Перейти к основному содержимому
Версия: 4.2

Описание Активных действий в SM

В результате выполнения поискового запроса могут быть настроены активные действия.

Для просмотра имеющихся активных действий в Smart Monitor в интерфейсе создания и настройки поискового задания выберите вкладку Активные действия и нажмите кнопку Добавить.

Список доступных в системе действий представлен ниже:

  • Отправка E-mail - Отправляет сообщение по указанному адресу. Подробнее рассматривается в статье
  • Создание инцидента - Создание инцидента в модуле Менеджер инцидентов. Пример создания детально рассматривается в статье
  • Индексация cобытий - Позволяет записывать результат выполнения запроса в индекс. Подробнее рассматривается в статье
  • Запись в БД - Позволяет записывать результаты выполнения запроса во внешние базы данных
  • Логирование событий - Записывает результаты поискового запроса в файл job_scheduler.log компонента Планировщик задач
  • Фиксация техник MITRE ATTACK - Позволяет тегировать события как срабатывания техник и подтехник базы MITRE ATT&CK® с последующей записью событий в индекс
  • Начисление риск-балла MITRE ATTACK - Позволяет фиксировать риск-балл в сработке
  • Запуск другого поиска - Позволяет выполнить имеющееся поисковое задание из компонента Планировщик задач
  • Запуск скрипта - Позволяет запускать имеющийся на сервере скрипт
  • Вебхук - Позволяет выполнять HTTP-запросы к удаленному серверу

Далее рассматриваются имеющиеся активные действия c описанием заполняемых настроек.

Отправка E-mail

Описание параметров:

  • Кому - адрес получателя
  • Тема - тема письма
  • Подпись - подпись в конце письма
  • Тело письма - сообщение для отправки, имеется возможность переключения на HTML-разметку
  • Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса
  • Добавить время - добавляет серверное время на момент отправки
  • Добавить таблицу - добавляет в тело сообщения таблицу с результатами поиска
  • Отправить файл - в письмо добавится csv файл с результатами поискового запроса
  • Объединить - объединяет результаты выполнения поискового запроса в одно сообщение

Создание инцидента

Имеет следующий набор полей для заполнения:

  • Название - имя создаваемого инцидента
  • Критичность - уровень критичности события. Доступно 3 варианта - норма, предупреждение, тревога
  • Workflow - рабочий процесс обработки инцидента
  • Описание - описание инцидента
  • Тип детализации - действие по которому можно посмотреть событие, которое зафиксировало инцидент. По умолчанию - поиск
  • Детализация - запрос, который обнаружил событие просматриваемого инцидента
  • Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса
  • Дополнительные поля - заполнение полей в карточке инцидента
  • Поля из результатов поиска - отображение полей в описании инцидента. Принимает значение локального или глобального токена
  • Локальные параметры - поля вида ключ-значение для использования токенов. Могут принимать значение локального или глобального токенов

Индексация cобытий

Описание параметров:

  • Название индекса - имя индекса
  • Обновлять документ - при включенном параметре происходит обновление документа при каждом выполнении запроса вместо создания нового
  • Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса

Запись в БД

Описание параметров:

  • Пользователь - имя пользователя для авторизации в БД
  • Соединение - строка с параметрами подключения к БД
  • Имя таблицы - таблица БД, в которую будут записываться результаты запроса
  • Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса

Логирование событий

Настройка параметров не требуется.

Фиксация техник MITRE ATTACK

Результат выполнения активного действия записывается в индекс .smos_mitre-*. Данные в индексе можно использовать для генерации инцидентов.

Описание параметров:

  • Название - системное название активного действия
  • Правило - название корреляционного правила, для которого настраивается сработка
  • Слои - выбор созданного слоя в MITRE ATT&CK®
  • Техника - список техник, которые характеризуют данную сработку
  • Критичность - уровень критичности события
  • Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса
  • Поля из результатов поиска - поля вида ключ-значение для использования параметров из запроса

Начисление риск-балла MITRE ATTACK

Результат выполнения активного действия записывается в индекс .smos_risk-*. Позволяет начислить риск-балл, например, для категории пользователей или хостов за выполнение контролируемых действий. Данные в индексе можно использовать для генерации инцидентов.

Описание параметров:

  • Название - системное название активного действия
  • Категории риска - по какой сущности производится подсчет (система и/или пользователь)
  • Риск-балл - количество риск-баллов по сработке
  • Точность - вес оценки риск-балла. Принимает значение от 0 до 1
  • Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса
  • Поля из результатов поиска - поля вида ключ-значение для использования параметров из запроса

Запуск другого поиска

Описание параметров:

  • Выберите действие - имя запускаемого поискового задания
  • Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса

Запуск скрипта

Скрипт должен находится на сервере (с запущенным Smart Monitor Remote Execution), который указан в настройках компонента Планировщик задач. Позволяет запускать shell и python скрипты.

Статья по настройке SME-RE

Описание параметров:

  • Путь до скрипта - абсолютный путь до исполняемого файла, который необходимо запустить
  • Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса

Вебхук

Можно использовать для записи результатов поисковой задачи во внешнюю систему с использованием HTTP-запросов.

Описание параметров:

  • Протокол - выбор протокола http/https для выполнения запросов
  • Хост - адрес сервера, принимающего запросы
  • Порт - порт сервера, принимающего запросы
  • Тип запроса - тип запроса к серверу. Доступные варианты: GET, POST, PUT, DELETE
  • Запрос - путь до ресурса из адресной строки после порта. Например, path/to/source в строке https://example.source:443/path/to/source
  • Параметр "Не запускать для каждого результата" - запуск активного действия для результатов всего запроса, при выключенном параметре активное действие будет применено для каждого результата запроса
  • Параметры - используется для передачи параметров в адресной строке. Задается в виде пары ключ - значение. Например, ?param1=value1&param2=value2 в строке https://example.source:443/path/to/source?param1=value1&param2=value2
  • Авторизация - выполнение авторизации на принимающем запрос сервере
  • Заголовки - позволяет передать заголовки принимающему серверу в виде пары ключ-значение. Например, можно передать заголовки: User-Agent, Cookie, Authorization
  • Тело - передача данных принимающему серверу