Расследования
Примечание
Функциональность находится на стадии Preview. Чтобы получить доступ, обратитесь в техническую поддержку или к вашему аккаунт-менеджеру.
Расследование — это основная сущность для анализа событий безопасности в Yandex Cloud Detection and Response. Расследование объединяет один или несколько запросов, которые позволяют искать и анализировать события за последние 90 дней.
Связь с инстансом YCDR
Расследования привязаны к инстансу YCDR. Каждый инстанс содержит собственный набор расследований, шаблонов и датасетов. Расследования могут быть доступны:
- отдельному пользователю;
- группе пользователей;
- всем пользователям инстанса.
Метаданные расследования
Каждое расследование содержит метаданные:
- Название — краткое описание цели расследования.
- Описание — подробная информация о расследовании.
- Дата создания — время создания расследования.
- Дата изменения — время последнего изменения.
- Теги — ключевые слова для группировки и поиска расследований.
Теги позволяют организовать расследования по категориям: типу угрозы, источнику событий, этапу расследования или любым другим критериям.
Совместная работа
Несколько аналитиков могут работать над одним расследованием одновременно. Изменения сохраняются автоматически и синхронизируются между пользователями. Доступны следующие действия:
- создание копии расследования для независимой работы;
- переименование расследования;
- изменение описания и тегов;
- удаление расследования.
Доступ к расследованиям определяется ролями. Подробнее см. в разделе Управление доступом в YCDR.
Шаблоны запросов
Шаблон запроса — это сохраненный KQL-запрос, который можно использовать повторно. Шаблоны помогают стандартизировать анализ и ускорить работу аналитиков.
Вы можете выбрать, какие шаблоны запроса загрузить:
|
Тип |
Описание |
|
Мои |
Шаблоны, созданные пользователем и доступные ему в разных расследованиях |
|
Инстанс |
Доступны всем пользователям, но привязаны к определенному расследованию |
|
Общие |
Доступны всем пользователям во всех расследованиях |
Шаблоны можно группировать в папки для удобной навигации. Папки создаются и называются пользователем. Они позволяют организовать шаблоны по типу угрозы, источнику событий или этапу расследования. Например, Частые запросы — это папка для хранения наиболее используемых шаблонов.
Шаблон можно вставить в текущий запрос, использовать для создания нового запроса или сохранить из существующего запроса.
Датасеты и схема базы
Данные для запросов формируются из датасетов и схемы базы данных.
Датасеты
Датасет — это набор данных, содержащий события определенного типа. Каждый датасет включает:
- название;
- описание;
- список полей с типами данных.
Поля в датасетах могут иметь следующие типы:
- Строка — текстовые данные;
- Число — числовые значения;
- Массив — список значений;
- Объект — вложенная структура данных;
- JSON — данные в формате JSON.
Lookup-таблицы
Lookup-таблицы — это справочные таблицы для обогащения данных. Они позволяют добавлять дополнительную информацию к событиям, например:
- названия сервисов по идентификаторам;
- географические данные по IP-адресам;
- информацию о пользователях.
Схема базы данных
Схема базы данных содержит иерархическую структуру всех доступных полей. Для работы со схемой доступны:
- поиск по полям;
- просмотр типов данных;
- вставка полей в запрос.
Поля из датасетов и схемы базы можно вставить в запрос, выбрав нужное поле и нажав Вставить в запрос.