Загрузка данных в систему
Введение
Анализ данных имеет важное значение для обеспечения безопасности информационных систем предприятия. Проводя анализ информации, можно отслеживать активность пользователей, выявлять потенциальные угрозы безопасности и предотвращать инциденты.
Применение инструментов мониторинга, таких как Smart Monitor
, облегчает этот процесс, предоставляя возможность автоматизированного анализа и визу ализации данных.
Функционал платформы Smart Monitor
представляет собой важный инструмент в данном процессе, предоставляя комплексные возможности анализа и мониторинга, а также создания индивидуализированных отчетов.
Об импорте данных
Платформа Smart Monitor
поддерживает различные методы сбора информации.
Одним из наиболее распространенных является способ, при котором данные поступают в систему непосредственно из источников сбора логов.
Наиболее простым методом, который рекомендуется использовать для ознакомления с возможностями Smart Monitor
является прямая загрузка данных в систему через специальный интерфейс.
В качестве примера для ознакомления рекомендуем использовать подготовленные данные (jollymeal_wineventlog.csv
).
Что содержится в данных
В данных, предоставленных для ознакомления, содержится информация из журнала аудита безопасности, который содержит информацию о попытках входа в систему, изменениях в системных настройках, доступе к файлам и других действиях, которые могут представлять риск для безопасности системы.
Пример, представленный ниже представляет собой типичное событие, представленное в подготовленной выборке данных.
Пример события в формате JSON
{
"agent": {
"name": "jollymeal-demo",
"id": "e13410f4-896d-4140-a4ba-4ed54ce58149",
"type": "winlogbeat",
"ephemeral_id": "02e29f56-c819-4371-ab81-ce9eb68c8b15",
"version": "8.0.0"
},
"winlog": {
"computer_name": "JM-MAN-014",
"process": {
"pid": 88463,
"thread": {
"id": 5651
}
},
"keywords": [
"Audit Failure"
],
"level": "information",
"channel": "Security",
"event_data": {
"TargetLogonId": "0x12345678",
"WorkstationName": "JM-MAN-014",
"TargetUserName": "SanchezThomas",
"TargetDomainName": "JMCORP"
},
"opcode": 0,
"record_id": "123456789",
"task": "Logon",
"event_id": 4625,
"provider_guid": "{54849625-5478-4994-a5ba-3e3b0328c30d}",
"time_created": "2024-03-06T07:15:09Z",
"provider_name": "Microsoft-Windows-Security-Auditing",
"outcome": "failure"
},
"log": {
"file": {
"path": "/app/auth-events/output/auth_events-2024-03-06.json"
}
},
"destination": {
"address": "TERM-SERV-JMCORP",
"domain": "JMCORP",
"ip": "192.168.16.220"
},
"source": {
"address": "JM-MAN-014",
"ip": "192.168.16.17",
"domain": "JMCORP"
},
"@timestamp": "2024-03-06T07:15:09Z",
"related": {
"ip": [
"192.168.16.17",
"192.168.16.220"
],
"user": [
"SanchezThomas"
]
},
"ecs": {
"version": "8.9.0"
},
"host": {
"name": "JM-MAN-014"
},
"@version": "1",
"event": {
"original": "{\"@timestamp\": \"2024-03-06T07:15:09Z\", \"event\": {\"kind\": \"event\", \"category\": [\"authentication\"], \"type\": [\"start\"], \"outcome\": \"failure\", \"action\": \"logon-failed\", \"code\": 4625, \"provider\": \"Microsoft-Windows-Security-Auditing\", \"module\": \"security\"}, \"agent\": {\"name\": \"jollymeal-demo\", \"id\": \"e13410f4-896d-4140-a4ba-4ed54ce58149\", \"type\": \"winlogbeat\", \"ephemeral_id\": \"02e29f56-c819-4371-ab81-ce9eb68c8b15\", \"version\": \"8.0.0\"}, \"winlog\": {\"computer_name\": \"JM-MAN-014\", \"process\": {\"pid\": 88463, \"thread\": {\"id\": 5651}}, \"keywords\": [\"Audit Failure\"], \"level\": \"information\", \"channel\": \"Security\", \"event_data\": {\"WorkstationName\": \"JM-MAN-014\", \"TargetUserName\": \"SanchezThomas\", \"TargetDomainName\": \"JMCORP\", \"TargetLogonId\": \"0x12345678\"}, \"opcode\": 0, \"record_id\": \"123456789\", \"task\": \"Logon\", \"event_id\": 4625, \"provider_guid\": \"{54849625-5478-4994-a5ba-3e3b0328c30d}\", \"time_created\": \"2024-03-06T07:15:09Z\", \"provider_name\": \"Microsoft-Windows-Security-Auditing\", \"outcome\": \"failure\"}, \"source\": {\"address\": \"JM-MAN-014\", \"ip\": \"192.168.16.17\", \"domain\": \"JMCORP\"}, \"destination\": {\"address\": \"TERM-SERV-JMCORP\", \"ip\": \"192.168.16.220\", \"domain\": \"JMCORP\"}, \"related\": {\"ip\": [\"192.168.16.17\", \"192.168.16.220\"], \"user\": [\"SanchezThomas\"]}, \"user\": {\"domain\": \"JMCORP\", \"name\": \"SanchezThomas\", \"id\": \"0005\"}, \"host\": {\"name\": \"JM-MAN-014\"}, \"ecs\": {\"version\": \"8.9.0\"}, \"outcome\": \"failure\"}",
"code": 4625,
"provider": "Microsoft-Windows-Security-Auditing",
"kind": "event",
"module": "security",
"action": "logon-failed",
"category": [
"authentication"
],
"type": [
"start"
],
"outcome": "failure"
},
"user": {
"domain": "JMCORP",
"name": "SanchezThomas",
"id": "0005"
},
"outcome": "failure"
}
Загрузка данных
Smart Monitor
предоставляет простой интерфейс для импорта данных, который разработан таким образом, чтобы п ользователю не требовалось специальных технических знаний.
Для того чтобы загрузить данные в Smart Monitor
необходимо выполнить следующие действия:
-
Перейти в web-интерфейс платформы Smart Monitor.
-
В правом верхнем углу нажать на кнопку
Загрузить данные
.
- Будет представлен следующий интерфейс, который позволит импортировать в систему данные.
Для импорта доступны только файлы форматов .xlsx, .csv, .json. Также объем файлов не должен превышать 100 МБ.
- Выбрать для импорта файл
jollymeal_wineventlog.csv
.
-
Нажать кнопку
Далее
для перехода к следующему пункту импорта. -
В выпадающем меню
Выберите опции для индекса
выбрать пунктНовый индекс
, а в соответствующем поле указать для него название. В качестве названия для индекса рекомендуется выбратьjollymeal_wineventlog
.
- Выполнить настройку схемы данных индекса.
Данный интерфейс позволяет обеспечивает пользовательскую настройку типов данных для импортированных полей без необходимости специальных технических знаний. Пользователь может легко выбрать тип данных для каждого импортированного поля, такой как текстовое поле, числовое поле, дата и время и т. д. Это позволяет корректно интерпретировать и анализировать данные в соответствии с их фактическим содержанием, обеспечивая более точные и полезные результаты при анализе данных в Smart Monitor.
Необходимо изменить тип следующих полей:
- event.code:
integer
- winlog.event_id:
integer
- winlog.opcode:
integer
- winlog.process.pid:
integer
- winlog.process.thread.id:
integer
- @timestamp:
date
После чего нажать кнопку "Далее"
.
- Будет показано сообщение об успешном импорте.
Далее доступен выбор:
- Создать шаблон
- Открыть в поиске
- Загрузить еще
Поиск информации по событиям уже доступен, однако для дальнейшей работы потребуется создать шаблон индекса, поэтому выберем этот пункт.
- В открывшемся окне необходимо нажать на кнопку
Создать шаблон индекса
.
- В строке
Имя шаблона индекса
ввестиjollymeal_wineventlog
.
Название шаблона должно совпадать с названием индекса. В конце имени шаблона требуется стереть символ *
.
- В строке
Поле времени
нужно выбрать@timestamp
, после чего завершить создание шаблона, нажав на кнопкуСоздать шаблон индекса
.
- Загрузка данных завершена. Теперь данные доступны для поиска и анализа. Чтобы убедиться в этом, достаточно перейти в раздел
Основное
-Поиск
.
В поле необходимо ввести запрос:
source jollymeal_wineventlog
В результате отобразится следующий результат: