Jak vytvořit vlastní geolokační zóny¶
LogMan.io umožňuje analytikům obohatit události o vlastní geolokační data pomocí vyhledávání založeného na IP rozsahu. To je užitečné pro označování interních zón, poboček nebo geografických oblastí definovaných zákazníkem.
Vytvoření geolokačního vyhledávání¶
Přejděte do sekce LogMan.io → Vyhledávání a vytvořte nové vyhledávání.
- Skupina:
geo - Klíč: Pár IP adres:
startaend, definující kontinuální IP rozsah. - Pole (volitelné, ale doporučené):
name: "Křivoklát LAN"
country_iso_code: "CZ"
region_name: "Středočeský kraj"
city_name: "Křivoklát"
location: [50.036, 13.877] # zeměpisná šířka, zeměpisná délka
Tato pole jsou založena na Elastic Common Schema (ECS) pro kompatibilitu s obohacením Parsec.
Příklad položky¶
| Start IP | End IP | name | country_iso_code | city_name | location |
|---|---|---|---|---|---|
| 192.168.108.122 | 192.168.108.124 | HQ Office LAN | CZ | Praha | 50°5.28' N, 14°25.2' E |
| 10.10.0.1 | 10.10.0.254 | Remote Branch #1 | CZ | Brno | 49°11.7' N, 16°36.54' E |
Uložte vyhledávání pod jedinečným názvem, například hq_locations.
Podporovaná pole¶
| Pole | Typ | Popis |
|---|---|---|
name |
string | Popisný název zóny |
country_iso_code |
string | ISO 3166-1 alpha-2 kód země |
region_name |
string | Název regionu nebo provincie |
city_name |
string | Název města nebo oblasti |
location |
geopoint | GPS souřadnice |
Použití¶
Automatické obohacení¶
Když je skupina vyhledávání nastavena na geo, data jsou automaticky používána LogMan.io Parsec pro obohacení polí jako source.ip, destination.ip, client.ip atd.
Příklad výstupu po obohacení:
{
"source.ip": "192.168.108.123",
"source.geo": {
"name": "HQ Office LAN",
"country_iso_code": "CZ",
"city_name": "Praha",
"location": [50.088, 14.420]
}
}
Použití v korelátoru¶
Vlastní geolokační vyhledávání může být odkazováno v pravidlech Korelátoru pro filtrování nebo logiku založenou na zónách.
Příklad: Upozornění na přihlášení z neinterní IP¶
predicate:
!NOT:
what:
!IN
what: !ITEM EVENT source.ip
where:
!LOOKUP
what: hq_locations
Příklad: Shoda s více geozónami¶
predicate:
!OR:
- !IN
what: !ITEM EVENT client.ip
where: !LOOKUP { what: hq_locations }
- !IN
what: !ITEM EVENT destination.ip
where: !LOOKUP { what: remote_sites }
Tipy a nejlepší praktiky¶
- Zajistěte, aby se rozsahy nepřekrývaly, aby se předešlo nejednoznačnosti.
- Používejte konzistentní a popisné názvy pro snadnější filtrování na dashboardu.
- Poskytněte
location, aby bylo možné provádět geospatial vizualizace.
Řešení problémů¶
Obohacení nefunguje?¶
- Ověřte, že skupina vyhledávání je
geo. - Potvrďte, že IP je v definovaném rozsahu
start-end. - Použijte funkci
Test Lookupv uživatelském rozhraní pro simulaci vyhledávání.
Více překrývajících se shod?¶
- Vyhněte se překrývání; první shoda obvykle vyhrává.