Журнал событий

Журнал событий представляет собой структурированное хранилище информации обо всех DNS-запросах, обработанных продуктом DNS RADAR, с детализацией параметров запроса, ответа и примененных политик безопасности

Просмотр событий

Раздел Журнал событий 1 содержит следующие элементы:

• Кнопка обновления данных 2
• Вкладка История запросов 3
• Вкладка Результаты ретропоиска 4
• Вкладка Оповещения 5
• Область Управление фильтрацией 6
• Область Результаты поиска 7

Управление фильтрацией

Базовый поиск

Базовый поиск позволяет быстро фильтровать события с помощью наиболее часто используемых полей. Вы можете искать события по одному или нескольким критериям одновременно

1. Перейдите в область фильтрации и выберите Базовый поиск 1
2. Задайте значения полям 2 для поиска событий
   • Компания: Имя компании
   • Source ID: IP-адрес источника DNS-запроса
   • Домен: Полное доменное имя, к которому был выполнен запрос
   • Id пользователя: Идентификатор пользователя
   • Статус: Статус запроса (Разрешен, Предупреждение, Заблокирован)
   • Причина: Причина статуса запроса
   • Зона: Зона индикатора классифицирует степень угрозы
   • TI Feeds: Фид домена или IP-адреса в запросе
3. Для очистки заданного фильтра используйте кнопку 3

4. Для управления шаблонами фильтров используйте кнопку 4

	При выборе ранее сохраненного шаблона происходит его применение Для сохранения заданного фильтра необходимо ввести в поле 1 название шаблона и нажать на кнопку 2 Для обновления ранее сохраненного шаблона нажмите кнопку 3, для удаления - кнокпу 4

Расширенный поиск

Расширенный поиска предоставляет доступ к языку запросов (DSL) для поиска событий. Данный механизм позволяет формировать гибкие и точные условия поиска, используя как базовые поля, так и дополнительные атрибуты, связанные с угрозами и контекстом событий

1. Перейдите в область фильтрации и выберите Расширенный поиск 1
2. Перейдите в поле ввода запроса 2 и начните вводить запрос, используя синтаксис DSL. Cистема отобразит контекстные подсказки с доступными полями и операторами
3. Для выполнения запроса нажмите кнопку 3

• Поиск значений выполняется с учётом регистра. Например, поле action требует указания значений в верхнем регистре: ALLOW, BLOCK, DETECT
• Поддерживаются логические операторы (AND, OR, NOT) и операторы сравнения (:, >, <, >=, <=)

Примеры DSL-запросов

Действие	DSL-запрос
Поиск событий с определённым IP-адресом источника DNS запросов	source_ip = "192.168.1.1"
Фильтрация по домену и типу действия	fqdn = "example.com" AND action = "BLOCK"
Поиск запросов с фильтрацией к домену по определенному фиду	feed_name = "PHISHING" and reason = "BLACKLIST_FEED_FQDN_CLIENT"

Результаты поиска

Доступные действия при просмотре результатов поиска

• Для обновления результатов поиска используйте кнопку 1
• Кнопка 2 позволяет выбирать список полей для отображения в результатах поиска
• Кнопка 3 возвращает список отображаемых полей в состояние по умолчанию
• Кнопка 4 используется для экспорта результатов поиска в файл формата CSV

Просмотр детальной информации запроса

При выборе события в результатах поиска справа появится дополнительная панель с подробной информацией о событии

Политика: Действие политики — результат применения правил фильтрации к запросу DNS-запрос: Дата и время запроса — время получения запроса системой ID-запроса — идентификатор запроса Домен — доменное имя из запроса IP-адрес источника — IP-адрес устройства, отправившего запрос Тип DNS-записи — тип запрашиваемой DNS записи (например, A или AAAA) DNS-ответ: Дата и время ответа — время получения ответа на запрос Код DNS-ответа — код ответа DNS-сервера (например, 0 — NOERROR) IP-адрес DNS-ответа — IP-адрес(а) домена Расширенная информация: Client ID — идентификатор компании User ID — идентификатор пользователя Proxy ID — идентификатор прокси-сервера UUID — внутренний идентификатор запроса