Загрузка данных в систему

Введение

Анализ данных имеет важное значение для обеспечения безопасности информационных систем предприятия. Проводя анализ информации, можно отслеживать активность пользователей, выявлять потенциальные угрозы безопасности и предотвращать инциденты.

Применение инструментов мониторинга, таких как Smart Monitor, облегчает этот процесс, предоставляя возможность автоматизированного анализа и визуализации данных.

Функционал платформы Smart Monitor представляет собой важный инструмент в данном процессе, предоставляя комплексные возможности анализа и мониторинга, а также создания индивидуализированных отчетов.

Об импорте данных

Платформа Smart Monitor поддерживает различные методы сбора информации.

Одним из наиболее распространенных является способ, при котором данные поступают в систему непосредственно из источников сбора логов.

Наиболее простым методом, который рекомендуется использовать для ознакомления с возможностями Smart Monitor является прямая загрузка данных в систему через специальный интерфейс.

В качестве примера для ознакомления рекомендуем использовать подготовленные данные (jollymeal_wineventlog.csv).

Что содержится в данных

В данных, предоставленных для ознакомления, содержится информация из журнала аудита безопасности, который содержит информацию о попытках входа в систему, изменениях в системных настройках, доступе к файлам и других действиях, которые могут представлять риск для безопасности системы.

Пример, представленный ниже представляет собой типичное событие, представленное в подготовленной выборке данных.

Пример события в формате JSON

{
  "agent": {
    "name": "jollymeal-demo",
    "id": "e13410f4-896d-4140-a4ba-4ed54ce58149",
    "type": "winlogbeat",
    "ephemeral_id": "02e29f56-c819-4371-ab81-ce9eb68c8b15",
    "version": "8.0.0"
  },
  "winlog": {
    "computer_name": "JM-MAN-014",
    "process": {
      "pid": 88463,
      "thread": {
        "id": 5651
      }
    },
    "keywords": [
      "Audit Failure"
    ],
    "level": "information",
    "channel": "Security",
    "event_data": {
      "TargetLogonId": "0x12345678",
      "WorkstationName": "JM-MAN-014",
      "TargetUserName": "SanchezThomas",
      "TargetDomainName": "JMCORP"
    },
    "opcode": 0,
    "record_id": "123456789",
    "task": "Logon",
    "event_id": 4625,
    "provider_guid": "{54849625-5478-4994-a5ba-3e3b0328c30d}",
    "time_created": "2024-03-06T07:15:09Z",
    "provider_name": "Microsoft-Windows-Security-Auditing",
    "outcome": "failure"
  },
  "log": {
    "file": {
      "path": "/app/auth-events/output/auth_events-2024-03-06.json"
    }
  },
  "destination": {
    "address": "TERM-SERV-JMCORP",
    "domain": "JMCORP",
    "ip": "192.168.16.220"
  },
  "source": {
    "address": "JM-MAN-014",
    "ip": "192.168.16.17",
    "domain": "JMCORP"
  },
  "@timestamp": "2024-03-06T07:15:09Z",
  "related": {
    "ip": [
      "192.168.16.17",
      "192.168.16.220"
    ],
    "user": [
      "SanchezThomas"
    ]
  },
  "ecs": {
    "version": "8.9.0"
  },
  "host": {
    "name": "JM-MAN-014"
  },
  "@version": "1",
  "event": {
    "original": "{\"@timestamp\": \"2024-03-06T07:15:09Z\", \"event\": {\"kind\": \"event\", \"category\": [\"authentication\"], \"type\": [\"start\"], \"outcome\": \"failure\", \"action\": \"logon-failed\", \"code\": 4625, \"provider\": \"Microsoft-Windows-Security-Auditing\", \"module\": \"security\"}, \"agent\": {\"name\": \"jollymeal-demo\", \"id\": \"e13410f4-896d-4140-a4ba-4ed54ce58149\", \"type\": \"winlogbeat\", \"ephemeral_id\": \"02e29f56-c819-4371-ab81-ce9eb68c8b15\", \"version\": \"8.0.0\"}, \"winlog\": {\"computer_name\": \"JM-MAN-014\", \"process\": {\"pid\": 88463, \"thread\": {\"id\": 5651}}, \"keywords\": [\"Audit Failure\"], \"level\": \"information\", \"channel\": \"Security\", \"event_data\": {\"WorkstationName\": \"JM-MAN-014\", \"TargetUserName\": \"SanchezThomas\", \"TargetDomainName\": \"JMCORP\", \"TargetLogonId\": \"0x12345678\"}, \"opcode\": 0, \"record_id\": \"123456789\", \"task\": \"Logon\", \"event_id\": 4625, \"provider_guid\": \"{54849625-5478-4994-a5ba-3e3b0328c30d}\", \"time_created\": \"2024-03-06T07:15:09Z\", \"provider_name\": \"Microsoft-Windows-Security-Auditing\", \"outcome\": \"failure\"}, \"source\": {\"address\": \"JM-MAN-014\", \"ip\": \"192.168.16.17\", \"domain\": \"JMCORP\"}, \"destination\": {\"address\": \"TERM-SERV-JMCORP\", \"ip\": \"192.168.16.220\", \"domain\": \"JMCORP\"}, \"related\": {\"ip\": [\"192.168.16.17\", \"192.168.16.220\"], \"user\": [\"SanchezThomas\"]}, \"user\": {\"domain\": \"JMCORP\", \"name\": \"SanchezThomas\", \"id\": \"0005\"}, \"host\": {\"name\": \"JM-MAN-014\"}, \"ecs\": {\"version\": \"8.9.0\"}, \"outcome\": \"failure\"}",
    "code": 4625,
    "provider": "Microsoft-Windows-Security-Auditing",
    "kind": "event",
    "module": "security",
    "action": "logon-failed",
    "category": [
      "authentication"
    ],
    "type": [
      "start"
    ],
    "outcome": "failure"
  },
  "user": {
    "domain": "JMCORP",
    "name": "SanchezThomas",
    "id": "0005"
  },
  "outcome": "failure"
}

Загрузка данных

Smart Monitor предоставляет простой интерфейс для импорта данных, который разработан таким образом, чтобы пользователю не требовалось специальных технических знаний.

Для того чтобы загрузить данные в Smart Monitor необходимо выполнить следующие действия:

1. Перейти в Навигационное меню

2. В разделе Основное выбрать Загрузить данные

3. Будет представлен следующий интерфейс, который позволит импортировать в систему данные

Обратите внимание!

Для импорта доступны только файлы форматов .xlsx, .csv, .json. Также объем файлов не должен превышать 100 МБ.

4. Выбрать для импорта файл jollymeal_wineventlog.csv

5. Нажать кнопку Далее для перехода к следующему пункту импорта

6. В выпадающем меню Выберите опции для индекса выбрать пункт Новый индекс, а в соответствующем поле указать для него название. В качестве названия для индекса рекомендуется выбрать jollymeal_wineventlog

7. Выполнить настройку схемы данных индекса

Данный интерфейс позволяет обеспечивает пользовательскую настройку типов данных для импортированных полей без необходимости специальных технических знаний. Пользователь может легко выбрать тип данных для каждого импортированного поля, такой как текстовое поле, числовое поле, дата и время и т. д. Это позволяет корректно интерпретировать и анализировать данные в соответствии с их фактическим содержанием, обеспечивая более точные и полезные результаты при анализе данных в Smart Monitor.

Необходимо изменить тип следующих полей:

• event.code: integer
• winlog.event_id: integer
• winlog.opcode: integer
• winlog.process.pid: integer
• winlog.process.thread.id: integer
• @timestamp: date

После чего нажать кнопку "Далее".

8. Будет показано сообщение об успешном импорте

Далее доступен выбор:

• Создать шаблон
• Открыть в поиске
• Загрузить еще

Поиск информации по событиям уже доступен, однако для дальнейшей работы потребуется создать шаблон индекса, поэтому выберем этот пункт.

9. В открывшемся окне необходимо нажать на кнопку Создать шаблон индекса

10. В строке Имя шаблона индекса ввести jollymeal_wineventlog

Обратите внимание!

Название шаблона должно совпадать с названием индекса. В конце имени шаблона требуется стереть символ *.

11. В строке Поле времени нужно выбрать @timestamp, после чего завершить создание шаблона, нажав на кнопку Создать шаблон индекса

12. Загрузка данных завершена. Теперь данные доступны для поиска и анализа. Чтобы убедиться в этом, достаточно перейти в раздел Навигационное меню - Основное - Поиск

В поле необходимо ввести запрос:

source jollymeal_wineventlog

В результате отобразится следующий результат: