила. Для сохранения копии нажмите Изменить после внесения всех изменений.

Удаление правила

Для того, чтобы удалить правило, нажмите на три точки справа от правила в списке, после чего выберите в выпадающем списке Удалить.

После этого, во всплывающем окне нажмите кнопку Да, удалить для подтверждения удаления. Если вы передумали удалять правило, нажмите кнопку Отменить.