Перейти к основному содержимому
Версия: 4.6.X

Группы активов

Группы позволяют логически организовать активы в KOMRAD Enterprise SIEM для удобного управления инфраструктурой, настройки правил корреляции и разграничения доступа.

Назначение групп

Группы активов используются для решения следующих задач:

  • Структурирование информации -- систематизация собранных данных об активах
  • Формирование бизнес-групп -- объединение активов по принадлежности к бизнес-подразделениям или функциональным зонам
  • Формирование системных групп -- группировка по техническим признакам (тип ОС, роль сервера, сегмент сети)
  • Разграничение доступа -- управление правами пользователей на основе принадлежности активов к группам
  • Разработка правил корреляции -- использование групп в директивах корреляции для точной настройки правил обнаружения инцидентов
  • Назначение важности -- установка уровня важности для всех активов группы
  • Настройка сбора событий -- конфигурация параметров сбора событий для группы активов
  • Расширение отчётности -- формирование отчётов по группам активов
  • Архивирование -- управление архивными группами активов
  • Настройка аудита и нормализации -- конфигурация правил обработки событий для группы

Структура групп

Группы организованы в виде древовидной иерархии. Каждая группа может содержать дочерние подгруппы, что позволяет создавать многоуровневую структуру для точного отражения организационной или технической топологии.

Способы создания групп

Группы можно создать несколькими способами:

  • Из таблицы фильтров -- выбрать один или несколько сохранённых фильтров, на основе которых будет сформирована динамическая группа
  • Корневая группа -- создать группу верхнего уровня без родительского элемента
  • Подгруппа с наследованием фильтров -- создать дочернюю группу, которая наследует фильтры родительской группы
  • Из таблицы активов -- выбрать конкретные активы и объединить их в группу
  • По срабатыванию директив -- автоматическое создание группы при срабатывании правила корреляции
  • Из таблицы меток -- сформировать группу на основе выбранных меток

Карточка группы

При выборе группы открывается карточка с вкладками:

ВкладкаСодержание
ИнформацияОсновные сведения о группе: название, описание, дата создания, применённые фильтры
АктивыСписок активов, входящих в группу, с возможностью поиска и фильтрации
СобытияСобытия, полученные от активов группы
ИнцидентыИнциденты, связанные с активами группы
Действия с активамиЖурнал операций над активами группы

Фильтры

Фильтры позволяют формировать динамические группы, автоматически включающие активы по заданным условиям. При добавлении нового актива, соответствующего условиям фильтра, он автоматически включается в соответствующую группу.

Поддерживаемые операции фильтрации

В зависимости от типа данных поля доступны различные операции:

Строковые поля:

  • Равно / Не равно
  • Содержит / Не содержит
  • Начинается с / Заканчивается на
  • Пустое / Не пустое

Числовые поля:

  • Равно / Не равно
  • Больше / Меньше
  • Больше или равно / Меньше или равно
  • В диапазоне

Временные поля:

  • До / После
  • В диапазоне дат
  • За последние N минут / часов / дней

Поля-массивы:

  • Содержит элемент
  • Не содержит элемент
  • Содержит все элементы
  • Содержит любой из элементов

Фильтры можно комбинировать с использованием логических операторов И / ИЛИ для создания составных условий.

Метки

Метки (теги) -- это пользовательские текстовые маркеры, которые можно присваивать активам для дополнительной классификации. В отличие от групп, метки не образуют иерархию и являются независимыми друг от друга.

Метки можно использовать:

  • Для быстрого поиска и фильтрации активов
  • В качестве основы для формирования групп
  • Для пометки активов специальными признаками (например, «требует обновления», «тестовый стенд»)

Создание и присвоение меток выполняется пользователем вручную через интерфейс управления активами.

Последнее обновление