- PVSM.RU - https://www.pvsm.ru -
Сколько времени проходит с момента возникновения какого-то важного события до реакционных действий? Зачастую очень много! Одним их факторов влияющих на время реакции служит несвоевременное информирование персонала, отвечающего за принятие решений.
Сегодня мы расскажем вам о том, как получать уведомления о возникновении важных инцидентов безопасности, критическом состоянии IT систем, существенных отклонениях от нормы различных показателей или о других интересных для вас событиях в режиме реального времени и в удобном формате, в частности по электронной почте.
Реализовывать алерты, или иначе говоря оповещения, будем в Splunk, продукте, специализирующемся на анализе машинных данных, о котором мы писали ранее [1].
Компания X хочет получать уведомления на почту о неудачных попытках аутентификации в Splunk, а также о тех случаях, когда брендмауэр идентифицирует события с высоким уровнем риска, относящихся к приложениям или сайтам. В сообщениях должны быть основные данные о событии в удобной для получателя записи.
Формируем запрос, идентифицирующий интересующее нас событие, и представляем в виде таблицы со столбцами, которые должны оказаться в сообщении (о том как писать поисковые запросы в Splunk мы писали ранее здесь [2]). Сохраняем: «Save As» — «Alert»
Настраиваем алерт: Устанавливаем тип оповещения – Real-time. Для срабатывания указываем условие, что количество событий в 1 минуту должно быть больше нуля. Добавляем действие при срабатывании алерта. В сообщениях можно использовать токены, которые получают доступ к информации о поиске, в том числе значения полей. Все токены можно найти по следующей ссылке [3].
Для отправки сообщений еще необходимо настроить почтовый сервер в Splunk и установить с какой почты будут отправляться сообщения. «Settings» — «Server settings» — «Email settings».
При появлении данного события получаем сообщение на почту
Аналогично выполняется настройка отправки оповещения о инцидентах, идентифицируемых брандмауэром.
Таким образом, мы с помощью Splunk быстро и легко настроили оповещения, которые помогут своевременно реагировать на реализацию проблемных событий.
Мы рады ответить на все ваши вопросы и комментарии по данной теме. Также, если вас интересует что-то конкретно в этой области, или в области анализа машинных данных в целом — мы готовы доработать существующие решения для вас, под вашу конкретную задачу. Для этого можете написать об этом в комментариях или просто отправить нам запрос через форму на нашем сайте [4].
Автор: JuliaKoroleva
Источник [5]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/275146
Ссылки в тексте:
[1] ранее: https://habrahabr.ru/company/tssolution/blog/323814/
[2] здесь: https://habrahabr.ru/company/tssolution/blog/324136/
[3] ссылке: http://docs.splunk.com/Documentation/Splunk/7.0.2/Alert/EmailNotificationTokens
[4] сайте: https://tssolution.ru/splunk/
[5] Источник: https://habrahabr.ru/post/351038/?utm_campaign=351038
Нажмите здесь для печати.