Перейти к основному содержимому
Версия: 4.5.X

Инструкция импорта пакета экспертиз KOMRAD Enterprise SIEM

  1. В интерфейсе KOMRAD перейти на вкладку Администрирование ⇒ Пакеты экспертиз и нажать Импорт
  2. Выберите файл пакета экспертиз (.json)
  3. Нажмите на кнопку Проверить
  4. Ознакомьтесь с результатами проверки на конфликты
  5. Нажмите Импорт

Файлы пакетов экспертиз

Файлы пакетов экспертиз имеют формат .json. Максимальный размер загружаемого файла 64Мб

ec_import_form.png

Проверка на конфликты

Перед импортом пакета экспертиз система проверяет данные на наличие конфликтов. Если конфликты обнаружены, они будут отображены в интерфейсе. Для продолжения импорта необходимо вручную разрешить все конфликты. Также вы можете ознакомиться с деталями, нажав кнопку Скачать отчет. После просмотра отчета станет доступна кнопка Все равно импортировать , позволяющая выполнить импорт без устранения конфликтов.

Пример сообщения о конфликте

ec_conflict.png

Пример отчета

ec_report.png

Если проверка не выявит конфликтов, пакет экспертиз можно будет импортировать сразу.

ec_noconflict.png

Разрешение конфликтов

Если в KOMRAD, в который производится импорт, существует такое же поле, как и в импортируемом пакете экспертиз, происходит перезапись поля. В случае разрешения конфликта поля также перезаписываются. При выключении/удалении пакета экспертиз исчезают только те поля, которые были уникальны в пакете экспертиз.

осторожно

В случае если произошёл конфликт полей событий, значения будут перезаписаны

примечание

Возможен импорт пакетов с одинаковыми названиями. При этом к названию пакета добавятся дата и время

примечание

При попытке экспорта пакета экспертиз с битой директивой, в сообщении отобразится название директивы, в которой произошла ошибка

Ошибка при экспорте директивы с удаленным фильтром-1.png

примечание

Встроенные поля не экспортируются

Результаты импорта

После успешного импорта пакета экспертиз будет выведен отчет с описанием импортированных элементов входящих в состав пакета.

ec_imported.png

Включение

Для использования пакета экспертиз его необходимо включить. После включения все компоненты пакета — фильтры, директивы, плагины, поля событий и другие элементы — будут автоматически созданы в соответствующих разделах системы KOMRAD.

ec_enable.png

Выключение

При отключении пакета экспертиз все связанные с ним элементы (фильтры, директивы, плагины, поля событий и др.) перестанут отображаться в интерфейсе KOMRAD. При этом данные, собранные ранее с использованием этих элементов, сохраняются и могут быть восстановлены после повторного включения пакета.

Последнее обновление