Упрощенная SIEM-система Advanced Reporting Tool позволяет добавлять пользовательские справочные таблицы для кастомизации отчетов в соответствии с потребностями предприятия. Рассмотрим, как это можно сделать.

Сегодня мы подробно расскажем о том, как можно кастомизировать отчеты в упрощенной SIEM-системе Advanced Reporting Tool (ART) с использованием справочных таблиц. Это может потребоваться в тех случаях, когда Вам необходимо добавить определенные характеристики анализируемой корпоративной сети, например:

• Привязать IP-адреса к структурным подразделениям предприятия и удаленным офисам или географическому местоположению
• Выделить корпоративные и не корпоративные приложения
• Указать конечные точки VIP-сотрудников (руководство, бухгалтерия, и т.д.)

Для этого нам необходимо предоставить SIEM-системе пользовательскую справочную таблицу, подготовленную с учетом следующих аспектов:

• Формат файла: CSV с разделителем в виде запятой
• Без специальных символов
• Первая строка с названиями столбцов на английском языке
• Максимальный размер: 2 ГБ
• Столбец с первичным ключом
• Разрешаются дополнительные столбцы

В качестве примера рассмотрим ситуацию, когда мы решили организовать все исполняемые файлы по категориям с привязкой к производителю. Для этого будем использовать файл Executable_Category.csv. Ниже приведен фрагмент содержимого этого файла:



Столбец Service будет играть роль столбца с первичным ключом.

Итак, давайте начнем.

Если Вы хотите параллельно самостоятельно выполнять данные действия параллельно, то Вы можете сделать это в демо-консоли продукта, для использования которой требуется лишь браузер Google Chrome или Mozilla Firefox.

URL: demologin.pandasecurity.com
Логин: DRUSSIAN_FEDERATION_C16@panda.com
Пароль: DRUSSIAN#123

После входа в демо-консоль продукта Panda Adaptive Defense, в верхней части консоли Вам необходимо нажать на кнопку Advanced Search (Расширенный поиск), чтобы перейти в SIEM-систему Advanced Reporting Tool.

Войдя в интерфейс ART, нажмите на иконке Search, а на открывшейся странице нажмите на закладку Lookup Management.



На открывшейся странице будет показан список справочных пользовательских таблиц (возможно, он будет пустой). В правом верхнем углу нажмите на кнопку New Lookup для загрузки нашей таблицы.



В появившейся форме укажите название таблицы (Table name) и выберите файл (Choose File). После проверки файла появится список столбцов файла, в котором необходимо проверить, что метка Is Key указана для столбца Service. Нажмите кнопку Upload.



Нажмите кнопку Upload и подождите примерно 10 минут, чтобы обновилась таблица со справочными таблицами.



Чтобы загрузить обновленную версию данной таблицы, удалить ее или проверить ее структуру, Вы можете нажать на кнопку опций (…).



Теперь давайте перейдем к таблице Ops в ART: нажмите на иконку Search

В правой секции нажмите на Ops



На открывшейся странице в панели управления сверху нажмите на иконку Create Column :

и выберите закладку Filter Data.

Теперь давайте выберем те записи, которые заканчиваются на .exe в поле ParentPath. Для этого выполните следующие действия:

• в выпадающем списке Operation выберите значение Ends with
• нажмите кнопку New argument
• в выпадающем списке String выберите значение parentPath
• снова нажмите кнопку New argument
• у аргумента Sufix нажмите справа иконку для редактирования записи и введите значение .exe



Теперь нам необходимо извлечь название исполняемого файла в ParentPath в новый столбец под названием ExecutableName.

Для этого нажмите на иконку Create Column заполните форму следующим образом:

• Укажите название поля
• Выберите функцию Substitute
• Добавьте аргумент: поле parentPath
• Добавьте аргумент: регулярное выражение (.*\\)(?=.*(\.\w*)$|(\w+)$).
Например, это регулярное выражение извлекает “chrome.exe” из “PROGRAM_FILESX86|\Google\Chrome\Application\chrome.exe“ в столбец ExecutableName.
• Нажмите на кнопку Create column



А теперь давайте создадим еще одно поле ExecutableName2Lower, т.к. запрос, который мы хотим сделать, зависит от регистра букв. Для этого укажите в форме для добавления столбца следующие параметры:

• Название поля
• Выберите функцию Lower case
• Добавьте аргумент и в выпадающем списке выберите ExecutableName
• Нажмите кнопку Create column



В результате Вы должны увидеть нечто подобное:



Если же описанный выше процесс кажется Вам несколько громоздким, то Вы можете нажать на иконку Toggle Query Editor и написать следующий запрос в редакторе запросов:

from oem.panda.paps.ops
where endswith(parentPath, ".exe")
select subs(parentPath, re("(.*\\\\)(?=.*(\\.\\w*)$|(\\w+)$)"), template("")) as ExecutableName,
lower(ExecutableName) as ExecutableName2Lower




В итоге Вы получите тот же самый результат при условии, если Вы правильно загрузили справочную таблицу (о чем мы говорили в самом начале).

Снова нажмите на иконку Create Column:



Теперь мы вставим поле Category из нашей справочной таблицы для тех записей, у которых значение поля Executable2Lower равно соответствующему значению поля Service в справочной таблице, в новый столбец под названием Software Category.



Теперь вы увидите новый столбец в результатах запроса:



Кроме этого по данному новому столбцу Вы можете воспользоваться функцией Data Extract, чтобы увидеть суммарное распределение результатов по категориям. Для этого наведите мышкой на иконку со стрелкой вниз в правом верхнем углу у названия столбца Software Category. Значение Null говорит о том, что данная запись не найдена в справочной таблице.



Теперь сгруппируем Software Category и ExecutableName. Для этого выполните следующие действия:

• Выделите данные столбцы
• В панели управления нажмите на кнопку Group



После этого добавь столбец, используя соответствующую кнопку в панели управления и закладку Aggregate function в открывшейся форме:



В результате этих действий Вы должны получить примерно следующее:



Если же описанный выше процесс кажется Вам несколько громоздким, то Вы можете нажать на иконку Toggle Query Editor и написать следующий запрос в редакторе запросов:

from oem.panda.paps.ops
where endswith(parentPath, ".exe")
select subs(parentPath, re("(.*\\\\)(?=.*(\\.\\w*)$|(\\w+)$)"), template("")) as ExecutableName,
lower(ExecutableName) as ExecutableName2Lower
select `lu/Executable_Category/Category`(ExecutableName2Lower) as `Software Category`
group every 15s by `Software Category`, ExecutableName
every 0
select count() as count




И, наконец, с этим недавно добавленным счетчиком мы можем сделать что-нибудь более визуальное: например, диаграмма Вороного. Нажмите в панели управления на кнопку Setup и выберите Charts > Diagrams > Voronoi tree map



Теперь перетащите Sofware Category и ExecutableName в панель SIGNALS в настройках диаграммы Вороного.



Также перетащите count в панель VALUE.

И… готово!



Надеемся, что это поможет вам более гибко настраивать нашу упрощенную SIEM-систему Advanced Reporting Tool под конкретные потребности вашего предприятия.
Поделиться с друзьями
-->

Комментарии (0)