Активы
Активы -- это объекты в сети, которые передают информацию в KOMRAD Enterprise SIEM. Каждый актив представляет собой сетевое устройство, учётную запись, сотрудника или иной объект инфраструктуры, данные о котором собираются и хранятся в системе.
Активы хранятся в службе Asset-keeper вместе со своими свойствами и историей изменений. Ключевыми идентификаторами активов являются IP-адрес, MAC-адрес и FQDN.
Типы активов
KOMRAD Enterprise SIEM поддерживает следующие предустановленные типы активов:
| Тип | Описание |
|---|---|
| Сетевой адрес | Сетевая идентификация на уровне L2/L3 (IPv4, IPv6, MAC) |
| Хост | Физическое или виртуальное устройство в сети |
| Домен | DNS-домен |
| Операционная система | Экземпляр установленной ОС |
| Учётная запись | Учётные данные для аутентификации |
| Сотрудник | Физическое лицо, работающее с инфраструктурой |
Помимо предустановленных типов, администратор может создавать пользовательские типы активов для учёта специфики инфраструктуры организации.
Общие поля
Каждый актив независимо от типа содержит следующий набор базовых полей:
| Поле | Тип данных | Описание |
|---|---|---|
id | uint64 | Уникальный идентификатор, присваивается автоматически |
name | string | Уникальное имя актива (обязательное поле) |
created_at | timestamp | Дата и время создания |
updated_at | timestamp | Дата и время последнего обновления |
incidents | list | Список идентификаторов связанных инцидентов |
importance | string | Уровень важности актива |
last_event | timestamp | Дата и время последнего события от актива |
tags | list | Пользовательские метки |
groups | list | Принадлежность к группам |
description | text | Описание актива |
asset_type | string | Тип актива из списка доступных типов |
linked_assets | list | Связи с другими активами (текущие и исторические) |
Уровни важности
Для каждого актива можно задать один из уровней важности:
- Несущественная -- актив не влияет на работу критических систем
- Низкая -- актив имеет ограниченное значение для инфраструктуры
- Средняя -- актив важен для штатной работы систем
- Высокая -- актив критически важен для функционирования инфраструктуры
Поля по типам активов
Сетевой адрес
| Поле | Описание |
|---|---|
IPv4 | Адрес в формате IPv4 |
IPv6 | Адрес в формате IPv6 |
MAC | MAC-адрес сетевого интерфейса |
Необходимо указать хотя бы одно из полей.
Хост
| Поле | Описание |
|---|---|
hostname | Имя хоста |
device_type | Тип устройства из справочника |
port | Список открытых портов |
launch_date | Дата ввода в эксплуатацию |
CPU | Процессор |
ram | Объём оперативной памяти |
disk | Объём дискового пространства |
Операционная система
| Поле | Описание |
|---|---|
os_name | Название ОС |
os_type | Тип ОС (Windows, macOS, Linux, Unix, Android, iOS) |
os_version | Версия ОС |
os_pretty_name | Отображаемое название ОС |
Домен
| Поле | Описание |
|---|---|
domain_name | Полное доменное имя |
domain_top_level | Домен верхнего уровня |
domain_second_level | Домен второго уровня |
subdomain | Поддомен |
Учётная запись
| Поле | Описание |
|---|---|
login | Логин |
status_login | Статус учётной записи |
password_update | Дата последнего обновления пароля |
successful | Дата последнего успешного входа |
unsuccessful | Дата последнего неуспешного входа |
total_unsuccessful | Общее количество неуспешных попыток входа |
Сотрудник
| Поле | Описание |
|---|---|
full_name | Полное имя сотрудника |
department | Подразделение |
mail | Адрес электронной почты |
phone | Номер телефона |
company | Организация |
start_work_date | Дата начала работы |
end_work_date | Дата окончания работы |
Состояния активов
Каждый актив может находиться в одном из двух состояний:
- Активен -- от актива получены события в течение заданного интервала времени (настраивается в секундах)
- Неактивен -- обновления от актива не поступали в течение установленного периода. В этом случае отображается время, прошедшее с момента последнего обновления
Жизненный цикл актива
Создание
Активы могут быть созданы тремя способами:
- Вручную -- через пользовательский интерфейс с заполнением обязательных полей
- Автоматически из событий KOMRAD -- события, прошедшие алгоритм одобрения (автоматический или ручной), преобразуются в активы
- Автоматически из результатов сканирования -- доверенные результаты сканирования (например, из Сканер-ВС) создают активы с применением дедупликации
Обновление
При поступлении новых данных для существующего актива применяется одна из стратегий дедупликации:
| Стратегия | Описание |
|---|---|
| Diff | Сравнение ключевых параметров с заданным порогом отличия. Если различия превышают порог, создаётся новый актив |
| Unique | Требуется совпадение всех указанных уникальных полей. При расхождении любого из них создаётся новый актив |
| None | Дедупликация не выполняется. Каждая входящая запись создаёт новый актив |
Стратегия дедупликации настраивается отдельно для каждого типа актива.
Удаление
Удаление активов выполняется только вручную через пользовательский интерфейс.
Импорт и экспорт
Система поддерживает импорт и экспорт активов в следующих форматах:
- YAML
- CSV
- JSON
- tar.gz (архив)
- zip (архив)
При экспорте свойства, несовместимые с выбранным типом актива, исключаются из выгрузки.
Поиск и фильтрация
Для всех полей активов доступны следующие возможности:
- Поиск по любому полю актива
- Частичное совпадение (поиск по подстроке)
- Регистронезависимый поиск
- Сортировка по любому полю
- Комбинирование фильтров
Справочник типов устройств
Для поля device_type у хостов предусмотрен справочник из 32 предустановленных типов устройств, включая:
- Server (Сервер)
- Computer (Компьютер)
- Firewall (Межсетевой экран)
- Router (Маршрутизатор)
- Printer (Принтер)
- Switch (Коммутатор)
- и другие
Справочник типов устройств может быть расширен администратором.