❓ Часто задаваемые вопросы
Бизнес
В чем преимущество Smart Monitor перед Splunk?
В Smart Monitor реализована возможность сквозного поиска в различных хранилищах, включая внешние, без необходимости повторной индексации данных. Smart Monitor, в отличие от Splunk, возможно легально приобрести на территории РФ.
Какие существуют варианты технической поддержки Smart Monitor?
Существуют два варианта технической поддержки Smart Monitor: базовая и расширенная.
Существуют ли курсы обучения работы со Smart Monitor?
На данный момент существует две программы обучения: Smart Monitor Developer и Smart Monitor Admin. Подробнее о содержании курсов и сроках их проведения вы можете узнать на официальном сайте.
Возможно ли строить бизнес по оказанию услуг на основе Smart Monitor?
Да, Smart Monitor поддерживает режим MSSP (Managed Security Service Provider). Партнёр может строить бизнес по оказанию услуг на основе данного режима.
Как можно подробнее ознакомиться с системой?
Вы можете оставить заявку на проведение демонстрации системы по ссылке.
Где-то можно ознакомиться со сценариями применения Smart Monitor?
Сценарии применения Smart Monitor доступны по ссылке.
Где можно изучить партнерскую программу?
Доступ к программе открывается на портале после заключения партнерского соглашения.
Существует ли открытое сообщество в социальных сетях?
У нас есть группа в Telegram, присоединяйтесь!
Архитектура
Является ли система масштабируемой?
Да, система может быть развёрнута на разном количестве узлов различной мощности, организующих единый кластер, что обеспечивает горизонтальную и вертикальную масштабируемость.
Как себя ведёт система при отказе части узлов?
Степень отказоустойчивости определяется конфигурацией системы - количеством узлов разных ролей и настройкой репликации данных.
Чем Smart Monitor отличается от OpenSearch / Elasticsearch?
Smart Monitor – это универсальная платформа для сбора и анализа машинных данных, предназначенная для решения задач в области информационной безопасности, мониторинга ИТ-инфраструктуры и анализа бизнес-процессов.
Отличительной возможностью платформы является возможность использовать различные хранилища, такие как OpenSearch, ElasticSearch, Hadoop, ClickHouse и другие. OpenSearch – это лишь одно из возможных хранилищ, применяемых в платформе в качестве базового.
Smart Monitor является решением типа on-premise или cloud-like?
Система устанавливается и работает на серверах собственной ИТ-инфраструктуры (on-premise). Размещение в облаке возможно реализовать в рамках проектных работ.
Возможна ли установка Smart Monitor на виртуальной инфраструктуре?
Да, процесс установки будет такой же, как и на физических серверах.
Возможна ли установка Smart Monitor на Astra Linux?
Да. Полный список поддерживаемых операционных систем доступен по ссылке.
Как установить дополнительные зависимости (библиотеки) для скрипта python?
Дополнительные зависимости (библиотеки) для Python-скрипта устанавливаются на все узлы кластеров SM Data Storage и SM Master Node, где активирован параметр node.attr.node_with_sme: true. При этом следует учитывать, что в конфигурации сервера обычно указывается путь до системного интерпретатора Python, следовательно, используются системные библиотеки.
Где должны располагаться скрипты для корректной работы SME-RE?
Скрипты должны находиться в директории, указанной в параметре настроек кластера sme.core.remote_script.base_path (по умолчанию: "/app/opensearch/utils/scripts/"). Этот путь соответствует настройке script в конфигурации источника. Однако, вы можете указать любую другую директорию для хранения скриптов, при этом важно учитывать, что:
-
Указанная директория должна быть доступна для чтения и выполнения SME-RE
-
При изменении пути необходимо убедиться, что все узлы OpenSearch, на которых работает SME-RE, имеют доступ к этой директории
Подробности для проверки GET запроса доступны в разделе по ссылке.
Можно ли по пути расположения скриптов размещать дополнительные файлы, необходимые скрипту?
Да, вы можете размещать дополнительные файлы в каталоге, указанном в параметре настроек кластера sme.core.remote_script.base_path. Однако необходимо убедиться, что у скрипта есть соответствующие права доступа к этим файлам.
Как осуществляется установка дополнительных модулей Smart Monitor?
Модули Smart Monitor поставляются в виде плагинов, которые могут быть установлены:
- Автоматически при установке Smart Monitor если они включены в состав дистрибутива, подробнее про установку Smart Monitor можно прочитать здесь;
- Вручную на уже эксплуатируемой инсталляции с помощью утилиты установки плагинов. Подробная инструкция по установке плагинов доступна здесь.
Контентные модули устанавливаются через интерфейс, подробнее об установке контентного модуля вы можете прочитать здесь.
Сбор данных
Какие данные могут быть собраны в Smart Monitor?
Любые машинные данные.
Какие способы сбора могут быть использованы для получения событий от источника?
Данные могут быть собраны при помощи множества различных протоколов и коннекторов. В список часто используемых входят:
- агентский сбор, включающий:
- чтение из файла
- чтение журналов Windows
- чтение журналов Linux Audit
- удаленное исполнение скриптов
- Syslog / UDP
- SNMP
- HTTP
- JDBC
- Kafka
Нужна ли обязательная установка агента для сбора данных?
Нет, данные могут быть направлены на хост коллектора, например, с использованием Syslog, либо собраны самим коллектором через опрос источника.
Может ли агент Smart Beat работать под непривилегированной учётной записью?
Да, если достаточно привилегий для сбора информации.
Возможна ли централизованная установка и управление агентами для сбора данных с хостов независимо от ОС?
Централизованная установка агентов на хосты может быть выполнена средствами автоматизации, такими как Ansible, или политики AD. Централизованное управление конфигурацией агентов осуществляется менеджером агентов Smart Beat.
Как осуществляется сбор, фильтрация и отправка данных в хранилище из файлов?
Чтение и фильтрация событий из файлов могут осуществляться как на стороне агента с отправкой в коллектор, так и на самом коллекторе, с которого данные передаются в хранилище.
Можно ли в Smart Monitor собирать и анализировать метрики производительности серверов?
Да, метрики производительности представляют собой типовой источник данных, аналитика по которым может быть выполнена с помощью языка запросов.
Можно ли подключить в качестве источников компоненты АСУ ТП? Есть ли шаблоны правил корреляции для ICS?
Да, забирать данные с объектов технологического сегмента можно, как с применением агентов, так и без них. Правила корреляции с АСУ ТП в отдельный модуль решения не оформлены, но они могут быть разработаны в рамках проекта.
Как проверить, что SME-RE настроен и работает корректно?
Чтобы убедиться, что SME-RE настроен и работает корректно, проверьте следующее на всех узлах OpenSearch, где планируется запуск скриптов:
-
В файле
opensearch.ymlустановлен параметрnode.attr.node_with_sme: true -
Служба SME-RE запущена и работает
systemctl status sme-re -
Интерпретаторы и директории со скриптами настроены корректно, права доступа к файлам и папкам выставлены правильно
-
Присутствует и корректно настроен файл конфигурации
/app/opensearch/utils/sme-re/application.properties
На узлах OpenSearch, где запуск скриптов не требуется, параметр node.attr.node_with_sme должен отсутствовать или быть установлен в false.
На самом кластере OpenSearch убедитесь, что:
-
В консоли разработчика OpenSearch команда
GET _cluster/settingsприсутствует разделsme.core. Если он отсутствует, его необходимо добавить -
Для проверки узлов с SME-RE выполните команду
GET _cat/nodeattrsи найдите параметрnode_with_sme
Подробности доступны в разделе по ссылке.
Есть ли удобный способ переноса необходимых файлов (скриптов и баз данных) в Smart Monitor?
На данный момент такой возможности нет. В качестве альтернативы можно подключить общую директорию на всех серверах и указать её в настройках. При этом следует учитывать, что у пользователя OpenSearch должен быть доступ к этой директории.
Какие существуют методы отслеживания проблем со сбором данных и нагрузкой от них?
Существует модуль самомониторинга. Также Вы можете ознакомиться со статьей по траблшутингу.
В чем заключаются преимущества использования модели данных данных ECS?
ECS имеет следующие преимущества:
- источники, подключенные по ECS, будут совместимы с контентом, разработанным для ECS
- унифицированная модель данных обладает спецификацией и предоставляет единую стандартизированную структуру, исключающую неоднозначность в именовании и использовании полей
Как реализуется управление жизненным циклом индексов?
Управлять жизненным циклом индексов Вы можете при помощи политик управления индексами.
Что такое паттерн индекса и шаблон индекса, в чем их различия?
Паттерн индекса используется для определения, из каких индексов необходимо считывать данные при выполнении поисковых запросов.
Создание индекс паттерна необходимо для:
- группировки индексов по обобщенному названию
- настройки отображения полей и статистики в интерфейсе поиска
Шаблон индекса — это набор настроек, маппинга и псевдонима, которые автоматически применяются ко всем индексам, название которых соответствует заданному паттерну.
Шаблон позволяет заранее определить:
- маппинг
- настройки хранения данных (например, количество шардов и реплик)
- псевдонимы для обращения к индексам
Различие паттерна и шаблона индекса: паттерн индекса влияет исключительно на отображение данных, не затрагивая их физическое хранение, и влияет только на отображение в веб-интерфейсе, а шаблон индекса используется для задания настроек индекса (маппинг, псевдонимы) и применяется на уровне хранилища данных для управления структурой индексов.
Безопасность
Поддерживается ли SAML?
Да, модуль безопасности включает поддержку SAML.
Возможно ли маскирование конфиденциальных данных при сборе с источника?
Да, маскирование может быть выполнено инструментами обработки данных на стороне агента или коллектора.
Как реализована ролевая модель?
Ролевая модель реализуется с помощью определения ролей с наборами разрешений. На роли назначаются внутренние пользователи системы и имена пользователей из внешних систем аутентификации (бэкенд-пользователи). Подробнее с настройкой можно ознакомиться в статье по настройке ролевой модели.
Интеграция с внешними системами
Для поиска по данным, должны ли они обязательно храниться в базовом хранилище Smart Monitor?
Нет, если данные уже находятся в каком-либо внешнем хранилище, то нет необходимости их дублирования в Smart Monitor, так как может быть использована технология Search Anywhere.
Какие хранилища данных совместимы со Smart Monitor?
Полноценная трансляция поискового запроса на языке Smart Monitor Language, использующая все преимущества хранилища доступна для OpenSearch, Elasticsearch и ClickHouse. Частичная трансляция поддерживается для любой базы данных, подключаемой по протоколу JDBC.
Есть ли возможность оповещения во внешние системы?
Да. Вы можете использовать активное действие Email Action для оповещений на почту или Webhook Action для любой интеграции по API, например: отправка по SMS, в Telegram или прочие системы.
Можно ли в поисковых запросах обращаться к внешним системам имеющим API или базам данных?
Да, с помощью механизма Search Anywhere или команды script.
Поисковые запросы
Как выполнить фильтрацию по точному совпадению в запросе?
Для выполнения фильтрации по точному совпадению, необходимо учитывать тип поля, который у текстовых значений может быть text или keyword. Тип text предназначен для полнотекстового поиска, а keyword – для точного совпадения. Если используется стандартный тип текстовых полей (text.keyword), то при обращении к полю необходимо использовать суффикс keyword (например, my_field.keyword). С особенностями формирования поисковых запросов можно ознакомиться в этом разделе.
Возможно ли в поисковом запросе сравнивать значения сразу по нескольким условиям?
Да, используя логические операторы OR и AND. При большом количестве значений для сравнения можно использовать команду format, которая сгенерирует логическое выражение из списка значений.
Как передать данные из поискового запроса Smart Monitor в вызываемый скрипт?
Передать данные, полученные до вызова команды script, можно следующим образом:
- Если в теле запроса используется команда
script, и необходимо передать полученный результат в предыдущих командах, в скрипте можно получить путь до временного файла с результатами через переменнуюsys.argv[0]
Пример:
source .smos_incident-ml-*
| eval vect_fields="company,fields.user,fields.perpetrator,fields.position,fields.double_alerts_name",
target="target_status",
target_status = case(
status == "cancel", 1,
status == "close_incident", 2,
status == "double", 3,
status == "false", 4,
status == "improvements", 5,
status == "in_work_incident", 6,
status == "init", 7,
status == "pending", 8,
status == "sendtoism", 9
)
| fillnull company, vect_fields, target_status, target, fields.user, fields.perpetrator, fields.position, fields.double_alerts_name
| fields company, vect_fields, target_status, target, fields.user, fields.perpetrator, fields.position, fields.double_alerts_name, status
| script intr=python3 target_encoding.py
- Если в запросе при вызове скрипта нужно указать параметры, то поддерживаются только статические параметры (не переменные)
Пример:
source users-*
| script intr=python3 send_kafka.py ip-address-kafka.org 9092 topic_users
Поддерживает ли Smart Monitor Language регулярные выражения?
Да, поддерживает. Вы можете выполнять поиск по регулярным выражениям с помощью поискового запроса search regex, и извлекать данные из полей командой rex. Подробности доступны в статье по ссылке
Какие команды работают на уровне хранилища, а какие на уровне движка, в чем их разница?
На уровне хранилища работают только команды: search, aggs, timeaggs, peval.
Данный список команд является эквивалентом списка команд на уровне хранилища: where, stats, timechart, eval соответственно. С остальными командами на уровне движка можно ознакомиться в разделе Smart Monitor Language в статье про работу с поиском.
Команды уровня хранилища работают со всеми документами индекса напрямую, используя оптимизированные нативные механизмы хранилища для максимальной производительности, тогда как команды уровня движка оперируют уже выборкой выгруженной из хранилища (которая ограничивается параметром qsize, по умолчанию равным 1000), что делает их более подходящими для постобработки данных, но потенциально менее эффективными при работе с большими объемами информации.
Работа с инцидентами
Возможно ли ручное создание инцидентов?
Да, инциденты можно создавать вручную. Подробности доступны в статье по ссылке.
Возможно ли изменять значения основных полей, таких как критичность или ответственный, у существующего инцидента?
Да, у любого существующего инцидента можно изменять значение основных полей. Подробности доступны в статье по ссылке.
Поддерживается ли массовое редактирование инцидентов?
Да, поддерживается. Вы можете выбрать несколько инцидентов и произвести массовое редактирование или использовать механизм агрегации инцидентов и работать с группой инцидентов как с единой сущностью.
Где можно посмотреть лог запуска задач планировщика?
Лог запуска задач планировщика можно посмотреть в индексе .smos_internal-*.
Корреляционные правила
Можно ли разрабатывать собственные корреляционные правила?
Да, вы можете использовать язык запросов Smart Monitor Language для того чтобы выполнять различные поисковые запросы по данным с подключенных источников. После того как сформирован поисковый запрос, включающий нужную логику, вы можете самостоятельно создать на его основе корреляционное правило.
В Smart Monitor существуют предустановленные правила корреляции?
Правила корреляции предоставляются в составе отдельных контентных модулей.
Как часто в контентных модулях обновляются правила корреляций?
Раз в квартал при выходе новой версии Smart Monitor.
Возможно ли перенести разработанные корреляционные правила на другую инсталляцию?
Да, правила могут быть экспортированы и импортированы на другую инсталляцию через web-интерфейс.
Возможно ли работать с планировщиком задач через API?
Да, API планировщика позволяет выполнять основные операции над задачами, такие как создание, чтение, редактирование и удаление. Подробности доступны в статье по ссылке.
Инвентаризация
Какая информация может использоваться в инвентаризации?
В качестве источника информации можно использовать любой существующий индекс с данными.
Возможно ли автоматизировать сбор информации об активах в инвентаризации?
Да, модуль Inventory оперирует данными из источников, указанных в конфигурации актива. Поэтому изменение или добавление новой записи в источнике автоматически отразится и в инвентаризации актива.