Описание Активных действий в SM
В результате выполнения поискового запроса могут быть настроены активные действия.
Для просмотра имеющихся активных действий в Smart Monitor
в интерфейсе создания и настройки поискового задания выберите вкладку Активные действия
и нажмите кнопку Добавить
.
Список доступных в системе действий представлен ниже:
- Email Action - Отправляет сообщение по указанному адресу. Подробнее рассматривается в статье
- Incident Action - Создание инцидента в модуле
Менеджер инцидентов
. Пример создания детально рассматривается в статье - Index Events - Позволяет записывать результат выполнения запроса в индекс. Подробнее рассматривается в статье
- JDBC - Позволяет записывать результаты выполнения запроса во внешние базы данных
- Log Event - Записывает результаты поискового запроса в файл
job_scheduler.log
компонентаПланировщик задач
- MITRE ATT&CK® - Позволяет тегировать события как срабатывания техник и подтехник базы
MITRE ATT&CK®
с последующей записью событий в индекс - Risk Scoring - Позволяет фиксировать риск-балл в сработке
- Run Job Action - Позволяет выполнить имеющееся поисковое задание из компонента
Планировщик задач
- Script - Позволяет запускать имеющийся на сервере скрипт
- Webhook - Позволяет выполнять HTTP-запросы к удаленному серверу
Далее рассматриваются имеющиеся активные действия c описанием заполняемых настроек.
Email Action
Описание параметров:
- Кому - адрес получателя
- Тема - тема письма
- Подпись - подпись в конце письма
- Тело письма - сообщение для отправки, имеется возможность переключения на HTML-разметку
- Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса
- Добавить время - добавляет серверное время на момент отправки
- Добавить таблицу - добавляет в тело сообщения таблицу с результатами поиска
- Отправить файл - в письмо добавится csv файл с результатами поискового запроса
- Объединить - объединяет результаты выполнения поискового запроса в одно сообщение
Incident Action
Имеет следующий набор полей для заполнения:
- Название - имя создаваемого инцидента
- Критичность - уровень критичности события. Доступно 3 варианта - норма, предупреждение, тревога
- Workflow - рабочий процесс обработки инцидента
- Описание - описание инцидента
- Тип детализации - действие по которому можно посмотреть событие, которое зафиксировало инцидент. По умолчанию - поиск
- Детализация - запрос, который обнаружил событие просматриваемого инцидента
- Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенно м параметре активное действие будет применено для каждого результата запроса
- Дополнительные поля - заполнение полей в карточке инцидента
- Поля из результатов поиска - отображение полей в описании инцидента. Принимает значение локального или глобального токена
- Локальные параметры - поля вида ключ-значение для использования токенов. Могут принимать значение локального или глобального токенов
Index Events
Описание параметров:
- Название индекса - имя индекса
- Обновлять документ - при включенном параметре происходит обновление документа при каждом выполнении запроса вместо создания нового
- Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса
JDBC
Описание параметров:
- Пользователь - имя пользователя для авторизации в БД
- Соединение - строка с параметрами подключения к БД
- Имя таблицы - таблица БД, в которую будут записываться результаты запроса
- Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса
Log Event
Настройка параметров не требуется.
MITRE ATTACK
Результат выполнения активного действия записывается в индекс .smos_mitre-*
. Данные в индексе можно использовать для генерации инцидентов.
Описание параметров:
- Название - системное название активного действия
- Правило - название корреляционного правила, для которого настраивается сработка
- Слои - выбор созданного слоя в MITRE ATT&CK®
- Техника - список техник, которые характеризуют данную сработку
- Критичность - уровень критичности события
- Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса
- Поля из результатов поиска - поля вида ключ-значение для использования параметров из запроса
Risk Scoring
Результат выполнения активного действия записывается в индекс .smos_risk-*
. Позволяет начислить риск-балл, например, для категории пользователей или хостов за выполнение контролируемых де йствий. Данные в индексе можно использовать для генерации инцидентов.
Описание параметров:
- Название - системное название активного действия
- Категории риска - по какой сущности производится подсчет (система и/или пользователь)
- Риск-балл - количество риск-баллов по сработке
- Точность - вес оценки риск-балла. Принимает значение от 0 до 1
- Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса
- Поля из результатов поиска - поля вида ключ-значение для использования параметров из запроса
Run Job Action
Описание параметров:
- Выберите действие - имя запускаемог о поискового задания
- Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса
Script
Скрипт должен находится на сервере (с запущенным Smart Monitor Remote Execution
), который указан в настройках компонента Планировщик задач
. Позволяет запускать shell и python скрипты.
Описание параметров:
- Путь до скрипта - абсолютный путь до исполняемого файла, который необходимо запустить
- Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса
Webhook
Можно использовать для записи результатов поисковой задачи во внешнюю систему с использованием HTTP-запросов.
Описание параметров:
- Протокол - выбор протокола http/https для выполнения запросов
- Хост - адрес сервера, принимающего запросы
- Порт - порт сервера, принимающего запросы
- Тип запроса - тип запроса к серверу. Доступные варианты: GET, POST, PUT, DELETE
- Запрос - путь до ресурса из адресной строки после порта. Например,
path/to/source
в строке https://example.source:443/path/to/source - Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса
- Параметры - используется для передачи параметров в адресной строке. Задается в виде пары ключ - значение. Например,
?param1=value1¶m2=value2
в строке https://example.source:443/path/to/source?param1=value1¶m2=value2 - Авторизация - выполнение авторизации на принимающем запрос сервере
- Заголовки - позволяет передать заголовки принимающему серверу в виде пары ключ-значение. Например, можно передать заголовки: User-Agent, Cookie, Authorization
- Тело - передача данных принимающему серверу