Распределённая корреляция
Распределённая корреляция позволяет эффективно распределять нагрузку на ядро KOMRAD между несколькими узлами, размещая корреляторы на разных хостах. Это обеспечивает горизонтальное масштабирование системы обнаружения угроз и повышает отказоустойчивость.
Архитектура
Архитектура распределённой корреляции включает следующие компоненты:
- Сборщики данных -- модули, собирающие события непосредственно с устройств и приложений
- Обработчики -- узлы обработки данных, выполняющие предварительную фильтрацию и обогащение событий
- Корреляторы -- компоненты, ответственные за выявление взаимосвязей между событиями и срабатывание правил корреляции
Масштабирование корреляторов
Каждый коррелятор отвечает за определённые директивы, обрабатывающие свою группу событий. Например:
- Коррелятор 1 -- обнаружение атак методом сканирования сети
- Коррелятор 2 -- выявление аномалий поведения пользователей
Любую директиву можно включить на любом из доступных корреляторов. При этом система автоматически присваивает каждому коррелятору уникальный идентификатор.
При включении одной и той же директивы на нескольких корреляторах каждый из них будет создавать собственные инциденты. Инциденты будут отличаться идентификатором коррелятора и идентификатором инцидента.
Управление корреляторами
Управление корреляторами осуществляется в разделе Администрирование ⇒ Анализ событий ⇒ Корреляторы.
Таблица корреляторов
Таблица корреляторов отображает следующую информацию:
| Столбец | Описание |
|---|---|
| ID | Уникальный идентификатор коррелятора |
| Название | Имя коррелятора (по умолчанию формируется как IP@имя_хоста) |
| IP | IP-адрес узла |
| Хост | Имя хоста |
| Диск | Использование дискового пространства |
| CPU | Загрузка процессора |
| Память | Использование оперативной памяти |
| Статус | Текущее состояние коррелятора |
| Вкл./Выкл. | Переключатель активности |
Доступные действия с таблицей:
- Настройка отображаемых столбцов (минимум 2 столбца)
- Сортировка по столбцам: Название, IP, Хост, Статус, Вкл./Выкл.
- Удаление коррелятора с помощью кнопки Удалить
Карточка коррелятора
Карточка коррелятора содержит подробную информацию и разделена на вкладки:
- Общая информация -- основные настройки коррелятора (ID, Название, Описание, IP, Хост)
- Директивы -- список директив с возможностью включения и выключения на данном корреляторе
- Логи -- журнал работы коррелятора
Поля карточки коррелятора
| Поле | Описание | Редактирование |
|---|---|---|
| ID | Уникальный идентификатор | Автоматически, не редактируется |
| Название | Имя коррелятора | Вручную или автоматически (по умолчанию IP@имя_хоста) |
| Описание | Текстовое описание назначения | Вручную (опционально) |
| IP | IP-адрес узла | Вручную или автоматически |
| Хост | Имя хоста | Вручную или автоматически |
| Статус | Текущее состояние | Автоматически |
| Диск | Использование диска | Автоматически, обновляется в реальном времени |
| CPU | Загрузка процессора | Автоматически, обновляется в реальном времени |
| Память | Использование оперативной памяти | Автоматически, обновляется в реальном времени |
Статусы коррелятора
Коррелятор может находиться в одном из следующих состояний:
- Запускается -- коррелятор находится в процессе запуска
- Работает -- коррелятор активен и обрабатывает события
- Останавливается -- коррелятор находится в процессе остановки
- Остановлен -- коррелятор остановлен
- Ошибка -- произошла ошибка в работе коррелятора
- Недоступен -- связь с коррелятором отсутствует
Распределение директив по корреляторам
Привязка директив
Директивы привязываются к корреляторам следующими способами:
- Из карточки коррелятора -- на вкладке Директивы можно включить или выключить отдельные директивы
- Из карточки директивы -- при создании или редактировании директивы доступна вкладка для выбора корреляторов
- Массовое назначение -- в таблице директив можно выбрать несколько директив и назначить их на корреляторы
Фильтрация директив по корреляторам
В таблице директив доступен фильтр Корреляторы, позволяющий отобразить:
- Директивы, не привязанные ни к одному коррелятору
- Директивы, привязанные только к определённым корреляторам
Мониторинг директив
В таблице директив отображается столбец Корреляторы, в котором указаны корреляторы с их статусами и ссылками на карточки.
Журнал коррелятора
На вкладке Логи в карточке коррелятора доступна таблица журнала со следующими столбцами:
| Столбец | Сортировка |
|---|---|
| Время | Да |
| Текст | Да |
| Логгер | Да |
| Аргументы | Нет |
| Уровень | Да |
Установка коррелятора
Для установки коррелятора на удалённый узел необходимо указать следующие параметры:
- IP-адрес сервера -- адрес для подключения и сбора событий
- Порт прослушивания -- номер порта для приёма сообщений от агентов и источников событий
- Режим аутентификации -- способ проверки подлинности соединений (SSL/TLS, Kerberos, LDAP)
- Учётные данные администратора -- логин и пароль для входа в административную панель