События
Раздел «События» представляет собой интерфейс управления интеграциями системы, обеспечивающий полный контроль над подключениями внешних сервисов и систем. Здесь пользователи могут эффективно управлять жизненным циклом интеграций — от создания до мониторинга и удаления.
Назначение интерфейса
Интерфейс раздела предоставляет широкий спектр инструментов для работы с интеграциями:
- Централизованный просмотр — полный список всех интеграций с детальной информацией о каждой
- Управление состоянием — быстрое включение и отключение интеграций одним кликом
- Управление жизненным циклом — безопасное удаление неактуальных интеграций
- Интеллектуальный поиск — быстрый поиск интеграций по различным критериям
Интерфейс списка интеграций
Основной грид интеграций
Список интеграций отображается в виде таблицы со следующими колонками:
| Колонка | Описание |
|---|---|
| Интеграция | Статус интеграции (Включена/Выключена) |
| Наименование | Пользовательское название интеграции |
| Создано | Дата, время создания и имя пользователя-создателя |
| Обновлено | Дата и время последнего изменения |
| Действия | Доступные операции (удаление, редактирование) |
Панель управления
Верхняя панель содержит ключевые элементы навигации:
- Поле поиска — интеллектуальный поиск с поддержкой фильтрации
- Кнопка "Создать" — форма создания новых интеграций
Создание интеграции
При нажатии на кнопку "Создать" открывается форма создания новой интеграции с несколькими разделами.
1. Основные параметры
Наименование
Назначение: Имя интеграции для идентификации в системе
Рекомендации
Используйте понятные описательные названия (например, "SIEM Splunk Production", "Security Center DEV")
Encoder (Формат данных)
Выберите формат кодирования выходных данных в зависимости от требований целевой системы:
| Формат | Описание | Когда использовать |
|---|---|---|
json | Стандартный JSON формат | Рекомендуется для большинства современных SIEM-систем, REST API и сервисов обработки логов. Преимущества: читаемость, простота интеграции, поддержка вложенных структур |
cef+syslog | Common Event Format поверх Syslog | Для систем, ожидающих syslog-сообщения в формате CEF (ArcSight, QRadar, Splunk с CEF-входом) |
cef | Чистый Common Event Format | Для прямого взаимодействия с сервисами, поддерживающими только CEF без syslog-обёртки |
Совет
Если не уверены в выборе, начните с json — он подходит для большинства случаев
2. Настройка безопасности
Тип взаимодействия
Выберите уровень защищённости передачи данных:
| Тип | Безопасность | Когда использовать |
|---|---|---|
tcp | Без шифрования | Только для тестирования в изолированных средах |
tls | TLS-шифрование | Рекомендуется для production-сред |
tls+privateKey | Взаимная аутентификация | Для критически важных систем с максимальными требованиями безопасности |
Сертификаты (для TLS-соединений)
При выборе tls или tls+privateKey потребуется загрузить:
- CA сертификат — для проверки подлинности сервера
- Клиентский сертификат — для взаимной аутентификации (только для
tls+privateKey) - Приватный ключ — для клиентской аутентификации (только для
tls+privateKey)
3. Настройка endpoints
Что такое Endpoints
Endpoints — это узлы (точки подключения) для отправки событий в стороннюю систему. Каждый endpoint представляет собой комбинацию Hostname, IP-адреса и порта.
Особенности работы с множественными Endpoints
- Отправка данных происходит на первый доступный endpoint.
- При недоступности основного endpoint происходит автоматическое переключение на резервный (следующий по списку). Это обеспечивает отказоустойчивость системы
Важно
Система поддерживает передачу данных только по доверенным IP-адресам и портам. Для добавления ваших IP-адресов и портов в список доверенных обратитесь в службу поддержки .
4. Настройка событий
Тип события
Из предложенного списка необходимо выбрать тип события, по которому нужна информация.
Для выбора доступны следующий типы:
| Тип | Описание |
|---|---|
vuln | Уязвимости, найденные после сканирования зарегистрированных устройств |
Маппинг полей
После выбора типа события становится доступен маппинг полей для сопоставления внутренних данных системы с полями в целевой системе.
Как настроить маппинг
- Нажмите кнопку «Добавить поле»
- Выберите поле из системы (поле)
- Укажите название поля в целевой системе (значение)
- При необходимости добавьте дополнительные поля
Примеры сопоставления полей
| Поле в | Поле в вашей системе |
|---|---|
| Идентификатор уязвимости | id |
| Источник уязвимости | source |
| Операционная система | os |
| Платформа | platform |
| IPv4 Адрес | ipv4 |
| EPSS | epss |
Совет
Используйте стандартные названия полей, принятые в вашей системе, для упрощения создания правил корреляции
5. Активация интеграции
Включение интеграции
Настроенная интеграция активируется при помощи переключателя "Включить" в форме создания.
Важно
Включение ин�теграции не запускает немедленную отправку данных. Информация поступает только в процессе сканирования устройств системой .
Управление существующими интеграциями
Редактирование интеграции
Для изменения параметров интеграции:
- Найдите нужную интеграцию в списке
- Нажмите на нее
- Внесите необходимые изменения
- Сохраните изменения
Включение/отключение
Интеграцию можно включить или отключить в форме редактирования интеграции.
Удаление интеграции
Для безвозвратного удаления интеграции:
- Используйте кнопку удаления в колонке "Действия"
- Подтвердите операцию в диалоговом окне
Предупреждение
Удаление интеграции необратимо. Убедитесь, что интеграция больше не используется перед удалением.
Практический пример
Подробное руководство по настройке интеграции с внешними системами на примере связки Vector + OpenSearch доступно в нашей статье Интеграция с Vector и OpenSearch.
В ней подробно рассмотрена настройка полнофункциональной интеграции с использованием Vector в качестве агента сбора логов и OpenSearch в роли базы данных.