Визуализация данных о нарушениях в облаке Amazon AWS

Сводная панель Обзор нарушений AWS помогает аналитикам защиты визуализировать потенциальные нарушения в AWS, и ее можно организовать различными способами в соответствии с вашими потребностями.

На сводной панели Обзор нарушений AWS выводятся все открытые данные нарушений на следующих диаграммах:
  • Все регионы по величине
  • Все регионы по связанному правилу
  • Первые 10 ID учётных записей по величине
  • Первые 10 ID учётных записей по связанным правилам
  • Первые 10 типов ресурсов по величине
  • Первые 10 типов ресурсов по связанным правилам
  • Всего нарушений в соответствии с тактикой и правилом MITRE (эта диаграмма доступна, только если установлен IBM® QRadar Use Case Manager).
  • Самые серьезные нарушения
  • Расположение нарушений по величине
  • Индикатор уровня величины
В сводной панели представлены графики, на которых нарушения упорядочены по пользователям или регионам. На графиках также показана интенсивность нарушений и число нарушений для каждого правила. Регионы могут классифицироваться на диаграммах как "неизвестные" по различным причинам:
  • Источник журнала, который обрабатывает журналы Amazon AWS, не идентифицировал регион, поэтому регион не был включен в данные события.
  • Приложение не смогло правильно получить события из базы данных Ariel, так как база данных Ariel была перегружена. Поэтому для некоторых нарушений данные о событиях не содержат информации о регионе.

Данные о нарушениях можно представить в формате круговой или горизонтальной столбчатой диаграммы. Чтобы переключить представление, щелкните по значку Просмотр диаграммы. Наведя указатель мыши на раздел, вы увидите больше сведений, например, что обозначает тот или иной цвет, а также процент правил, связанных с этим представлением. Выведите легенду для правил и и соответствующих им цветов, щелкнув по значку Показать легенду. Можно также переключить просмотр информации с формата графика на формат таблицы и наоборот, щелкнув по значку Просмотр таблицы на диаграммах Все регионы по интенсивности и Все регионы по связанным правилам.

Если вы хотите увидеть определенную информацию на одной из диаграмм, можно раскрыть детализированные данные в виде списка нарушений, связанных с выбранными вами расположением или пользователем. Раскройте детализированные данные, перейдя в раздел диаграммы для связанного списка нарушений. Например, вы можете захотеть увидеть больше информации о списке нарушений, связанных с пользователем и правилом, отраженным на горизонтальной столбчатой диаграмме. Чтобы увидеть эту информацию, переходите к разным уровням детализированных данных о нарушении для данного пользователя, а затем щелкните по нарушению, чтобы увидеть сведения в QRadar.

Наряду с диаграммами вы можете получить больше информация о нарушениях с помощью таблицы серьезных нарушений, карты и индикатора интенсивности. Самые серьезные нарушения перечислены в отдельной таблице, и, щелкнув по нарушению, можно получить больше сведений. На карте показаны нарушения по интенсивности нарушения; также показаны регионы или расположения пользователей и серьезность нарушений в этих расположениях. Индикатор интенсивности показывает процент нарушений для каждого уровня интенсивности. Если навести указатель мыши на индикатор интенсивности, будет показана средняя интенсивность нарушения.

Для гарантии актуальности данных щелкните по Обновить в строке заголовка обзора. Также можно увидеть, когда вы в последний раз обновляли страницу. Если вы хотите сохранить снимок создания нарушения в определенный момент времени, вы можете сохранить данные диаграммы и данные карты. Карту и диаграммы можно скачать в формате PNG через QRadar Cloud Visibility, что позволит вам сохранить эти изображения и поделиться ими с менеджерами и коллегами.

Тенденции

Щелкнув по вкладке Тенденции, вы сможете увидеть тенденцию новых нарушений, произошедших за определенный период времени. Если повторно открыть вкладку, когда пройдет больше 5 минут, вкладка обновится автоматически. По умолчанию представлена временная шкала нарушений за последние 24 часа. Также можно увидеть временную шкалу нарушений за последние 7 дней и за последние 30 дней. Показана только временная шкала новых нарушений.

Если вы хотите сохранить снимок создания нарушения в определенный момент времени, вы можете сохранить данные диаграммы. Диаграммы можно скачать в формате PNG через QRadar Cloud Visibility, что позволит вам сохранить эти изображения и поделиться ими с менеджерами и коллегами.

Чтобы вернуться в представление сводной панели, щелкните по вкладке Текущее состояние. Диапазон дат и времени, данные за который вы хотите просмотреть, можно выбрать на боковой панели Фильтры для страницы Тенденции.

Фильтры

В сводной панели нарушений есть фильтры, чтобы вы смогли выбрать нарушения, которые хотите увидеть. Эти фильтры применяются ко всей сводной панели, а не к одной диаграмме, и зависят от того, какую облачную службу вы просматриваете. Откройте боковую панель Фильтры, щелкнув по значку фильтра (значок Фильтр) в верхней левой части страницы.

Тонкая настройка сводной панели Обзор нарушений AWS с помощью следующих фильтров:
Состояние нарушения
Выберите тип состояния, который вы хотите просмотреть в диаграммах обзора: все открытые, только активные или закрытые.
Начальная дата нарушения
Настройте диапазон дат, чтобы показать в диаграммах, когда нарушения были сначала обнаружены в QRadar Cloud Visibility.
Величины
Выберите величину нарушений, которые вы хотите увидеть на обзорных диаграммах. Выбранные вами величины также влияют на графики.
Типы источников журналов и источники журналов
Выберите типы источников журналов и конкретные источники журнала для нарушений, которые вы хотите просмотреть. Либо можно также выбрать все источники журнала для выбранного типа источника журнала.

В QRadar Cloud Visibility V1.3.0 и новее администраторы могут настроить, какие типы источников журналов и источники журналов способствуют сводной панели.

Регионы
Географическая зона, где размещаются ресурсы облачных вычислений Amazon во всем мире.
ID учетных записей
Выберите ID учетных записей Amazon AWS для нарушений, которые вы хотите просмотреть.
Типы ресурсов
Выберите ресурсы службы Amazon AWS для нарушений, которые вы хотите просмотреть.
Группы правил и правила
Выберите группы или отдельные правила для нарушений, которые вы хотите просмотреть.

Категория Другие содержит такие правила, как пользовательские правила и правила из различных пакетов содержимого. Если в сводной панели появляются незапланированные правила, рассмотрите возможность настройки правил.

Обзор Amazon AWS Offense

Рис. 1. Регионы, первые 10 ID учетных записей и первые 10 типов ресурсов по величине в AWS
Изображение диаграмм, которые показывают нарушения в зависимости от величины.
Рис. 2. Регионы, первые 10 ID учетных записей и первые 10 типов ресурсов по связанным правилам в AWS
Изображение диаграмм, которые показывают нарушения в зависимости от правила.
Рис. 3. Всего нарушений в соответствии с тактикой и правилом MITRE, наиболее серьезные нарушения, карта и индикатор интенсивности в AWS
Изображение диаграммы серьезных нарушений, карта с расположениями нарушений и индикатор интенсивности.Изображение общего числа нарушений в соответствии с тактикой и правилом MITRE, диаграммы серьезных нарушений, карты с расположениями нарушений и индикатора интенсивности.