Оглавление printable false
Раздел предназначен для создания каналов и управления каналами доставки, отправляющих сообщения отправляющими события и проблемы во внешнюю систему — мониторинга (SIEM). При наличии каналов доставки в ЕССМ, система проводит производит проверку соответствия каждого события и каждой проблемы: если обнаружено, что проблемы установленным фильтрам. Если событие или проблема соответствует установленным фильтрам сообщений, канал доставки отправляет тип данных в SIEM.
данные в SIEM. Подробная информация о настройке формирования событий и проблем находится в соответствующих разделах "Правила генерации событий" и "Правила генерации проблем".
Во вкладке доступны следующие элементы управления:
Кнопки фильтрации, обновления,
настройки настройки отображаемых колонок и экспорта таблицы в CSV-файл;
Кнопка создания канала доставки;
- Кнопка удаления каналов доставки;
- Поле поиска по каналам доставки;
- Кнопка для открытия краткого руководства по поиску;
- Кнопки быстрой фильтрации по состоянию канала доставки (Включено/Выключено);
- Таблица каналов доставки.
Таблица состоит из следующих полейсодержит следующие поля:
- ID — номер канала доставки;
- Статус — состояние канала доставки;
- Название — название канала доставки;
- Описание — описание канала доставки; Дата последнего
- Дата последнего использования — дата , когда последний раз
- последней отправки сообщений через канал доставки был использован для отправки сообщений
- ;
- Тип — тип протокола для регистрации сообщений о событиях и проблемах;
- Адрес — полный адрес до
- внешней системы сбора событий;
- Включено — переключатель включения/выключения канала доставки;
- Формат — формат для сбора журналов событий и проблем. По умолчанию колонка скрыта. Для отображения необходимо активировать
- активируйте соответствующий флаг в настройках отображаемых колонок;
- Количество попыток — количество попыток для отправки сообщений во внешнюю систему. По
- По умолчанию колонка скрыта. Для отображения необходимо активировать
- активируйте соответствующий флаг в настройках отображаемых колонок;
- Интервал между попытками, сек — временной промежуток в секундах между попытками для отправки сообщений во внешнюю систему. По умолчанию колонка скрыта. Для отображения необходимо активировать
- активируйте соответствующий флаг в настройках отображаемых колонок.
Операции с каналами доставки
Для создания канала доставки необходимо нажать на нажмите кнопку "Создать".
Для редактирования существующего канала доставки необходимо нажать нажмите на строку таблицы с каналом доставки левой кнопки мыши.
Для удаления одного или нескольких каналов доставки необходимо выделить соответствующие каналы доставки выделите соответствующие каналы с помощью флагов и нажать на и нажмите кнопку "Удалить".
Создание канала доставки
Для создания нового канала доставки необходимо нажать нажмите на кнопку "Создать", : откроется окно "Создать канал доставки" с активной вкладкой "Общие настройки".
Поэтапно необходимо заполнить заполните все разделы формы. По мере заполнения обязательных полей во вкладках их статус будет изменяться.
Форма содержит две вкладки:
- Общие настройки — на вкладке представлены
- параметры для отправки сообщений во внешнюю систему;
- Фильтры сообщений — на вкладке представлены
- параметры для фильтрации сообщений из ЕССМ
- событий и проблем из ECCM при отправке во внешнюю систему.
Поля формы, не относящиеся к вкладкамдоступные во всех вкладках:
- Поле "Название"
- Название — название канала доставки; Поле "Описание"
- Описание — описание канала доставки.
Поля вкладки "Общие настройки" в форме:
Переключатель включения/выключения канала доставки;
Поле "Тип"Тип — тип протокола передачи записей журналов;
Поле "Формат"Формат — формат передачи данных;
Поле "Адрес сервера
"— адрес внешней SIEM-системы;
Поле "Порт"Порт — номер порта подключения;
Поле "Протокол"Протокол — протокол передачи данных;
Поле "Количество попыток
"— число попыток отправки сообщения;
Поле "Интервал между попытками — временной промежуток между попытками
"в секундах.
При нажатии на вкладку Вкладка "Фильтры сообщений" в форме появятся новые поля.
выглядит следующим образом:
Поля вкладки "Фильтры сообщений" в форме:
- Поле "
- Тип данных "
- — тип сообщений, передаваемых сообщений
- из ЕССМ во внешнюю систему ("события" и/или "проблемы"); Опция "
- Отправлять все актуальные проблемы " — опция определяет поведение канала доставки после создания. Если
- — если опция включена, то в
- в SIEM будут отправлены все незакрытые проблемы, соответствующие выставленным
- установленным фильтрам; Поле "
- Важность "
- — уровень важности выбранных типов данных; Поле "
- Тип устройства "
- — тип устройства, для которого будут отправляться сообщения во внешнюю систему; Поле "
- Область применения "
- — группы/устройства, для которых формируются
- которых формируются сообщения во внешнюю систему ;
- .
Тестирование канала доставки
При нажатии на кнопку "Отправить тестовое Отправить тестовое сообщение" отображается диалоговое окно "Доступность при тестировании (для {протокол})" со статусом отправленного сообщения.
| Информацияnote |
|---|
При тестировании протокола UDP , определить статус доступности определить не является представляется возможным в виду ввиду особенностей протокола. |
Для закрытия окна необходимо использовать кнопку Нажмите кнопку "Закрыть".По завершении
После заполнения всех обязательных полей формы выполните одно из следующих действий:
- Нажмите кнопку "Создать" — канал доставки
...
- будет создан;
- Нажмите кнопку "Отменить" — все настройки будут сброшены, диалоговое окно закроется.
Таблица событий для отправки во внешние SIEM-системы
Для отправки сообщений во внешнюю систему ECCM использует тип протокола передачи Syslog и формат CEF.
| Подсказка |
|---|
Syslog — протокол для сбора, передачи и хранения сообщений о событиях в компьютерных системах и сетях. CEF (Common Event Format) — текстовый формат, разработанный для поддержки различных типов устройств, предоставляющий актуальную информацию. |
События из ЕССМ можно разделить на три блока:
- TESTS — события тестовой отправки сообщения;
- EVENTS — события, соответствующие типу данных "События" из ЕССМ;
- PROBLEMS — события, соответствующие типу данных "Проблемы" из ЕССМ.
Во внешнюю систему доставляется следующая информация:
CEF_SYSLOG_TIMESTAMP CEF_SYSLOG_HOST CEF:Version|Product Vendor|Product|Product Version|Event Type Id|Event Type_Name|Severity|msg|src|start|[end]|[shosts]|Rule_id|deviceId|groupId|modelId|modelName|[isClosed]
Поля формата CEF
| Наименование поля | Описание | Значение/пример значения |
|---|---|---|
| CEF Version | Версия формата CEF, используемая для формирования сообщений. | 0 (константное значение) |
| Product Vendor | Производитель программного обеспечения. | Eltex (константное значение) |
| Product | Название продукта, который сгенерировал событие. | ЕССМ (константное значение) |
| Product Version | Версия продукта, который сгенерировал событие. | 2.5.0.829959 |
| Event Type ID | Тип данных, отправленных во внешнюю систему. |
|
| Event Type Name | Наименование типа данных, отправленного из продукта во внешнюю систему. |
|
| Severity | Степень важности сообщения, установленная в продукте. |
|
| msg | Описание типа данных в продукте, который отправил сообщение во внешнюю систему. Редактируется на страницах формирования ПГС и ПГП. | "Устройство недоступно по SNMP" |
| src | IP-адрес устройства, которое сгенерировало тип данных. | 100.122.0.107 |
| start | Start Time: Время начала события (в миллисекундах с эпохи Unix). | 1765443533449 |
| end | End Time: Время завершения события (в миллисекундах с эпохи Unix). Относится только к типу данных продукта "Проблемы". | 1765443533449 |
| shosts | Хостовое имя устройства (при наличии), которое сгенерировало тип данных. | hostname-device |
| Rule_id | Уникальный идентификатор правила, которое сформировало тип данных для отправки сообщения во внешнюю систему. | 1025 |
| deviceId | Уникальный идентификатор устройства, которое сгенерировало тип данных. | 108 |
| groupId | Уникальный идентификатор группы, в которой находится устройство в продукте. | 1 |
| modelId | Уникальный идентификатор модели устройства в продукте. | 269 |
| modelName | Наименование устройства согласно его модели. | WLC-3200 |
| isClosed | Булево значение, указывающее на закрытие типа данных "Проблемы". |
|