❓ Часто задаваемые вопросы
Бизнес
В чем преимущество Smart Monitor перед Splunk?
В Smart Monitor реализована возможность сквозного поиска в различных хранилищах, включая внешние, без необходимости повторной индексации данных. Smart Monitor, в отличие от Splunk, возможно легально приобрести на территории РФ.
Какие существуют варианты технической поддержки Smart Monitor?
Существуют два варианта технической поддержки Smart Monitor: базовая и расширенная.
Существуют ли курсы обучения работы со Smart Monitor?
На данный момент существует две программы обучения: Smart Monitor Developer и Smart Monitor Admin. Подробнее о содержании курсов и сроках их проведения вы можете узнать на официальном сайте.
Возможно ли строить бизнес по оказанию услуг на основе Smart Monitor?
Да, Smart Monitor поддерживает режим MSSP (Managed Security Service Provider). Партнёр может строить бизнес по оказанию услуг на основе данного режима.
Как можно подробнее ознакомиться с системой?
Вы можете оставить заявку на проведение демонстрации системы по ссылке.
Где-то можно ознакомиться со сценариями применения Smart Monitor?
Сценарии применения Smart Monitor доступны по ссылке.
Где можно изучить партнерскую программу?
Доступ к программе открывается на портале после заключения партнерского соглашения.
Существует ли открытое сообщество в социальных сетях?
У нас есть группа в Telegram, присоединяйтесь!
Архитектура
Является ли система масштабируемой?
Да, система может быть развёрнута на разном количестве узлов различной мощности, организующих единый кластер, что обеспечивает горизонтальную и вертикальную масштабируемость.
Как себя ведёт система при отказе части узлов?
Степень отказоуст�ойчивости определяется конфигурацией системы - количеством узлов разных ролей и настройкой репликации данных.
Чем Smart Monitor отличается от OpenSearch / Elasticsearch?
Smart Monitor – это универсальная платформа для сбора и анализа машинных данных, предназначенная для решения задач в области информационной безопасности, мониторинга ИТ-инфраструктуры и анализа бизнес-процессов.
Отличительной возможностью платформы является возможность использовать различные хранилища, такие как OpenSearch, ElasticSearch, Hadoop, ClickHouse и другие. OpenSearch – это лишь одно из возможных хранилищ, применяемых в платформе в качестве базового.
Smart Monitor является решением типа on-premise или cloud-like?
Система устанавливается и работает на серверах собственной ИТ-инфраструктуры (on-premise). Размещение в облаке возможно реализовать в рамках проектных работ.
Возможна ли установка Smart Monitor на виртуальной инфраструктуре?
Да, процесс установки будет такой же, как и на физических серверах.
Возможна ли установка Smart Monitor на Astra Linux?
Да. Полный список поддерживаемых операционных систем доступен по ссылке.
Сбор данных
Какие данные могут быть собраны в Smart Monitor?
Любые машинные данные.
Какие способы сбора могут быть использованы для получения событий от источника?
Данные могут быть собраны при помощи множества различных протоколов и коннекторов. В список част�о используемых входят:
- агентский сбор, включающий:
- чтение из файла
- чтение журналов Windows
- чтение журналов Linux Audit
- удаленное исполнение скриптов
- Syslog / UDP
- SNMP
- HTTP
- JDBC
- Kafka
Нужна ли обязательная установка агента для сбора данных?
Нет, данные могут быть направлены на хост коллектора, например, с использованием Syslog, либо собраны самим коллектором через опрос источника.
Может ли агент Smart Beat работать под непривилегированной учётной записью?
Да, если достаточно привилегий для сбора информации.
Возможна ли централизованная установка и управление агентами для сбора данных с хостов независимо от ОС?
Централизованная установка агентов на хосты может быть выполнена средствами автоматизации, такими как Ansible, или политики AD. Централизованное управление конфигурацией агентов осуществляется менеджером агентов Smart Beat.
Как осуществляется сбор, фильтрация и отправка данных в хранилище из файлов?
Чтение и фильтрация событий из файлов могут осуществляться как на стороне агента с отправкой в коллектор, так и на самом коллекторе, с которого данные передаются в хранилище.
Можно ли в Smart Monitor собирать и анализировать метрики производительности серверов?
Да, метрики производительности представляют собой типовой источник данных, аналитика по которым может быть выполнена с помощью языка запросов.
Можно ли подключить в качестве источников компоненты АСУ ТП? Есть ли шаблоны правил корреляции для ICS?
Да, забирать данные с объектов технологического сегмента можно, как с применением агентов, так и без них. Правила корреляции с АСУ ТП в отдельный модуль решения не оформлены, но они могут быть разработаны в рамках проекта.
Безопасность
Поддерживается ли SAML?
Да, модуль безопасности включает поддержку SAML.
Возможно ли маскирование конфиденциальных данных при сборе с источника?
Да, маскирование может быть выполнено инструментами обработки данных на стороне агента или коллектора.
Поддерживается ли SSO?
Да, аутентификация с использованием SSO может быть настро�ена по схеме с reverse proxy или SAML.
Интеграция с внешними системами
Для поиска по данным, должны ли они обязательно храниться в базовом хранилище Smart Monitor?
Нет, если данные уже находятся в каком-либо внешнем хранилище, то нет необходимости их дублирования в Smart Monitor, так как может быть использована технология Search Anywhere.
Какие хранилища данных совместимы со Smart Monitor?
Полноценная трансляция поискового запроса на языке Smart Monitor Language, использующая все преимущества хранилища доступна для OpenSearch, Elasticsearch и ClickHouse. Частичная трансляция поддерживается для любой базы данных, подключаемой по протоколу JDBC.
Есть ли возможность оповещения во внешние системы?
Да. Вы можете использовать активное действие Email Action для оповещений на почту или Webhook Action для любой интеграции по API, например: отправка по SMS, в Telegram или прочие системы.
Можно ли в поисковых запросах обращаться к внешним системам имеющим API или базам данных?
Да, с помощью механизма Search Anywhere или команды script.
Поисковые запросы
Как выполнить фильтрацию по точному совпадению в запросе?
Для выполнения фильтрации по точному совпадению, необходимо учитывать тип поля, который у текстовых значений может быть text или keyword. Тип text предназначен для полнотекстового поиска, а keyword – для точного совпадения. Если используется стандартный тип текстовых полей (text.keyword), то при обращении к полю необходимо использовать суффикс keyword (например, my_field.keyword). С особенностями формирования поисковых запросов можно ознакомиться в этом разделе.
Возможно ли в поисковом запросе сравнивать значения сразу по нескольким условиям?
Да, используя логические операторы OR и AND. При большом количестве значений для сравнения можно использовать команду format, которая сгенерирует логическое выражение из списка значений.
Работа с инцидентами
Возможно ли ручное создание инцидентов?
Да, инциденты можно создавать вручную. Подробности доступны в статье по ссылке.
Возможно ли изменять значения основных полей, таких как критичность или ответственный, у существующего инцидента?
Да, у любого существующего инцидента можно изменять значение основных полей. Подробности доступны в статье по ссылке.
Поддерживается ли массовое редактирование инцидентов?
Да, поддерживается. Вы можете выбрать несколько инцидентов и произвести массовое редактирование или использовать механизм агрегации инцидентов и работать с группой инцидентов как с единой сущностью.
Корреляционные правила
Можно ли разрабатывать собственные корреляционные правила?
Да, вы можете использовать язык запросов Smart Monitor Language для того чтобы выполнять различные поисковые запросы по данным с подключенных источников. После того как сформирован поисковый запрос, включающий нужную логику, вы можете самостоятельно создать на его ос�нове корреляционное правило.
В Smart Monitor существуют предустановленные правила корреляции?
Правила корреляции предоставляются в составе отдельных контентных модулей.
Как часто в контентных модулях обновляются правила корреляций?
Раз в квартал при выходе новой версии Smart Monitor.
Возможно ли перенести разработанные корреляционные правила на другую инсталляцию?
Да, правила могут быть экспортированы и импортированы на другую инсталляцию через web-интерфейс.
Возможно ли работать с планировщиком задач через API?
Да, API планировщика позволяет выполнять основные операции над задачами, такие как создание, чтение, редактирование и удаление. Подробности доступны в статье по ссылке.
Инвентаризация
Какая информация может использоваться в инвентаризации?
В качестве источника информации можно использовать любой существующий индекс с данными.
Возможно ли автоматизировать сбор информации об активах в инвентаризации?
Да, модуль Inventory оперирует данными из источников, указанных в конфигурации актива. Поэтому изменение или добавление новой записи в источнике автоматически отразится и в инвентаризации актива.