Перейти к основному содержимому
Версия: 5.0

Описание Активных действий в SM

В результате выполнения поискового запроса могут быть настроены активные действия.

Для просмотра имеющихся активных действий в Smart Monitor в интерфейсе создания и настройки поискового задания выберите вкладку Активные действия и нажмите кнопку Добавить.

Список доступных в системе действий представлен ниже:

  • Отправка E-mail - Отправляет сообщение по указанному адресу. Подробнее рассматривается в статье
  • Создание инцидента - Создание инцидента в модуле Менеджер инцидентов. Пример создания детально рассматривается в статье
  • Индексация cобытий - Позволяет записывать результат выполнения запроса в индекс. Подробнее рассматривается в статье
  • Запись в БД - Позволяет записывать результаты выполнения запроса во внешние базы данных
  • Логирование событий - Записывает результаты поискового запроса в файл job_scheduler.log компонента Планировщик задач
  • Фиксация техник MITRE ATTACK - Позволяет тегировать события как срабатывания техник и подтехник базы MITRE ATT&CK® с последующей записью событий в индекс
  • Начисление риск-балла MITRE ATTACK - Позволяет фиксировать риск-балл в сработке
  • Запуск другого поиска - Позволяет выполнить имеющееся поисковое задание из компонента Планировщик задач
  • Запуск скрипта - Позволяет запускать имеющийся на сервере скрипт
  • Вебхук - Позволяет выполнять HTTP-запросы к удаленному серверу

Далее рассматриваются имеющиеся активные действия c описанием заполняемых настроек.

Отправка E-mail

Описание параметров:

  • Кому - адрес получателя
  • Тема - тема письма
  • Подпись - подпись в конце письма
  • Тело письма - сообщение для отправки, имеется возможность переключения на HTML-разметку
  • Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса
  • Добавить время - добавляет серверное время на момент отправки
  • Добавить таблицу - добавляет в тело сообщения таблицу с результатами поиска
  • Отправить файл - в письмо добавится csv файл с результатами поискового запроса
  • Объединить - объединяет результаты выполнения поискового запроса в одно сообщение

Создание инцидента

Имеет следующий набор полей для заполнения:

  • Название инцидента - краткое название, идентифицирующее инцидент в общем списке
  • Критичность - уровень важности инцидента
  • Workflow - рабочий процесс
  • Описание инцидента - подробное описание инцидента, редактор поддерживает Github Flavored Markdown
  • Тип детализации - формат дополнительной информации
    • Поиск - поисковый запрос с событием или дополнительной информацией по инциденту. Для этого типа детализации можно настроить временные границы, за которые нужно просмотреть детализацию
    • Ссылка - ссылка на дополнительную информацию, например на документацию
  • Детализация - поисковый запрос или URL, предоставляющие дополнительную информацию. При использовании детализации типа поиск, есть возможность указать временные границы, за которые будет выполняться поиск при переходе по детализации из инцидента. Если временные границы не указаны, они берутся из границы выполнения поиска в поисковом задании данного инцидента
  • Суффикс индекса - позволяет создавать инциденты в определенном индексе, см. суффиксы индексов
  • Настройки запуска - настройки запуска активного действия
    • Не запускать для каждого результата - создает один инцидент, даже если поиск вернул несколько результатов
  • Дополнительные поля - настраиваемые поля, определенные в настройках модуля
  • Поля из результатов поиска - пары ключ-значение из результатов поискового задания
  • Связь с Inventory - указание Inventory и полей из инцидента для связывания. Более подробно Интеграция с модулем Inventory
  • Локальные параметры - пары ключ-значение локальных и глобальных токенов для динамической подстановки данных
Использование токенов

Для полей Критичность и всех полей из блока Дополнительные поля можно использовать токены поисковой задачи, см. Использование токенов

В пункте Поля из результатов поиска необходимо заполнить поля из поискового запроса и в качестве значения передать none. В таком случае при просмотре инцидента поля сохранят название в соответствии с именами в поле ключ.

Поля инцидента

Индексация cобытий

Описание параметров:

  • Название индекса - имя индекса
  • Обновлять документ - при включенном параметре происходит обновление документа при каждом выполнении запроса вместо создания нового
  • Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса

Запись в БД

Описание параметров:

  • Пользователь - имя пользователя для авторизации в БД
  • Соединение - строка с параметрами подключения к БД
  • Имя таблицы - таблица БД, в которую будут записываться результаты запроса
  • Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса

Логирование событий

Настройка параметров не требуется.

Фиксация техник MITRE ATTACK

Результат выполнения активного действия записывается в индекс .smos_mitre-*. Данные в индексе можно использовать для генерации инцидентов.

Описание параметров:

  • Название - системное название активного действия
  • Правило - название корреляционного правила, для которого настраивается сработка
  • Слои - выбор созданного слоя в MITRE ATT&CK®
  • Техника - список техник, которые характеризуют данную сработку
  • Критичность - уровень критичности события
  • Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса
  • Поля из результатов поиска - поля вида ключ-значение для использования параметров из запроса

Начисление риск-балла MITRE ATTACK

Результат выполнения активного действия записывается в индекс .smos_risk-*. Позволяет начислить риск-балл, например, для категории пользователей или хостов за выполнение контролируемых действий. Данные в индексе можно использовать для генерации инцидентов.

Описание параметров:

  • Название - системное название активного действия
  • Категории риска - по какой сущности производится подсчет (система и/или пользователь)
  • Риск-балл - количество риск-баллов по сработке
  • Точность - вес оценки риск-балла. Принимает значение от 0 до 1
  • Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса
  • Поля из результатов поиска - поля вида ключ-значение для использования параметров из запроса

Запуск другого поиска

Описание параметров:

  • Выберите действие - имя запускаемого поискового задания
  • Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса

Запуск скрипта

Скрипт должен находится на сервере (с запущенным Smart Monitor Remote Execution), который указан в настройках компонента Планировщик задач. Позволяет запускать shell и python скрипты.

Статья по настройке SME-RE

Описание параметров:

  • Путь до скрипта - абсолютный путь до исполняемого файла, который необходимо запустить
  • Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса

Вебхук

Можно использовать для записи результатов поисковой задачи во внешнюю систему с использованием HTTP-запросов.

Описание параметров:

  • Протокол - выбор протокола http/https для выполнения запросов
  • Хост - адрес сервера, принимающего запросы
  • Порт - порт сервера, принимающего запросы
  • Тип запроса - тип запроса к серверу. Доступные варианты: GET, POST, PUT, DELETE
  • Запрос - путь до ресурса из адресной строки после порта. Например, path/to/source в строке https://example.source:443/path/to/source
  • Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса
  • Параметры - используется для передачи параметров в адресной строке. Задается в виде пары ключ - значение. Например, ?param1=value1&param2=value2 в строке https://example.source:443/path/to/source?param1=value1&param2=value2
  • Авторизация - выполнение авторизации на принимающем запрос сервере
  • Заголовки - позволяет передать заголовки принимающему серверу в виде пары ключ-значение. Например, можно передать заголовки: User-Agent, Cookie, Authorization
  • Тело - передача данных принимающему серверу