Мониторинг
Описание раздела
Раздел Мониторинг предназначен для централизованного отслеживания и анализа всех событий безопасности, происходящих в контролируемой инфраструктуре. Система собирает события из различных доменов (серверы, базы данных, учетные записи, сетевые устройства) и предоставляет единый интерфейс для их анализа, классификации и реагирования на инциденты.
Основная цель модуля — обеспечить полную видимость всех событий безопасности в режиме реального времени, автоматически выявлять критические ситуации и предоставлять инструменты для быстрого реагирования на угрозы информационной безопасности.
Карточки доменов
В верхней части дашборда расположены информационные карточки, отображающие общее количество событий по каждому домену мониторинга:
Структура карточек
| Домен | Описание |
|---|---|
| Домен "Сервер" | События на уровне серверов и связанных с ними компонентами |
| Домен "База данных" | События операций с базами данных |
| Домен "Учетная запись" | События работы учетных записей в базах данных |
| Домен "Сетевой трафик" | События сетевой активности и трафика |
| События Lector | Внутренние события и уведомления системы Пуаро |
Цветовая кодировка карточек:
- Оранжевый — события серверов
- Зеленый — события баз данных
- Синий — события учетных записей
- Оранжево-коричневый — сетевой трафик
- Красный — события системы Lector
Карточки доменов обновляются в режиме реального времени и позволяют быстро оценить объем поступающих событий из каждого источника.
Количество событий за период
Столбчатый график отображает динамику поступления событий в систему с временной детализацией. График является единым визуальным элементом, объединяющим все типы событий для анализа их распределения во времени.
Параметры графика
Временная детализация:
- День — группировка по дням (текущий режим на скриншоте)
- Час — почасовая детализация для анализа коротких периодов
- Неделя — еженедельная агрегация для долгосрочного анализа
- Месяц — помесячная статистика
Функциональность:
- Переключение временной детализации через выпадающий список "День"
- Визуализация в виде синих столбцов
- Временная ось X показывает часы суток (0:00 - 22:00)
- Ось Y отображает количество событий (от 0 до 450+)
Интерпретация данных
На примере графика видно:
- Пиковая активность наблюдается в период с 0:00 до 4:00 (~450-400 событий)
- Минимальная активность в дневное и вечернее время
- Резкий спад после утренних часов указывает на выполнение автоматизированных задач в ночное время
Необычные всплески активности в нетипичное время могут указывать на подозрительную деятельность и требуют дополнительного анализа.
Заявки по критичности
Круговая диаграмма показывает распределение событий по уровням критичности. Центральное число отображает общее количество событий.
Уровни критичности
| Уровень | Цвет | Описание |
|---|---|---|
| Критический | Красный | Критические инциденты, требующие немедленного реагирования |
| Высокий | Оранжевый | Серьезные события, требующие приоритетного внимания |
| Средний | Зеленый | События средней важности |
| Низкий | Серый | Информационные события низкого приоритета |
Аномально высокое количество критических событий может указывать на системные проблемы или необходимость настройки правил корреляции. Проверьте содержимое событий для выявления повторяющихся паттернов.
Заявки по статусу
Круговая диаграмма отображает статус обработки поступивших событий и заявок.
Статусы обработки
| Статус | Цвет | Описание |
|---|---|---|
| Новый | Зеленый | События, только что поступившие в систему, ожидающие обработки |
| Взят в работу | Синий | События, назначенные аналитику и находящиеся в процессе расследования |
| Закрыт | Серый | Обработанные и завершенные события |
Накопление большого количества необработанных событий может привести к пропуску реальных инцидентов. Рекомендуется настроить автоматическую фильтрацию и приоритизацию событий.
Система фильтрации
Мощная система фильтрации позволяет быстро находить нужные события среди большого объема данных.
Основные фильтры
Фильтр по идентификатору и типу
- Номер события — поиск по уникальному идентификатору события
- Тип события — фильтрация по категории события (все типы / конкретный тип)
Фильтр по содержанию
- Название события — текстовый поиск по названию или описанию события
Фильтр по критичности и статусу
- Уровень критичности — выбор одного или нескольких уровней (все уровни / критический / высокий / средний / низкий)
- Статус обработки — фильтрация по текущему статусу (все статусы / новый / в работе / закрыт)
Фильтр по источнику
- Сервер БД — фильтрация по серверу базы данных
- Экземпляр БД — выбор конкретного экземпляра базы данных
- Порт — фильтрация по номеру порта подключения
Временной фильтр
- Период — выбор временного диапазона с точностью до минуты
- Дата начала (ДД.ММ.ГГГГ)
- Время начала (ЧЧ:ММ)
- Дата окончания (ДД.ММ.ГГГГ)
- Время окончания (ЧЧ:ММ)
Управление фильтрами
- Очистить — кнопка сброса всех примененных фильтров
- Применить — кнопка активации установленных критериев фильтрации
Используйте комбинацию фильтров для точного поиска. Например, сочетание фильтров "Критический" + "Новый" + временной интервал позволяет выявить все необработанные критические события за определенный период.
Таблица событий
Основная таблица содержит детальную информацию о каждом событии безопасности.
Структура таблицы
| Колонка | Описание |
|---|---|
| N | Уникальный номер события в системе |
| Тип события | Категория события с иконкой (Сервер, База данных, и т.д.) |
| Название события | Краткое описание произошедшего события |
| Уровень критичности | Бейдж с цветовой индикацией уровня (КРИТИЧЕСКИЙ / ВЫСОКИЙ / СРЕДНИЙ / НИЗКИЙ) |
| Сервер БД | Имя или IP-адрес сервера, на котором произошло событие |
| Экземпляр БД | Название экземпляра базы данных |
| Порт | Номер порта подключения |
| Время поступления | Дата и время регистрации события (ДД-ММ-ГГГГ ЧЧ:ММ:СС) |
| Статус обработки | Текущий статус обработки события (НОВЫЙ / В РАБОТЕ / ЗАКРЫТ) |
| Кто взял в работу | Пользователь, назначенный на обработку события (иконка аватара или прочерк) |
| Время обработки | Дата и время начала обработки события (заполняется после взятия в работу) |
Особенности отображения
Цветовые индикаторы:
- КРИТИЧЕСКИЙ — красный фон
- ВЫСОКИЙ — оранжевый фон
- СРЕДНИЙ — желтый фон
- НИЗКИЙ — серый фон
Статусы:
- НОВЫЙ — зеленый бейдж
- В РАБОТЕ — синий бейдж
- ЗАКРЫТ — серый бейдж
Управление таблицей
Экспорт данных:
- CSV — экспорт в формате CSV для анализа в таблицах
- PDF — экспорт в PDF для отчетности и документооборота
Настройки отображения:
- Интервал обновления — автоматическое обновление данных (5 минут)
- Количество строк — выбор числа записей на странице
Пагинация:
- Навигация по страницам для просмотра большого объема событий
Работа с событиями
Контекстное меню
Для работы с конкретным событием используйте контекстное меню, вызываемое правой кнопкой мыши на строке события.
Доступные действия:
| Действие | Описание |
|---|---|
| Просмотр | Открытие детальной информации о событии |
| Редактировать | Изменение параметров события (уровень критичности, описание и т.д.) |
| Взять в работу | Назначение события на текущего пользователя для расследования |
| Информация о сервере | Переход к карточке сервера с полной информацией о системе (для событий типа "Сервер") |
| Информация о БД | Переход к карточке базы данных с детальной информацией (для событий типа "База данных") |
Контекстное меню адаптируется в зависимости от типа события. Для событий домена "Сервер" отображается пункт "Информация о сервере", а для событий домена "База данных" — пункт "Информация о БД".
Функция "Просмотр" открывает детальное окно события с полной информацией, историей обработки и связанными логами. Это действие позволяет углубленно проанализировать инцидент и принять решение о дальнейших действиях.
Подробности события
Окно детального просмотра предоставляет полную информацию о событии и связанных с ним логах. Окно разделено на три основных блока: заголовок с идентификацией, блок с описанием и параметрами, а также таблица связанных логов.
Заголовок и идентификация
Формат заголовка: Домен «[Тип домена]». Событие №: [Номер события]
Блок описания события
Основная информация:
- Название — краткое наименование события
- Описание — детальное описание инцидента
Пример описания события:
Файловый агент (sys-flog) - сервис мониторинга файловой системы.
Сервис sys-flog потребляет 10.0% CPU, что превышает установленный порог 1.0%.
Необходимо проверить работу сервиса.Блок параметров события
Справа расположена панель с ключевыми параметрами:
| Параметр | Описание | Пример значения |
|---|---|---|
| УРОВЕНЬ КРИТИЧНОСТИ | Степень важности события | КРИТИЧЕСКИЙ (красный бейдж) |
| СТАТУС ОБРАБОТКИ | Текущий статус работы с событием | НОВЫЙ (зеленый бейдж) |
| КТО ВЗЯЛ В РАБОТУ | Назначенный ответственный аналитик | - (не назначен) |
| ВРЕМЯ ПОСТУПЛЕНИЯ | Дата и время регистрации события | 05.11.2025 01:11:36 |
| ВРЕМЯ ЗАКРЫТИЯ | Дата и время завершения обработки | - (не закрыто) |
Кнопки управления
Действия с событием:
- Взять в работу (зеленая кнопка) — назначение события на текущего пользователя
- Закрыть заявку (красная кнопка) — завершение работы с событием
Экспорт:
- PDF — выгрузка детальной информации о событии в PDF-формат
Таблица связанных логов
Нижняя часть окна содержит таблицу со всеми логами, связанными с данным событием.
Структура таблицы логов:
| Колонка | Описание |
|---|---|
| Сервер | Имя сервера, сгенерировавшего лог (например, lector) |
| Экземпляр БД | Название экземпляра базы данных |
| Порт | Номер порта подключения |
| Время в логе | Точное время события в исходном логе (ДД.ММ.ГГГГ, ЧЧ:ММ:СС) |
| Тип лога | Категория лога (системный, приложения, безопасности и т.д.) |
| Текст лога | Полный текст записи лога с техническими деталями |
| Пользователь | Учетная запись, связанная с событием (если применимо) |
Особенности отображения:
- Длинный текст логов автоматически обрезается с многоточием
- При клике на обрезанный текст открывается модальное окно с полным содержимым лога
- Каждая строка содержит одну запись лога
- Логи отсортированы по времени поступления
Просмотр полного текста лога:
При необходимости просмотра полного текста лога кликните на запись в таблице. Откроется модальное окно "Полный текст лога" с развернутым содержимым записи, которое можно скопировать или развернуть на весь экран с помощью иконки в правом верхнем углу.
Таблица связанных логов позволяет проследить полную цепочку событий и понять контекст инцидента. Используйте эту информацию для детального анализа причин возникновения события.
Редактирование события
Функция редактирования позволяет изменять ключевые параметры события для корректировки его классификации и управления процессом обработки. Окно редактирования доступно через контекстное меню события (пункт "Редактировать").
Структура окна редактирования
Заголовок:
- Иконка типа домена (например, база данных)
- Формат:
Домен «[Тип домена]» Событие №[Номер] - Кнопка удаления события (красная иконка корзины)
- Кнопка закрытия окна
Блок информации о событии:
Верхняя часть окна содержит нередактируемую справочную информацию о событии:
| Параметр | Описание |
|---|---|
| НАЗВАНИЕ СОБЫТИЯ | Исходное название события (только для просмотра) |
| ВРЕМЯ ПОСТУПЛЕНИЯ | Дата и время регистрации события в системе |
| ВРЕМЯ ЗАКРЫТИЯ | Дата и время завершения обработки (если событие закрыто) |
| ЗАТРАЧЕНО ВРЕМЕНИ | Длительность обработки события от взятия в работу до закрытия |
| СЕРВЕР БД | IP-адрес или имя сервера базы данных |
| ЭКЗЕМПЛЯР БД | Название экземпляра базы данных |
Редактируемые параметры
Раздел "Редактирование заявки" содержит три выпадающих списка для изменения ключевых параметров:
1. Уровень критичности
Изменение степени важности события в зависимости от реальной оценки угрозы.
Доступные значения:
- Критический — события, требующие немедленного реагирования
- Высокий — серьезные инциденты приоритетной важности
- Средний — события средней степени опасности
- Низкий — информационные события низкого приоритета
Когда изменять:
- Первоначальная автоматическая классификация оказалась неточной
- После детального анализа выявлена реальная степень угрозы
- Событие требует повышения или понижения приоритета обработки
2. Статус обработки
Управление текущим состоянием работы с событием.
Доступные значения:
- Новый — событие ожидает назначения
- В работе — событие находится в процессе расследования
- Закрыт — обработка события завершена
Особенности:
- При изменении статуса на "В работе" автоматически фиксируется время начала обработки
- При установке статуса "Закрыт" фиксируется время закрытия и рассчитывается затраченное время
3. Кто взял в работу
Назначение или изменение ответственного сотрудника за обработку события.
Функциональность:
- Выбор пользователя из списка зарегистрированных аналитиков системы
- Возможность переназначения события другому специалисту
- Автоматическое изменение статуса на "В работе" при назначении ответственного
Управление изменениями
Кнопки действий:
- Отменить (слева, белая кнопка) — закрыть окно без сохранения изменений
- Сохранить (справа, синяя кнопка) — применить все внесенные изменения
Удаление события:
- Иконка корзины в правом верхнем углу окна
- Используется для удаления ложных или некорректных событий
- Требует подтверждения действия
Изменение уровня критичности и статуса события влияет на приоритеты обработки и статистику системы. Вносите изменения обдуманно и документируйте причины корректировки в примечаниях к событию.
Сценарии использования
Корректировка автоматической классификации:
Система пометила событие как "Критическое", но после анализа
выяснилось, что это плановое обслуживание.
→ Изменить уровень на "Низкий" + добавить комментарий.Переназначение события:
Аналитик взял событие в работу, но не может завершить расследование
из-за отсутствия прав доступа к системе.
→ Изменить "Кто взял в работу" на специалиста с необходимыми правами.Ручное закрытие:
Проблема устранена внешними средствами, событие больше не актуально.
→ Изменить статус на "Закрыт" + документировать решение.Рабочий процесс обработки событий
Жизненный цикл события
-
Поступление (статус "Новый")
- Событие регистрируется в системе с исходными параметрами
- Автоматически определяется уровень критичности
- Событие попадает в общую очередь необработанных
-
Взятие в работу
- Аналитик назначает событие на себя через контекстное меню или детальный просмотр
- Статус меняется на "Взят в работу"
- Фиксируется время начала расследования и ответственный сотрудник
-
Расследование
- Анализ описания события и связанных логов
- Проверка информации о сервере и базе данных
- Определение причин возникновения инцидента
- Выполнение необходимых действий по устранению проблемы
-
Закрытие (статус "Закрыт")
- После устранения проблемы событие закрывается
- Фиксируется время закрытия
- События с данным статусом исключаются из активной работы
Рекомендации по обработке
Приоритизация:
- Критические события — обрабатываются в первую очередь
- Высокие события — обрабатываются во вторую очередь
- Средние и низкие — обрабатываются в плановом порядке
Эффективная работа:
- Используйте фильтры для выявления однотипных событий
- Группируйте связанные инциденты для комплексного расследования
- Документируйте результаты расследования в описании события
- Регулярно очищайте очередь обработанных событий
Автоматизация:
- Настройте правила автоматического закрытия для информационных событий
- Используйте корреляцию для объединения связанных событий
- Создайте шаблоны реагирования на типовые инциденты
Не закрывайте события без детального анализа. Каждое критическое событие может указывать на серьезную проблему безопасности или стабильности системы.