- Руководство пользователя по вкладке управления угрозами
- Обзор системы
- Ключевые функции
- Поддержка CORS
- Обработка ошибок
- Конфигурация и настройка
- Получение содержимого журнала (log)
- Советы по интеграции
- Заключение
- Фильтрация контента:
- Фильтрация по типам IoC (Indicators of Compromise):
- Поиск и управление IoC:
- Дополнительные элементы:
Руководство пользователя по вкладке управления угрозами #
Добро пожаловать в Руководство пользователя по вкладке «Управление угрозами» в веб-клиенте Suri Oculus – продвинутому инструменту для обработки, поиска и управления угрозами в режиме реального времени.
Используя Suricata для обнаружения событий и Redis для хранения данных, это руководство предоставляет полную информацию для эффективного взаимодействия с системой и её широкими возможностями.
Обзор системы #
Вкладка «Управление угрозами» предлагает мощное серверное решение для мониторинга, анализа и управления сетевыми угрозами.
Она взаимодействует через RESTful API и разработана для удобной интеграции в центры безопасности (SOC) и веб-приложения.
Ключевые функции #
Получение угроз за определённое количество дней #
Позволяет получить угрозы, зафиксированные в течение указанного количества дней.
✅ Использование: Отправьте GET-запрос на /threats/{n_days}, чтобы получить результаты с пагинацией.
Асинхронная загрузка и распаковка данных об угрозах #
Позволяет запустить фоновую загрузку и извлечение данных об угрозах.
✅ Использование: Выполните POST-запрос на /download, чтобы инициировать операцию.
Поиск угроз по типу IOC (Indicator of Compromise) #
Позволяет искать угрозы по типу индикатора компрометации (IOC), например IP, URL или домен.
✅ Использование: Обратитесь к /threats/type/{ioc_type}, чтобы получить угрозы, соответствующие указанному IOC-типу.
Переключение статуса угрозы #
Позволяет активировать или деактивировать угрозу по её уникальному идентификатору.
✅ Использование: Отправьте PUT-запрос на /threats/status/{threat_id}, чтобы изменить активный статус угрозы.
Расширенный поиск #
Позволяет выполнять гибкий поиск, используя несколько параметров, таких как:
- Тип угрозы
- Уровень достоверности (confidence level)
- Дата первого обнаружения
✅ Использование: Перейдите на /threats/search и укажите нужные параметры запроса, чтобы отфильтровать результаты.
Получение угроз за определённый временной диапазон #
Позволяет получить угрозы за конкретный период относительно текущего времени.
✅ Использование: Выполните GET-запрос на /threats/timeshift/{n_days}, передав необходимые параметры для настройки временного диапазона.
Поддержка CORS #
Все HTTP-ответы содержат заголовки CORS (Cross-Origin Resource Sharing), что позволяет использовать API в разных клиентских средах и доменах.
Обработка ошибок #
Система устойчиво обрабатывает ошибки, предоставляя понятные сообщения в HTTP-ответах, что помогает в отладке и интеграции.
Конфигурация и настройка #
Конфигурация системы управляется через файл config++.conf, содержащий:
- Пути к файлам данных об угрозах
- Параметры подключения к Redis
Получение содержимого журнала (log) #
Система позволяет просматривать содержимое журнала fast.log Suricata, обеспечивая доступ в реальном времени к сырым данным логов.
✅ Использование: Обратитесь к /fastlog, чтобы получить содержимое файла fast.log.
Советы по интеграции #
✔ Убедитесь, что ваше клиентское приложение корректно обрабатывает JSON-ответы, так как вся передача данных с бэкендом осуществляется в JSON-формате.
✔ Используйте CORS-заголовки, если API вызывается из веб-приложений, размещённых на других доменах.
Заключение #
Данное руководство поможет вам эффективно использовать вкладку «Управление угрозами» в Suri Oculus.
Система предоставляет мощный набор инструментов для:
- Интеграции в приложения и SOC
- Мониторинга и анализа угроз
- Управления обнаруженными инцидентами
Благодаря гибкости и продвинутой аналитике, система позволяет оперативно реагировать на угрозы и повышать уровень безопасности сети.
Фильтрация контента: #
- Блокировка универсальная – Флажок для блокировки всех категорий контента.
- Блокировка фейковых новостей – Флажок для блокировки фейковых новостей.
- Блокировка порнографии – Флажок для блокировки порнографического контента.
- Блокировка азартных игр – Флажок для блокировки сайтов с азартными играми.
- Блокировка социальных сетей – Флажок для блокировки социальных сетей.
- Сохранить и перезагрузить Suricata – Кнопка для сохранения настроек фильтрации и перезагрузки Suricata.
Фильтрация по типам IoC (Indicators of Compromise): #
- Правила для URL IoC – Флажок для включения или отключения правил на основе URL.
- Правила для IP IoC – Флажок для включения или отключения правил на основе IP-адресов.
- Правила для доменов IoC – Флажок для включения или отключения правил на основе доменных имен.
- Сохранить изменения и перезагрузить Suricata – Кнопка для сохранения настроек IoC и перезагрузки Suricata.
Поиск и управление IoC: #
- Введите ID – Поле для ввода идентификатора IoC.
- Поиск по ID – Кнопка для поиска IoC по идентификатору.
- Выберите тип IoC – Выпадающий список для выбора типа IoC (URL, IP, домен и др.).
- Поиск по типу – Кнопка для поиска IoC по выбранному типу.
- Выберите статус – Выпадающий список для выбора статуса IoC (включен/отключен).
- Поиск по статусу – Кнопка для поиска IoC по статусу.
- Введите период времени в днях – Поле для ввода временного периода в днях для фильтрации IoC.
- Показать все угрозы – Кнопка для отображения всех IoC.
- Выбрать IoC – Кнопка для выбора IoC за указанный период.
- Обновить файл IoC – Кнопка для обновления файла IoC.
- Сгенерировать правила – Кнопка для генерации правил на основе IoC.
- Переключить статус IoC – Кнопка для изменения статуса IoC (включен/отключен).
Дополнительные элементы: #
- Область отображения IoC (IOCContent) – Отображает IoC и результаты поиска.
- Пагинация IoC (iocpagination) – Кнопки «Предыдущая» и «Следующая» для навигации по страницам IoC. Отображает текущую страницу (currentThreatPage).
- Выбор размера страницы (IOCpageSizeSelect) – Позволяет выбрать количество отображаемых IoC на странице (10, 20, 30).
- Детали IoC (IOCDetails) – Отображает подробную информацию о выбранном IoC.