updatable — если cписок является обновляемым, то необходимо указать адрес, с которого загружаются обновления (url). Периодичность обновления списка указывается параметром shedule в формате crontab.
Crontab-формат: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 — вс). Каждое из поле может быть задано следующим образом:
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
lists
Выбор существующих IP-листов для добавления в создаваемый лист.
ips
IP-адреса или диапазон IP-адресов, которые необходимо включить в список. Указывается в формате: <ip>, <ip/mask> или <ip_range_start-ip_range_end>.
use-in-search-queries
Должен ли использоваться данный список в поисковых запросах:
on;
off.
Для редактирования списка (список параметров, доступных для обновления, аналогичен списку параметров команды создания списка):
Admin@nodename# set libraries ip-list <ip-list-name> <parameters>
Чтобы добавить в список новые адреса:
Admin@nodename# set libraries ip-list <ip-list-name> [ <ip1> <ip2> ... ]
Следующие команды используются для удаления всего списка адресов или IP-адресов, содержащихся в нём:
updatable — если cписок является обновляемым, то необходимо указать адрес, с которого загружаются обновления (url). Периодичность обновления списка указывается параметром shedule в формате crontab.
Crontab-формат: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 — вс). Каждое из поле может быть задано следующим образом:
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
use-in-search-queries
Должен ли использоваться данный список в поисковых запросах:
on;
off.
Для редактирования списка (список параметров, доступных для обновления, аналогичен списку параметров команды создания списка):
Admin@nodename# set libraries useragents <list-name> <parameters>
Следующие команды используются для удаления всего списка или отдельных useragent из списка по их паттернам:
updatable — если cписок является обновляемым, то необходимо указать адрес, с которого загружаются обновления (url). Периодичность обновления списка указывается параметром shedule в формате crontab.
Crontab-формат: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 — вс). Каждое из поле может быть задано следующим образом:
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
use-in-search-queries
Должен ли использоваться данный список в поисковых запросах:
on;
off.
Для редактирования списка (список параметров, доступных для обновления, аналогичен списку параметров команды создания списка):
Admin@nodename# set libraries content-types <list-name> <parameters>
Следующие команды используются для удаления всего списка или отдельных типов контента, содержащихся в нём:
Чувствительность к регистру в написании адреса URL:
sensitive — чувствительно к регистру букв в адресе.
insensitive — нечувствительно к регистру букв в адресе.
domain — список адресов доменов.
urls
URL, которые необходимо добавить в список.
type
Тип списка:
local — локальный.
updatable — если cписок является обновляемым, то необходимо указать адрес, с которого загружаются обновления (url). Периодичность обновления списка указывается параметром shedule в формате crontab.
Crontab-формат: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 — вс). Каждое из поле может быть задано следующим образом:
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
use-in-search-queries
Должен ли использоваться данный список в поисковых запросах:
on;
off.
Для редактирования списка (список параметров, доступных для обновления, аналогичен списку параметров команды создания списка):
Admin@nodename# set libraries url-list <list-name> <parameters>
Следующие команды используются для удаления всего списка или отдельных URL-адресов, содержащихся в нём:
updatable — если cписок является обновляемым, то необходимо указать адрес, с которого загружаются обновления (url). Периодичность обновления списка указывается параметром shedule в формате crontab.
Crontab-формат: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 — вс). Каждое из поле может быть задано следующим образом:
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
emails
Почтовые адреса, которые необходимо добавить в данную группу.
Команда, предназначенная для редактирования информации о группе почтовых адресов:
Admin@nodename# set libraries email-list <email-list-name> <parameter>
Параметры, доступные для обновления, аналогичны параметрам, доступным при создании группы почтовых адресов.
Для удаления группы или почтовых адресов из неё используются следующие команды:
Следующие команды используются для просмотра информации о всех созданных группах, об определённых группах или для просмотра почтовых адресов, входящих в группу:
Admin@nodename# show libraries email-list
Admin@nodename# show libraries email-list <email-list-name>
Admin@nodename# show libraries email-list <email-list-name> emails
Настройка номеров телефонов
Настройка раздела Номера телефонов производится на уровне libraries phone-list.
updatable — если cписок является обновляемым, то необходимо указать адрес, с которого загружаются обновления (url). Периодичность обновления списка указывается параметром shedule в формате crontab.
Crontab-формат: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 — вс). Каждое из поле может быть задано следующим образом:
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
phones
Номера телефонов, которые необходимо добавить в данную группу.
Для редактирования информации о группе телефонных номеров используется команда:
Admin@nodename# set libraries phone-list <phone-list-name> <parameter>
Параметры, доступные для обновления, представлены в таблице выше.
Для удаления группы или номеров телефонов из неё используются следующие команды:
IP-адрес или FQDN сервера SMTP, который будет использоваться для отсылки почтовых сообщений.
port
Порт TCP, используемый сервером SMTP. Обычно для протокола SMTP используется порт 25, для SMTP с использованием SSL — 465. Уточните данное значение у администратора почтового сервера.
connection-security
Варианты безопасности отправки почты; возможны варианты:
none.
starttls.
ssl.
authentication
Включение/отключение авторизации при подключении к серверу SMTP:
on.
off.
login
Имя учётной записи для подключения к SMTP-серверу.
password
Пароль учётной записи для подключения к SMTP-серверу.
Элемент библиотеки Категории срабатываний позволяет создать категории, по которым можно группировать определенные срабатывания правил аналитики, применяемые к событиям. Более подробно о правилах аналитики смотрите в разделе Аналитика. По умолчанию создаются категории:
Availability — правила аналитики, определяющие инциденты, приводящие к ухудшению доступности информационных систем.
Performance — правила аналитики, определяющие инциденты, приводящие к ухудшению производительности информационных систем.
Security — правила аналитики, определяющие инциденты, приводящие к ухудшению безопасности информационных систем.
Для создания категорий срабатывания используется команда:
Admin@nodename# create libraries alert-categories name <category-name> key <category-key>
Для редактирования категорий срабатывания используется команда:
Admin@nodename# set libraries alert-categories name <category-name> key <category-key>
Для просмотра созданных ранее категорий срабатывания используется команда:
Admin@nodename# show libraries alert-categories name <category-name>
Для удаления созданных ранее категорий срабатывания используется команда:
Admin@nodename# delete libraries alert-categories name <category-name>
Настройка внешних сервисов обогащений
В данном элементе библиотеки представлены ресурсы, с помощью которых происходит дополнительный сбор информации об угрозах. С данных источников приходят фиды — структурированные проанализированные данные об IP-адресах и доменах, с которых происходит распространение вредоносных файлов, их сэмплы и хэши; списки фишинговых сайтов, почтовые адреса отправителей фишинговых писем; адреса, с которых происходит сканирование сетей с целью обнаружения уязвимостей; IP-адреса, с которых проводятся атаки типа брутфорс; сигнатуры для обнаружения вредоносного программного обеспечения. Подробнее о доступных сервисах читайте в разделе Внешние сервисы обогащений Руководства администратора SIEM.
Чтобы использовать сервисы обогащения их необходимо включить. Для использования некоторых сервисов обогащения необходимо прохождение регистрации и предоставление ключа доступа.
Для редактирования сервисов обогащений используется команда:
Admin@nodename# set libraries enrichment-services <service-name>
Для просмотра сервисов обогащений используется команда:
Admin@nodename# show libraries enrichment-services <service-name>
Настройка syslog-фильтров
Создание и настройка syslog-фильтров производятся на уровне libraries syslog-filters.
