Оглавление printable false
Раздел предназначен для создания и управления каналами доставки, отправляющими события и проблемы во внешнюю систему мониторинга (SIEM). При наличии каналов доставки , система проводит производит проверку соответствия каждого события и проблемы установленным фильтрам. Если событие или проблема соответствует фильтрам, канал доставки отправляет данные в SIEM. Подробная Подробная информация о настройке формирования событий и проблем находится в соответствующих разделах под наименованиями разделах "Правила генерации событий" и "Правила генерации проблем".
Во вкладке доступны следующие элементы управления:
Кнопки фильтрации, обновления, настройки отображаемых колонок и экспорта таблицы в CSV-файл;
Кнопка создания канала доставки;
- Кнопка удаления каналов доставки;
- Поле поиска по каналам доставки;
- Кнопка для открытия краткого руководства по поиску;
- Кнопки быстрой фильтрации по состоянию канала доставки (Включено/Выключено);
- Таблица каналов доставки.
Таблица содержит следующие поля:
- ID — номер канала доставки;
- Статус — состояние канала доставки;
- Название — название канала доставки;
- Описание — описание канала доставки;
- Дата последнего использования — дата последней отправки сообщений через канал доставки;
- Тип — тип протокола для регистрации сообщений о событиях и проблемах;
- Адрес — полный адрес внешней системы сбора событий;
- Включено — переключатель включения/выключения канала доставки;
- Формат — формат для сбора журналов событий и проблем. По умолчанию колонка скрыта. Для отображения активируйте соответствующий флаг в настройках отображаемых колонок;
- Количество попыток — количество попыток для отправки сообщений во внешнюю систему. По
- По умолчанию колонка скрыта. Для отображения активируйте соответствующий флаг в настройках отображаемых колонок;
- Интервал между попытками, сек — временной промежуток в секундах между попытками для отправки сообщений во внешнюю систему. По умолчанию колонка скрыта. Для отображения активируйте соответствующий флаг в настройках отображаемых колонок.
Операции с каналами доставки
Для создания канала доставки нажмите кнопку "Создать".
Для редактирования существующего канала доставки нажмите на строку таблицы с каналом доставки.
Для удаления одного или нескольких каналов доставки выделите соответствующие каналы доставки с помощью флагов и нажмите кнопку "Удалить".
Создание канала доставки
Для создания нового канала доставки необходимо нажать нажмите на кнопку "Создать", : откроется окно "Создать канал доставки" с активной вкладкой "Общие настройки".
Поэтапно необходимо заполнить заполните все разделы формы. По мере заполнения обязательных полей во вкладках их статус будет изменяться.
Форма содержит две вкладки:
- Общие настройки — параметры для отправки сообщений во внешнюю систему;
- Фильтры сообщений — параметры для фильтрации событий и проблем из ECCM при отправке во внешнюю систему.
Поля формы, доступные во всех вкладках:
- Название — название канала доставки;
- Описание — описание канала доставки.
Поля вкладки "Общие настройки" в форме:
Переключатель включения/выключения канала доставки;
Тип — тип протокола передачи записей журналов;
Формат — формат передачи данных;
Адрес сервера — адрес внешней SIEM-системы;
Порт — номер порта подключения;
Протокол — протокол передачи данных;
Количество попыток — число попыток отправки сообщения;
Интервал между попытками — временной промежуток между попытками в секундах.
При нажатии на вкладку Вкладка "Фильтры сообщений" в форме появятся новые поля.
выглядит следующим образом:
Поля вкладки "Фильтры сообщений" в форме:
- Тип данных — тип сообщений, передаваемых сообщений
- из ЕССМ во внешнюю систему ("события" и/или "проблемы");
- Отправлять все актуальные проблемы — если опция включена, в SIEM будут отправлены все незакрытые проблемы, соответствующие установленным фильтрам;
- Важность — уровень важности выбранных типов данных;
- Тип устройства — тип устройства, для которого будут отправляться сообщения во внешнюю систему;
- Область применения — группы/устройства, для которых формируются сообщения во внешнюю систему ;
- .
Тестирование канала доставки
При нажатии на кнопку "Отправить тестовое сообщение" отображается диалоговое окно "Доступность при тестировании (для {протокол})" со статусом отправленного сообщения.
| Примечание |
|---|
При тестировании протокола UDP , определить статус доступности определить не является представляется возможным в виду ввиду особенностей протокола. |
Нажмите кнопку "Закрыть" для закрытия окна.
После заполнения всех обязательных полей выполните одно из следующих действий:
- Нажмите кнопку "Создать" — канал доставки будет создан;
- Нажмите кнопку "Отменить" — все настройки будут сброшены, диалоговое окно закроется.
Таблица событий для отправки во внешние SIEM-системы
Для отправки сообщений во внешнюю систему , ECCM использует тип использует тип протокола передачи Syslog и формат CEF.
| Подсказка |
|---|
Syslog - — протокол для сбора, передачи и хранения сообщений о событиях в компьютерных системах и сетях. CEF - (Common Event Format, ) — текстовый формат, разработанный для поддержки различных типов устройств, предоставляющий актуальную информацию. |
События из ЕССМ можно разделить на три блока:
- TESTS — события тестовой отправки сообщения;
- EVENTS — события, соответствующие типу данных "События" из ЕССМ;
- PROBLEMS — события, соответствующие типу данных "Проблемы" из ЕССМ.
Во внешнюю систему доставляются доставляется следующая информация:
CEF_SYSLOG_TIMESTAMP CEF_SYSLOG_HOST CEF:Version|Product Vendor|Product|Product Version|Event Type Id|Event Type_Name|Severity|msg|src|start|[end]|[shosts]|Rule_id|deviceId|groupId|modelId|modelName|[isClosed]
Поля формата CEF
...
| Наименование поля | Описание | Значение/пример значения |
|---|---|---|
| CEF Version | Версия формата CEF, используемая для формирования сообщений. | Константное значение — 00 (константное значение) |
| Product Vendor | Производитель программного обеспечения. | Константное значение - EltexEltex (константное значение) |
| Product | Название продукта, сгенерировавшего который сгенерировал событие. | Константное значение - ЕССМЕССМ (константное значение) |
| Product Version | Версия продукта, сгенерировавшего который сгенерировал событие. | 2.5.0.829959 |
| Event Type ID | Тип данных, отправленных во внешнюю систему. |
|
| Event Type Name | Наименование типа данных, отправленного из продукта во внешнюю систему. |
|
| Severity | Степень важности сообщения, установленная в продукте, отправившего сообщение во внешнюю систему. |
|
| Event Type Namemsg | Наименование типа данных, отправленного из продукта во внешнюю систему. |
|
| Severity | Степень важности сообщения для CEF формата. Значения аналогичны Event Type ID, однако передается не в численном, а в текстовом формате. | EMERGENCY |
| msg | Описание типа Описание типа данных в продукте, отправившего который отправил сообщение во внешнюю систему. Редактируется на страницах формирования ПГС и ПГП. | "Устройство недоступно по SNMP" |
| src | IP-адрес устройства, сгенерировавшего которое сгенерировало тип данных. | 100.122.0.107 |
| start | Start Time: Время начала события (в миллисекундах с эпохи Unix). | 1765443533449 |
| end | End Time: Время завершения события (в миллисекундах с эпохи Unix). Относится только к типу данных продукта "Проблемы". | 1765443533449 |
| shosts | Хостовое имя устройства , (при его наличии), сгенерировавшего которое сгенерировало тип данных. | hostname-device |
| Rule_id | Уникальный идентификатор правила, сформировавшего которое сформировало тип данных для отправки сообщения во внешнюю систему. | 1025 |
| deviceId | Уникальный идентификатор устройства, сгенерировавшего которое сгенерировало тип данных. | 108 |
| groupId | Уникальный идентификатор группы, в которой находится устройство в продукте. | 1 |
| modelId | Уникальный идентификатор модели устройства в продукте. | 269 |
| modelName | Наименование устройства согласно его модели. | WLC-3200 |
| isClosed | Булевое Булево значение, указывающее на закрытие типа данных "Проблемы". |
|