Страница предназначена для работы с правилами и табличными списками, которые используются для обработки и анализа данных в MaxPatrol SIEM.
Панель инструментов содержит название страницы, а также следующие кнопки:
- Создать — для создания пользовательских правил корреляции, обогащения, агрегации, нормализации и табличных списков.
- Установить в SIEM — для установки объектов в конвейеры обработки событий.
- Импорт — для импорта объектов БД.
В рабочей области страницы расположены:
- Панель Папки. Содержит доступные пакеты экспертизы и папки, созданные для хранения объектов в БД. При выборе пакета экспертизы (папки) в таблице отображается список объектов, при выборе отдельного объекта — страница объекта.
По кнопке вы можете настроить отображение в таблице объектов из вложенных папок.
По кнопке вы можете создать пакет экспертизы (папку) для хранения объектов в БД.
Вы можете скрыть и открыть одновременно обе панели Папки и Наборы для установки, используя и .При наведении курсора на пакет экспертизы (папки) в строке с его названием появляется кнопка . По кнопке раскрывается меню, которое содержит пункты для изменения, удаления пользовательского пакета экспертизы (папки) и создания вложенной папки.
- Панель Наборы для установки. Содержит наборы для установки объектов в конвейеры обработки событий. При выборе набора в таблице отображается список добавленных в него объектов. По умолчанию в панели находится стандартный набор Все объекты.
По кнопке вы можете создать новый набор. При наведении курсора на строку с названием набора в правой части строки появляется кнопка , по нажатию которой раскрывается меню для изменения, копирования и удаления набора, валидации и экспорта его объектов, а также для создания вложенного набора.
В строке с названием набора отображается значок статуса валидации его объектов:
— валидация выполнена успешно;
— валидация не выполнялась или объекты в наборе были изменены после валидации;
— при валидации возникли ошибки.
Если в главном меню выбрана установочная БД, в строке с названием набора также отображается значок статуса установки его объектов:
— все объекты установлены;
— некоторые установленные объекты неактуальны, поскольку они обновлены в пакетах экспертизы установочной БД;
— не все объекты установлены;
— ни один объект из набора не установлен — вследствие смены установочной БД или вовсе никогда не устанавливались.
- Вкладка <Название пакета экспертизы (папки)>, содержит таблицу со списком объектов. В таблице отображаются объекты пакета экспертизы (папки), выбранного в панели Папки, которые входят в набор для установки, выбранный в панели Наборы для установки.Для выбора в таблице нескольких объектов подряд вы можете использовать клавишу Shift, для выбора нескольких отдельных объектов — клавишу Ctrl. Чтобы выбрать все объекты, можно использовать комбинацию клавиш Ctrl+A.
В верхней части панели расположены:
- Поле для быстрого поиска объектов в списке. По кнопке вы можете настроить фильтрацию объектов в списке.
- Кнопка для изменения выбранного пользовательского объекта.
- Кнопка для копирования выбранного объекта.
- Кнопка для удаления выбранных пользовательских объектов, не установленных в конвейеры обработки событий.
- Кнопка для перемещения выбранных пользовательских объектов между папками или пакетами экспертизы.
- Кнопка для добавления выбранных объектов в набор для установки или их удаления из набора.
- Кнопка для валидации объектов. При наведении курсора на кнопку во время валидации отображается всплывающая подсказка с индикатором выполнения.
- Кнопка для экспорта объектов БД в файл c расширением
.kbили в ZIP-архив.По кнопке в строке заголовков колонок вы можете выбрать отображаемые в списке колонки с параметрами объектов.
Для объектов в таблице указаны следующие параметры:
- В колонке Статус валидации отображается значок статуса валидации объекта: — валидация объекта не выполнялась или он был изменен после валидации, — валидация выполнена успешно, — при валидации объекта обнаружены ошибки.
- В колонке Идентификатор указан код объекта, который формируется автоматически при создании объекта.
- В колонке Системное название указано системное название объекта, которое используется для идентификации объекта. По ссылке в колонке вы можете открыть страницу объекта.
- В колонке Описание приводится описание объекта.
- В колонке Тип отображается значок типа объекта: — получен из стандартной БД, — создан пользователем. Значок указывает на то, что объект создан в результате копирования другого объекта; при нажатии на значок открывается ссылка на оригинальный объект.
- В колонке указана информация о статусе установки объекта в конвейеры обработки событий:
— объект успешно установлен;
— установленный объект неактуален, поскольку он обновлен в пакетах экспертизы установочной БД;
— объект установлен не во все конвейеры (статус может отображаться только при наличии нескольких конвейеров обработки событий);
— объект не установлен — вследствие смены установочной БД или вовсе никогда не устанавливался.
Если в системе установлено несколько конвейеров обработки событий, справа от значка статуса находится значок с цифрой, указывающей количество конвейеров, в которые установлен объект.
- В колонке Папка указана папка, в которой хранится объект в БД. По ссылке в колонке вы можете открыть таблицу со списком всех объектов в этой папке.
- Вкладка О пакете. Содержит описание выбранного в панели Папки пакета экспертизы.