Как добавлять справочные таблицы в Advanced Reporting Tool

Автор: admin от 14-03-2017, 11:15, посмотрело: 280

Как добавлять справочные таблицы в Advanced Reporting Tool

Упрощенная SIEM-система Advanced Reporting Tool позволяет добавлять пользовательские справочные таблицы для кастомизации отчетов в соответствии с потребностями предприятия. Рассмотрим, как это можно сделать.

Сегодня мы подробно расскажем о том, как можно кастомизировать отчеты в упрощенной SIEM-системе Advanced Reporting Tool (ART) с использованием справочных таблиц. Это может потребоваться в тех случаях, когда Вам необходимо добавить определенные характеристики анализируемой корпоративной сети, например:

• Привязать IP-адреса к структурным подразделениям предприятия и удаленным офисам или географическому местоположению
• Выделить корпоративные и не корпоративные приложения
• Указать конечные точки VIP-сотрудников (руководство, бухгалтерия, и т.д.)

Для этого нам необходимо предоставить SIEM-системе пользовательскую справочную таблицу, подготовленную с учетом следующих аспектов:

• Формат файла: CSV с разделителем в виде запятой
• Без специальных символов
• Первая строка с названиями столбцов на английском языке
• Максимальный размер: 2 ГБ
• Столбец с первичным ключом
• Разрешаются дополнительные столбцы

В качестве примера рассмотрим ситуацию, когда мы решили организовать все исполняемые файлы по категориям с привязкой к производителю. Для этого будем использовать файл Executable_Category.csv. Ниже приведен фрагмент содержимого этого файла:
Как добавлять справочные таблицы в Advanced Reporting Tool

Столбец Service будет играть роль столбца с первичным ключом.

Итак, давайте начнем.
Если Вы хотите параллельно самостоятельно выполнять данные действия параллельно, то Вы можете сделать это в демо-консоли продукта, для использования которой требуется лишь браузер Google Chrome или Mozilla Firefox.

URL: demologin.pandasecurity.com
Логин: DRUSSIAN_FEDERATION_C16@panda.com
Пароль: DRUSSIAN#123

После входа в демо-консоль продукта Panda Adaptive Defense, в верхней части консоли Вам необходимо нажать на кнопку Advanced Search (Расширенный поиск), чтобы перейти в SIEM-систему Advanced Reporting Tool.

Войдя в интерфейс ART, нажмите на иконке Search, а на открывшейся странице нажмите на закладку Lookup Management.

Как добавлять справочные таблицы в Advanced Reporting Tool

На открывшейся странице будет показан список справочных пользовательских таблиц (возможно, он будет пустой). В правом верхнем углу нажмите на кнопку New Lookup для загрузки нашей таблицы.

Как добавлять справочные таблицы в Advanced Reporting Tool

В появившейся форме укажите название таблицы (Table name) и выберите файл (Choose File). После проверки файла появится список столбцов файла, в котором необходимо проверить, что метка Is Key указана для столбца Service. Нажмите кнопку Upload.

Как добавлять справочные таблицы в Advanced Reporting Tool

Нажмите кнопку Upload и подождите примерно 10 минут, чтобы обновилась таблица со справочными таблицами.

Как добавлять справочные таблицы в Advanced Reporting Tool

Чтобы загрузить обновленную версию данной таблицы, удалить ее или проверить ее структуру, Вы можете нажать на кнопку опций (…).

Как добавлять справочные таблицы в Advanced Reporting Tool

Теперь давайте перейдем к таблице Ops в ART: нажмите на иконку Search Как добавлять справочные таблицы в Advanced Reporting Tool
В правой секции нажмите на Ops

Как добавлять справочные таблицы в Advanced Reporting Tool

На открывшейся странице в панели управления сверху нажмите на иконку Create Column :

Как добавлять справочные таблицы в Advanced Reporting Tool и выберите закладку Filter Data.

Теперь давайте выберем те записи, которые заканчиваются на .exe в поле ParentPath. Для этого выполните следующие действия:
• в выпадающем списке Operation выберите значение Ends with
• нажмите кнопку New argument
• в выпадающем списке String выберите значение parentPath
• снова нажмите кнопку New argument
• у аргумента Sufix нажмите справа иконку для редактирования записи и введите значение .exe

Как добавлять справочные таблицы в Advanced Reporting Tool

Теперь нам необходимо извлечь название исполняемого файла в ParentPath в новый столбец под названием ExecutableName.
Для этого нажмите на иконку Create Column Как добавлять справочные таблицы в Advanced Reporting Tool заполните форму следующим образом:

• Укажите название поля
• Выберите функцию Substitute
• Добавьте аргумент: поле parentPath
• Добавьте аргумент: регулярное выражение (.*)(?=.*(.w*)$|(w+)$).
Например, это регулярное выражение извлекает “chrome.exe” из “PROGRAM_FILESX86|GoogleChromeApplicationchrome.exe“ в столбец ExecutableName.
• Нажмите на кнопку Create column

Как добавлять справочные таблицы в Advanced Reporting Tool

А теперь давайте создадим еще одно поле ExecutableName2Lower, т.к. запрос, который мы хотим сделать, зависит от регистра букв. Для этого укажите в форме для добавления столбца следующие параметры:

• Название поля
• Выберите функцию Lower case
• Добавьте аргумент и в выпадающем списке выберите ExecutableName
• Нажмите кнопку Create column

Как добавлять справочные таблицы в Advanced Reporting Tool

В результате Вы должны увидеть нечто подобное:

Как добавлять справочные таблицы в Advanced Reporting Tool

Если же описанный выше процесс кажется Вам несколько громоздким, то Вы можете нажать на иконку Toggle Query EditorКак добавлять справочные таблицы в Advanced Reporting Tool и написать следующий запрос в редакторе запросов:

from oem.panda.paps.ops
where endswith(parentPath, ".exe")
select subs(parentPath, re("(.*)(?=.*(.w*)$|(w+)$)"), template("")) as ExecutableName,
lower(ExecutableName) as ExecutableName2Lower


Как добавлять справочные таблицы в Advanced Reporting Tool

В итоге Вы получите тот же самый результат при условии, если Вы правильно загрузили справочную таблицу (о чем мы говорили в самом начале).

Снова нажмите на иконку Create Column :

Как добавлять справочные таблицы в Advanced Reporting Tool

Теперь мы вставим поле Category из нашей справочной таблицы для тех записей, у которых значение поля Executable2Lower равно соответствующему значению поля Service в справочной таблице, в новый столбец под названием Software Category.

Как добавлять справочные таблицы в Advanced Reporting Tool

Теперь вы увидите новый столбец в результатах запроса:

Как добавлять справочные таблицы в Advanced Reporting Tool

Кроме этого по данному новому столбцу Вы можете воспользоваться функцией Data Extract, чтобы увидеть суммарное распределение результатов по категориям. Для этого наведите мышкой на иконку со стрелкой вниз в правом верхнем углу у названия столбца Software Category. Значение Null говорит о том, что данная запись не найдена в справочной таблице.

Как добавлять справочные таблицы в Advanced Reporting Tool

Теперь сгруппируем Software Category и ExecutableName. Для этого выполните следующие действия:

• Выделите данные столбцы
• В панели управления нажмите на кнопку GroupКак добавлять справочные таблицы в Advanced Reporting Tool

Как добавлять справочные таблицы в Advanced Reporting Tool

После этого добавь столбец, используя соответствующую кнопку в панели управления и закладку Aggregate function в открывшейся форме:

Как добавлять справочные таблицы в Advanced Reporting Tool

В результате этих действий Вы должны получить примерно следующее:

Как добавлять справочные таблицы в Advanced Reporting Tool

Если же описанный выше процесс кажется Вам несколько громоздким, то Вы можете нажать на иконку Toggle Query Editor Как добавлять справочные таблицы в Advanced Reporting Tool и написать следующий запрос в редакторе запросов:
from oem.panda.paps.ops
where endswith(parentPath, ".exe")
select subs(parentPath, re("(.*)(?=.*(.w*)$|(w+)$)"), template("")) as ExecutableName,
lower(ExecutableName) as ExecutableName2Lower
select `lu/Executable_Category/Category`(ExecutableName2Lower) as `Software Category`
group every 15s by `Software Category`, ExecutableName
every 0
select count() as count


Как добавлять справочные таблицы в Advanced Reporting Tool

И, наконец, с этим недавно добавленным счетчиком мы можем сделать что-нибудь более визуальное: например, диаграмма Вороного. Нажмите в панели управления на кнопку Setup Как добавлять справочные таблицы в Advanced Reporting Tool и выберите Charts -> Diagrams -> Voronoi tree map

Как добавлять справочные таблицы в Advanced Reporting Tool

Теперь перетащите Sofware Category и ExecutableName в панель SIGNALS в настройках диаграммы Вороного.

Как добавлять справочные таблицы в Advanced Reporting Tool

Также перетащите count в панель VALUE.
И… готово!

Как добавлять справочные таблицы в Advanced Reporting Tool

Надеемся, что это поможет вам более гибко настраивать нашу упрощенную SIEM-систему Advanced Reporting Tool под конкретные потребности вашего предприятия.

Источник: Хабрахабр

Категория: Системное администрирование, Информационная безопасность

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Введите два слова, показанных на изображении: *