SIEM / Обзор интерфейса Prewikka

 

Prewikka - это основной пользовательский интерфейс SIEM-системы Prelude, реализованный через Web.

Доступ к интерфейсу осуществляется через Web-браузер. Перед началом работы необходимо представиться системе. Аутентификация производится с помощью локальных учетныхзаписей или через LDAP-каталог. 

После авторизации откроется основной интерфейс системы

В левой колонке которого отображаются (сверху вниз):

  • кнопки перехода к:
    • событиям (Alerts)
    • статусу агентов (Agents)
    • статистике (Statistics)
    • настройкам (Settings)
    • системе тикетов (Tickets)
  •  индикатор критичности событий
  •  параметры агрегации и фильтрации событий

Правая часть интерфейса занята общей статистической информацией

При нажатии на интересующий график или на кнопку Alerts, откроется окно отображающее события, поступающие в систему

События отображаются в таблице, в столбцах которой расположена информация о:

  • Классификации событий (Classification):
    • Название события
    • Статус успешно/не успешно
    •  ID событий
    • Критичность события
  • Источнике (Source):
    • Адрес
    • Порт
    • Протокол
    • Имя пользователя
  • Цели (Target):
    • Адрес
    • Порт
    • Протокол
    • Имя пользователя, группы
  • Анализаторе (Analyzer)
    • Адрес
    • Класс анализатора
  • Время (Time)

Для разных типов событий может отображаться и другая информация. Например, для системы проверки целостности файлов в информации об источнике и цели не будет отображено ни адреса, ни порта, ни протокола – эти поля будут заняты информацией об измененном файле, контрольных суммах и другой дополнительной информации.

При нажатии на событие и выбрав пункт "See alert detail", откроется подробная информация

Система позволяет гибко настроить агрегацию и фильтрацию событий. Для этого достаточно нажать на заголовок столбца и установить нужные настройки фильтрации по любому из доступных в событии полю:

Либо можно создать нужный фильтр с помощью более гибкого инструмента фильтрации во вкладке Settings > Filters

В случае, если созданные настройки отображения нужны для постоянного использования, можно создать вкладку (вкладки располагаются над таблицей событий) и сохранить настройки.