❓ Часто задаваемые вопросы
Бизнес
В чем преимущество Smart Monitor перед Splunk?
В Smart Monitor реализована возможность сквозного поиска в различных хранилищах, включая внешние, без необходимости повторной индексации данных. Smart Monitor, в отличие от Splunk, возможно легально приобрести на территории РФ.
Какие существуют варианты технической поддержки Smart Monitor?
Существуют два варианта технической поддержки Smart Monitor: базовая и расширенная.
Существуют ли курсы обучения работы со Smart Monitor?
На данный момент существует две программы обучения: Smart Monitor Developer и Smart Monitor Admin. Подробнее о содержании курсов и сроках их проведения вы можете узнать на официальном сайте.
Возможно ли строить бизнес по оказанию услуг на основе Smart Monitor?
Да, Smart Monitor поддерживает режим MSSP (Managed Security Service Provider). Партнёр может строить бизнес по оказанию услуг на основе данного режима.
Как можно подробнее ознакомиться с системой?
Вы можете оставить заявку на проведение демонстрации системы по ссылке.
Где-то можно ознакомиться со сценариями применения Smart Monitor?
Сценарии применения Smart Monitor доступны по ссылке.
Где можно изучить партнерскую программу?
Доступ к программе открывается на портале после заключения партнерского соглашения.
Существует ли открытое сообщество в социальных сетях?
У нас есть группа в Telegram, присоединяйтесь!
Архитектура
Является ли система масштабируемой?
Да, система может быть развёрнута на разном количестве узлов различной мощности, организующих единый кластер, что обеспечивает горизонтальную и вертикальную масштабируемость.
Как себя ведёт система при отказе части узлов?
Степень отказоустойчивости определяется конфигурацией системы - количеством узлов разных ролей и настройкой репликации данных.
Чем Smart Monitor отличается от OpenSearch / Elasticsearch?
Smart Monitor – это универсальная платформа для сбора и анализа машинных данных, предназначенная для решения задач в области информационной безопасности, мониторинга ИТ-инфраструктуры и анализа бизнес-процессов.
Отличительной возможностью платформы является возможность использовать различные хранилища, такие как OpenSearch, ElasticSearch, Hadoop, ClickHouse и другие. OpenSearch – это лишь одно из возможных хранилищ, применяемых в платформе в качестве базового.
Smart Monitor является решением типа on-premise или cloud-like?
Система устанавливается и работает на серверах собственной ИТ-инфраструктуры (on-premise). Размещение в облаке возможно реализовать в рамках проектных работ.
Возможна ли установка Smart Monitor на виртуальной инфраструктуре?
Да, процесс установки будет такой же, как и на физических серверах.
Возможна ли установка Smart Monitor на Astra Linux?
Да. Полный список поддерживаемых операционных систем доступен по ссылке.
Как установить дополнительные зависимости (библиотеки) для скрипта python?
Дополнительные зависимости (библиотеки) для Python-скрипта устанавливаются на все узлы кластеров SM Data Storage и SM Master Node, где активирован параметр node.attr.node_with_sme: true. При этом следует учитывать, что в конфигурации сервера обычно указывается путь до системного интерпретатора Python, следовательно, используются системные библиотеки.
Где должны располагаться скрипты для корректной работы SME-RE?
Скрипты должны находиться в директории, указанной в параметре настроек кластера sme.core.remote_script.base_path (по умолчанию: "/app/opensearch/utils/scripts/"). Этот путь соответствует настройке script в конфигурации источника. Однако, вы можете указать любую другую директорию для хранения скриптов, при этом важно учитывать, что:
-
Указанная директория должна быть доступна для чтения и выполнения SME-RE
-
При изменении пути необходимо убедиться, что все узлы OpenSearch, на которых работает SME-RE, имеют доступ к этой директории
Подробности для проверки GET запроса доступны в разделе по ссылке.
Можно ли по пyти расположения скриптов размещать дополнительные файлы, необходимые скрипту?
Да, вы можете размещать дополнительные файлы в каталоге, указанном в параметре настроек кластера sme.core.remote_script.base_path. Однако необходимо убедиться, что у скрипта есть соответствующие права доступа к этим файлам.
Сбор данных
Какие данные могут быть собраны в Smart Monitor?
Любые машинные данные.
Какие способы сбора могут быть использованы для получения событий от источника?
Данные могут быть собраны при помощи множества различных протоколов и коннекторов. В список часто используемых входят:
- агентский сбор, включающий:
- чтение из файла
- чтение журналов Windows
- чтение журналов Linux Audit
- удаленное исполнение скриптов
- Syslog / UDP
- SNMP
- HTTP
- JDBC
- Kafka
Нужна ли обязательная установка агента для сбора данных?
Нет, данные могут быть направлены на хост коллектора, например, с использованием Syslog, либо собраны самим коллектором через опрос источника.
Может ли агент Smart Beat работать под непривилегированной учётной записью?
Да, если достаточно привилегий для сбора информации.
Возможна ли централизованная установка и управление агентами для сбора данных с хостов независимо от ОС?
Централизованная установка агентов на хосты может быть выполнена средствами автоматизации, такими как Ansible, или политики AD. Централизованное управление конфигурацией агентов осуществляется менеджером агентов Smart Beat.
Как осуществляется сбор, фильтрация и отправка данных в хранилище из файлов?
Чтение и фильтрация событий из файлов могут осуществляться как на стороне агента с отправкой в коллектор, так и на самом коллекторе, с которого данные передаются в хранилище.
Можно ли в Smart Monitor собирать и анализировать метрики производительности серверов?
Да, метрики производительности представляют собой типовой источник данных, аналитика по которым может быть выполнена с помощью языка запросов.
Можно ли подключить в качестве источников компоненты АСУ ТП? Есть ли шаблоны правил корреляции для ICS?
Да, забирать данные с объектов технологического сегмента можно, как с применением агентов, так и без них. Правила корреляции с АСУ ТП в отдельный модуль решения не оформлены, но они могут быть разработаны в рамках проекта.
Как проверить, что SME-RE настроен и работает корректно?
Чтобы убедиться, что SME-RE настроен и работает корректно, проверьте следующее на всех узлах OpenSearch, где планируется запуск скриптов:
-
В файле
opensearch.ymlустановлен параметрnode.attr.node_with_sme: true -
Служба SME-RE запущена и работает
systemctl status sme-re -
Интерпретаторы и директории со скриптами настроены корректно, права доступа к файлам и папкам выставлены правильно
-
Присутствует и корректно настроен файл конфигурации
/app/opensearch/utils/sme-re/application.properties
На узлах OpenSearch, где запуск скриптов не требуется, параметр node.attr.node_with_sme должен отсутствовать или быть установлен в false.
На самом кластере OpenSearch убедитесь, что:
-
В консоли разработчика OpenSearch команда
GET _cluster/settingsприсутствует разделsme.core. Если он отсутствует, его необходимо добавить -
Для проверки узлов с SME-RE выполните команду
GET _cat/nodeattrsи найдите параметрnode_with_sme
Подробности доступны в разделе по ссылке.
Есть ли удобный способ переноса необходимых файлов (скриптов и баз данных) в Smart Monitor?
На данный момент такой возможности нет. В качестве альтернативы можно подключить общую директорию на всех серверах и указать её в настройках. При этом следует учитывать, что у пользователя OpenSearch должен быть доступ к этой директории.
Безопасность
Поддерживается ли SAML?
Да, модуль безопасности включает поддержку SAML.
Возможно ли маскирование конфиденциальных данных при сборе с источника?
Да, маскирование может быть выполнено инструментами обработки данных на стороне агента или коллектора.
Поддерживается ли SSO?
Да, аутентификация с использованием SSO может быть настроена по схеме с reverse proxy или SAML.
Интеграция с внешними системами
Для поиска по данным, должны ли они обязательно храниться в базовом хранилище Smart Monitor?
Нет, если данные уже находятся в каком-либо внешнем хранилище, то нет необходимости их дублирования в Smart Monitor, так как может быть использована технология Search Anywhere.
Какие хранилища данных совместимы со Smart Monitor?
Полноценная трансляция поискового запроса на языке Smart Monitor Language, использующая все преимущества хранилища доступна для OpenSearch, Elasticsearch и ClickHouse. Частичная трансляция поддерживается для любой базы данных, подключаемой по протоколу JDBC.
Есть ли возможность оповещения во внешние системы?
Да. Вы можете использовать активное действие Email Action для оповещений на почту или Webhook Action для любой интеграции по API, например: отправка по SMS, в Telegram или прочие системы.
Можно ли в поисковых запросах обращаться к внешним системам имеющим API или базам данных?
Да, с помощью механизма Search Anywhere или команды script.
Поисковые запросы
Как выполнить фильтрацию по точному совпадению в запросе?
Для выполнения фильтрации по точному совпадению, необходимо учитывать тип поля, который у текстовых значений может быть text или keyword. Тип text предназначен для полнотекстового поиска, а keyword – для точного совпадения. Если используется стандартный тип текстовых полей (text.keyword), то при обращении к полю необходимо использовать суффикс keyword (например, my_field.keyword). С особенностями формирования поисковых запросов можно ознакомиться в этом разделе.
Возможно ли в поисковом запросе сравнивать значения сразу по нескольким условиям?
Да, используя логические операторы OR и AND. При большом количестве значений для сравнения можно использовать команду format, которая сгенерирует логическое выражение из списка значений.
Как передать данные из поискового запроса Smart Monitor в вызываемый скрипт?
Передать данные, полученные до вызова команды script, можно следующим образом:
- Если в теле запроса используется команда
script, и необходимо передать полученный результат в предыдущих командах, в скрипте можно получить путь до временного файла с результатами через переменнуюsys.argv[0]
Пример:
source .smos_incident-ml-*
| eval vect_fields="company,fields.user,fields.perpetrator,fields.position,fields.double_alerts_name",
target="target_status",
target_status = case(
status == "cancel", 1,
status == "close_incident", 2,
status == "double", 3,
status == "false", 4,
status == "improvements", 5,
status == "in_work_incident", 6,
status == "init", 7,
status == "pending", 8,
status == "sendtoism", 9
)
| fillnull company, vect_fields, target_status, target, fields.user, fields.perpetrator, fields.position, fields.double_alerts_name
| fields company, vect_fields, target_status, target, fields.user, fields.perpetrator, fields.position, fields.double_alerts_name, status
| script intr=python3 target_encoding.py
- Если в запросе при вызове скрипта нужно указать параметры, то поддерживаются только статические параметры (не переменные)
Пример:
source users-*
| script intr=python3 send_kafka.py ip-address-kafka.org 9092 topic_users
Работа с инцидентами
Возможно ли ручное создание инцидентов?
Да, инциденты можно создавать вручную. Подробности доступны в статье по ссылке.
Возможно ли изменять значения основных полей, таких как критичность или ответственный, у существующего инцидента?
Да, у любого существующего инцидента можно изменять значение основных полей. Подробности доступны в статье по ссылке.
Поддерживается ли массовое редактирование инцидентов?
Да, поддерживается. Вы можете выбрать несколько инцидентов и произвести массовое редактирование или использовать механизм агрегации инцидентов и работать с группой инцидентов как с единой сущностью.
Корреляционные правила
Можно ли разрабатывать собственные корреляционные правила?
Да, вы можете использовать язык запросов Smart Monitor Language для того чтобы выполнять различные поисковые запросы по данным с подключенных источников. После того как сформирован поисковый запрос, включающий нужную логику, вы можете самостоятельно создать на его основе корреляционное правило.
В Smart Monitor существуют предустановленные правила корреляции?
Правила корреляции предоставляются в составе отдельных контентных модулей.
Как часто в контентных модулях обновляются правила корреляций?
Раз в квартал при выходе новой версии Smart Monitor.
Возможно ли перенести разработанные корреляционные правила на другую инсталляцию?
Да, правила могут быть экспортированы и импортированы на другую инсталляцию через web-интерфейс.
Возможно ли работать с планировщиком задач через API?
Да, API планировщика позволяет выполнять основные операции над задачами, такие как создание, чтение, редактирование и удаление. Подробности доступны в статье по ссылке.
Инвентаризация
Какая информация может использоваться в инвентаризации?
В качестве источника информации можно использовать любой существующий индекс с данными.
Возможно ли автоматизировать сбор информации об активах в инвентаризации?
Да, модуль Inventory оперирует данными из источников, указанных в конфигурации актива. Поэтому изменение или добавление новой записи в источнике автоматически отразится и в инвентаризации актива.