Сколько времени проходит с момента возникновения какого-то важного события до реакционных действий? Зачастую очень много! Одним их факторов влияющих на время реакции служит несвоевременное информирование персонала, отвечающего за принятие решений.
Сегодня мы расскажем вам о том, как получать уведомления о возникновении важных инцидентов безопасности, критическом состоянии IT систем, существенных отклонениях от нормы различных показателей или о других интересных для вас событиях в режиме реального времени и в удобном формате, в частности по электронной почте.
Реализовывать алерты, или иначе говоря оповещения, будем в Splunk, продукте, специализирующемся на анализе машинных данных, о котором мы писали ранее.
Задача
Компания X хочет получать уведомления на почту о неудачных попытках аутентификации в Splunk, а также о тех случаях, когда брендмауэр идентифицирует события с высоким уровнем риска, относящихся к приложениям или сайтам. В сообщениях должны быть основные данные о событии в удобной для получателя записи.
Реализация
Контроль аутентификации
Формируем запрос, идентифицирующий интересующее нас событие, и представляем в виде таблицы со столбцами, которые должны оказаться в сообщении (о том как писать поисковые запросы в Splunk мы писали ранее здесь). Сохраняем: «Save As» — «Alert»
Настраиваем алерт: Устанавливаем тип оповещения – Real-time. Для срабатывания указываем условие, что количество событий в 1 минуту должно быть больше нуля. Добавляем действие при срабатывании алерта. В сообщениях можно использовать токены, которые получают доступ к информации о поиске, в том числе значения полей. Все токены можно найти по следующей ссылке.
Для отправки сообщений еще необходимо настроить почтовый сервер в Splunk и установить с какой почты будут отправляться сообщения. «Settings» — «Server settings» — «Email settings».
При появлении данного события получаем сообщение на почту
Аналогично выполняется настройка отправки оповещения о инцидентах, идентифицируемых брандмауэром.
Заключение
Таким образом, мы с помощью Splunk быстро и легко настроили оповещения, которые помогут своевременно реагировать на реализацию проблемных событий.
Мы рады ответить на все ваши вопросы и комментарии по данной теме. Также, если вас интересует что-то конкретно в этой области, или в области анализа машинных данных в целом — мы готовы доработать существующие решения для вас, под вашу конкретную задачу. Для этого можете написать об этом в комментариях или просто отправить нам запрос через форму на нашем сайте.
Автор: JuliaKoroleva