Просмотреть исходный

Раздел предназначен для создания и управления каналами доставки, отправляющими события и проблемы во внешнюю систему мониторинга (SIEM).При наличии каналов доставки, система проводит проверку соответствия каждого события и проблемы установленным фильтрам. Если событие или проблема соответствует фильтрам, канал доставки отправляет данные в SIEM. Подробная информация о настройке формирования событий и проблем находится в соответствующих разделах под наименованиями "Правила генерации событий" и "Правила генерации проблем"

ECCM Documentation 2.5 > Интеграция с SIEM > image-2025-11-27_14-41-18.png

Во вкладке доступны следующие элементы управления:

Кнопки фильтрации, обновления, настройки отображаемых колонок и экспорта таблицы в CSV-файл;
Кнопка создания канала доставки;
Кнопка удаления каналов доставки;
Поле поиска по каналам доставки;
Кнопка для открытия краткого руководства по поиску;
Кнопки быстрой фильтрации по состоянию канала доставки (Включено/Выключено)
Таблица каналов доставки.

Таблица содержит следующие поля:

ID — номер канала доставки;
Статус — состояние канала доставки;
Название — название канала доставки;
Описание — описание канала доставки;
Дата последнего использования — дата последней отправки сообщений через канал доставки;
Тип — тип протокола для регистрации сообщений о событиях и проблемах;
Адрес — полный адрес внешней системы сбора событий;
Включено — переключатель включения/выключения канала доставки;
Формат — формат для сбора журналов событий и проблем. По умолчанию колонка скрыта. Для отображения активируйте соответствующий флаг в настройках отображаемых колонок;
Количество попыток — количество попыток для отправки сообщений во внешнюю систему. По умолчанию колонка скрыта. Для отображения активируйте соответствующий флаг в настройках отображаемых колонок;
Интервал между попытками, сек — временной промежуток в секундах между попытками для отправки сообщений во внешнюю систему. По умолчанию колонка скрыта. Для отображения активируйте соответствующий флаг в настройках отображаемых колонок.

Операции с каналами доставки

Для создания канала доставки нажмите кнопку "Создать".

Для редактирования существующего канала доставки нажмите на строку таблицы с каналом доставки.

Для удаления одного или нескольких каналов доставки выделите соответствующие каналы доставки с помощью флагов и нажмите кнопку Удалить.

Создание канала доставки

Для создания нового канала доставки необходимо нажать на кнопку "Создать", откроется окно "Создать канал доставки" с активной вкладкой "Общие настройки".

Поэтапно необходимо заполнить все разделы формы. По мере заполнения обязательных полей во вкладках их статус будет изменяться.

ECCM Documentation 2.5 > Интеграция с SIEM > image-2025-12-4_9-14-43.png

Форма содержит две вкладки:

Общие настройки — параметры для отправки сообщений во внешнюю систему;
Фильтры сообщений — параметры для фильтрации событий и проблем из ECCM при отправке во внешнюю систему.

Поля формы, доступные во всех вкладках:

Название — название канала доставки;
Описание — описание канала доставки.

Поля вкладки "Общие настройки" в форме:

Переключатель включения/выключения канала доставки;
Тип — тип протокола передачи записей журналов;
Формат — формат передачи данных;
Адрес сервера — адрес внешней SIEM-системы;
Порт — номер порта подключения;
Протокол — протокол передачи данных;
Количество попыток — число попыток отправки сообщения;
Интервал между попытками — временной промежуток между попытками в секундах.

При нажатии на вкладку "Фильтры сообщений" в форме появятся новые поля.

ECCM Documentation 2.5 > Интеграция с SIEM > image-2025-12-4_9-18-31.png

Поля вкладки "Фильтры сообщений" в форме:

Тип данных — тип передаваемых сообщений из ЕССМ во внешнюю систему ("события" и/или "проблемы");
Отправлять все актуальные проблемы — если опция включена, в SIEM будут отправлены все незакрытые проблемы, соответствующие установленным фильтрам;
Важность — уровень важности выбранных типов данных;
Тип устройства — тип устройства, для которого будут отправляться сообщения во внешнюю систему;
Область применения — группы/устройства, для которых формируются сообщения во внешнюю систему;

Тестирование канала доставки

При нажатии на кнопку "Отправить тестовое сообщение" отображается диалоговое окно "Доступность при тестировании (для {протокол})" со статусом отправленного сообщения.

ECCM Documentation 2.5 > Интеграция с SIEM > image-2025-11-27_16-37-51.png

При тестировании протокола UDP, статус доступности определить не является возможным в виду особенностей протокола.

Нажмите кнопку "Закрыть" для закрытия окна.

После заполнения всех обязательных полей выполните одно из следующих действий:

Нажмите кнопку "Создать" — канал доставки будет создан;
Нажмите кнопку "Отменить" — все настройки будут сброшены, диалоговое окно закроется.

Таблица событий для отправки во внешние SIEM-системы

Для отправки сообщений во внешнюю систему, ECCM использует тип протокола передачи Syslog и формат CEF.

Syslog - протокол для сбора, передачи и хранения сообщений о событиях в компьютерных системах и сетях.

CEF - Common Event Format, текстовый формат, разработанный для поддержки различных типов устройств, предоставляющий актуальную информацию.

События из ЕССМ можно разделить на три блока:

TESTS — события тестовой отправки сообщения;
EVENTS — события, соответствующие типу данных "События" из ЕССМ;
PROBLEMS — события, соответствующие типу данных "Проблемы" из ЕССМ.

Во внешнюю систему доставляются следующая информация:

Поля CEF формата

Наименование поля	Описание	Значение/пример значения
CEF Version	Версия формата CEF, используемая для формирования сообщений.	Константное значение — 0
Product Vendor	Производитель программного обеспечения.	Константное значение - Eltex
Product	Название продукта, сгенерировавшего событие.	Константное значение - ЕССМ
Product Version	Версия продукта, сгенерировавшего событие.	2.5.0.829959
Event Type ID	Тип данных, отправленных во внешнюю систему.	0 — TESTS 1 — EVENTS 2 — PROBLEMS
Event Type Name	Наименование типа данных, отправленного из продукта во внешнюю систему.	TESTS EVENTS PROBLEMS
Severity	Степень важности сообщения, установленная в продукте.	0 — Неизвестная степень важности / Тестовое сообщение 1 — Отладка 3 — Информация 4 — Уведомление 5 — Предупреждение 7 — Ошибка 8 — Критическое 9 — Тревога 10 — Авария
msg	Описание типа данных в продукте, отправившего сообщение во внешнюю систему. Редактируется на страницах формирования ПГС и ПГП.	"Устройство недоступно по SNMP"
src	IP-адрес устройства, сгенерировавшего тип данных.	100.122.0.107
start	Start Time: Время начала события (в миллисекундах с эпохи Unix).	1765443533449
end	End Time: Время завершения события (в миллисекундах с эпохи Unix). Относится только к типу данных продукта "Проблемы".	1765443533449
shosts	Хостовое имя устройства, при его наличии, сгенерировавшего тип данных.	hostname-device
Rule_id	Уникальный идентификатор правила, сформировавшего тип данных для отправки сообщения во внешнюю систему.	1025
deviceId	Уникальный идентификатор устройства, сгенерировавшего тип данных.	108
groupId	Уникальный идентификатор группы, в которой находится устройство в продукте.	1
modelId	Уникальный идентификатор модели устройства в продукте.	269
modelName	Наименование устройства согласно его модели.	WLC-3200
isClosed	Булевое значение, указывающее на закрытие типа данных "Проблемы".	true false