Модель данных нормализованного события
В этом разделе вы можете найти модель данных нормализованного события KUMA. Все события, которые обрабатываются корреляторами KUMA с целью обнаружения алертов, должны соответствовать этой модели.
События, несовместимые с этой моделью данных, необходимо преобразовывать в этот формат (нормализовать) с помощью коллекторов.
Модель данных нормализованного события
Название поля | Тип данных | Размер поля | Описание | |
Назначение данных полей определено в названии поля. Поля доступны для изменения.
| ||||
ApplicationProtocol | Строка | 31 символ | Название протокола прикладного уровня. Например, HTTPS, SSH, Telnet. | |
BytesIn | Число | От -9223372036854775808 до 9223372036854775807 | Количество полученных байт. | |
BytesOut | Число | От -9223372036854775808 до 9223372036854775807 | Количество отправленных байт. | |
DestinationAddress | Строка | 45 символов | IPv4 или IPv6-адрес актива, с которым будет выполнено действие. Например, 0.0.0.0 или xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx | |
DestinationCity | Строка | 1023 символа | Город, соответствующий IP-адресу из поля DestinationAddress. | |
DestinationCountry | Строка | 1023 символа | Страна, соответствующая IP-адресу из поля DestinationAddress. | |
DestinationDnsDomain | Строка | 255 символов | DNS-часть полного доменного имени точки назначения. | |
DestinationHostName | Строка | 1023 символа | Название хоста точки назначения. FQDN точки назначения, если доступно. | |
DestinationLatitude | Число с плавающей точкой | От +/- 1.7E-308 до 1.7E+308 | Долгота, соответствующая IP-адресу из поля DestinationAddress. | |
DestinationLongitude | Число с плавающей точкой | От +/- 1.7E-308 до 1.7E+308 | Широта, соответствующая IP-адресу из поля DestinationAddress. | |
DestinationMacAddress | Строка | 17 символов | MAC-адрес точки назначения. Например, aa:bb:cc:dd:ee:00 | |
DestinationNtDomain | Строка | 255 символов | Windows Domain Name точки назначения. | |
DestinationPort | Число | От -9223372036854775808 до 9223372036854775807 | Номер порта точки назначения. | |
DestinationProcessID | Число | От -9223372036854775808 до 9223372036854775807 | Идентификатор системного процесса, зарегистрированный на точке назначения. | |
DestinationProcessName | Строка | 1023 символа | Название системного процесса, зарегистрированного на точке назначения. Например, sshd, telnet. | |
DestinationRegion | Строка | 1023 символа | Регион, соответствующий IP-адресу из поля DestinationAddress. | |
DestinationServiceName | Строка | 1023 символа | Название сервиса или службы на стороне точки назначения. Например, sshd. | |
DestinationTranslatedAddress | Строка | 45 символов | IPv4 или IPv6-адрес точки назначения после трансляции. Например. 0.0.0.0 или xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx | |
DestinationTranslatedPort | Число | От -9223372036854775808 до 9223372036854775807 | Номер порта на точке назначения после трансляции. | |
DestinationUserID | Строка | 1023 символа | Идентификатор пользователя точки назначения. | |
DestinationUserName | Строка | 1023 символа | Имя пользователя точки назначения. | |
DestinationUserPrivileges | Строка | 1023 символа | Названия ролей, которые идентифицируют пользовательские привилегии точки назначения. Например, User, Guest, Administrator и т.п. | |
DeviceAction | Строка | 63 символа | Действие, которое было предпринято источником события. Например, blocked, detected. | |
DeviceAddress | Строка | 45 символов | IPv4 или IPv6-адрес устройства, с которого было получено событие. Например, 0.0.0.0 или xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx | |
DeviceCity | Строка | 1023 символа | Город, соответствующий IP-адресу из поля DeviceAddress. | |
DeviceCountry | Строка | 1023 символа | Страна, соответствующая IP-адресу из поля DeviceAddress. | |
DeviceDnsDomain | Строка | 255 символов | DNS-часть полного доменного имени устройства, с которого было получено событие. | |
DeviceEventClassID | Строка | 1023 символа | Идентификатор типа события, присвоенный источником события. | |
DeviceExternalID | Строка | 255 символов | Идентификатор устройства или продукта, присвоеный источником события. | |
DeviceFacility | Строка | 1023 символа | Значение параметра facility, установленное источником события. | |
DeviceHostName | Строка | 100 символов | Имя устройства, с которого было получено событие. FQDN устройства, если доступно. | |
DeviceInboundinterface | Строка | 128 символов | Название интерфейса входящего соединения. | |
DeviceLatitude | Число с плавающей точкой | От +/- 1.7E-308 до 1.7E+308 | Долгота, соответствующая IP-адресу из поля DeviceAddress. | |
DeviceLongitude | Число с плавающей точкой | От +/- 1.7E-308 до 1.7E+308 | Широта, соответствующая IP-адресу из поля DeviceAddress | |
DeviceMacAddress | Строка | 17 символов | MAC-адрес устройства, с которого было получено событие. Например, aa:bb:cc:dd:ee:00 | |
DeviceNtDomain | Строка | 255 символов | Windows Domain Name устройства. | |
DeviceOutboundinterface | Строка | 128 символов | Название интерфейса исходящего соединения. | |
DevicePayloadID | Строка | 128 символов | Уникальный идентификатор полезной нагрузки (Payload), который ассоциирован с raw-событием. | |
DeviceProcessID | Число | От -9223372036854775808 до 9223372036854775807 | Идентификатор системного процесса на устройстве, которое сгенерировало событие. | |
DeviceProcessName | Строка | 1023 символа | Название процесса. | |
DeviceProduct | Строка | 63 символа | Название продукта, сформировавшего событие. DeviceVendor, DeviceProduct и DeviceVersion однозначно идентифицируют источник журнала. | |
DeviceReceiptTime | Число | От -9223372036854775808 до 9223372036854775807 | Время получения события устройством. | |
DeviceRegion | Строка | 1023 символа | Регион, соответствующий IP-адресу из поля DeviceAddress. | |
DeviceTimeZone | Строка | 255 символов | Временная зона устройства, на котором было создано событие. | |
DeviceTranslatedAddress | Строка | 45 символов | Ретранслированный IPv4 или IPv6-адрес устройства, с которого поступило событие. Например, 0.0.0.0 или xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx | |
DeviceVendor | Строка | 63 символа | Название производителя источника события. DeviceVendor, DeviceProduct и DeviceVersion однозначно идентифицируют источник журнала. | |
DeviceVersion | Строка | 31 символ | Версия продукта источника события. DeviceVendor, DeviceProduct и DeviceVersion однозначно идентифицируют источник журнала. | |
EndTime | Число | От -9223372036854775808 до 9223372036854775807 | Дата и время (timestamp) завершения события. | |
EventOutcome | Строка | 63 символа | Результат выполнения операции. Например, success, failure. | |
ExternalID | Строка | 40 символов | Поле в которое может быть сохранён идентификатор. | |
FileCreateTime | Число | От -9223372036854775808 до 9223372036854775807 | Время создания файла. | |
FileHash | Строка | 255 символов | Хэш-сумма файла. Пример: CA737F1014A48F4C0B6DD43CB177B0AFD9E5169367544C494011E3317DBF9A509CB1E5DC1E85A941BBEE3D7F2AFBC9B1 | |
FileID | Строка | 1023 символа | Значение идентификатора файла. | |
FileModificationTime | Число | От -9223372036854775808 до 9223372036854775807 | Время последнего изменения файла. | |
FileName | Строка | 1023 символа | Имя файла, без указания пути к файлу. | |
FilePath | Строка | 1023 символа | Путь к файлу, включая имя файла. | |
FilePermission | Строка | 1023 символа | Список разрешений файла. | |
FileSize | Число | От -9223372036854775808 до 9223372036854775807 | Размер файла. | |
FileType | Строка | 1023 символа | Тип файла. | |
Message | Строка | 1023 символа | Краткое описание события. | |
Name | Строка | 512 символов | Название события. | |
OldFileCreateTime | Число | От -9223372036854775808 до 9223372036854775807 | Время создания OLD-файла из события. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя. | |
OldFileHash | Строка | 255 символов | Хэш-сумма OLD-файла. Пример: CA737F1014A48F4C0B6DD43CB177B0AFD9E5169367544C494011E3317DBF9A509CB1E5DC1E85A941BBEE3D7F2AFBC9B1 | |
OldFileID | Строка | 1023 символа | Идентификатор OLD-файла. | |
OldFileModificationTime | Число | От -9223372036854775808 до 9223372036854775807 | Время последнего изменения OLD-файла. | |
OldFileName | Строка | 1023 символа | Имя OLD-файла (без пути). | |
OldFilePath | Строка | 1023 символа | Путь к OLD-файлу, включая имя файла. | |
OldFilePermission | Строка | 1023 символа | Список разрешений OLD-файла. | |
OldFileSize | Число | От -9223372036854775808 до 9223372036854775807 | Размер OLD-файла. | |
OldFileType | Строка | 1023 символа | Тип OLD-файла. | |
Reason | Строка | 1023 символа | Информация о причине возникновения события. | |
RequestClientApplication | Строка | 1023 символа | Значение параметра "user-agent" http-запроса. | |
RequestContext | Строка | 2048 символа | Описание контекста http-запроса. | |
RequestCookies | Строка | 1023 символа | Cookies, связанные с http-запросом. | |
RequestMethod | Строка | 1023 символа | Метод, который использовался при выполнении http-запроса. | |
RequestUrl | Строка | 1023 символа | Запрошенный URL. | |
Severity | Строка | 1023 символа | Приоритет. Это может быть поле Severity или поле Level исходного события. | |
SourceAddress | Строка | 45 символов | IPv4 или IPv6-адрес источника. Пример формата: 0.0.0.0 или xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx | |
SourceCity | Строка | 1023 символа | Город, соответствующий IP-адресу из поля SourceAddress. | |
SourceCountry | Строка | 1023 символа | Страна, соответствующая IP-адресу из поля SourceAddress. | |
SourceDnsDomain | Строка | 255 символов | DNS-часть полного доменного имени источника. | |
SourceHostName | Строка | 1023 символа | Доменное имя Windows-устройства источника события. | |
SourceLatitude | Число с плавающей точкой | От +/- 1.7E-308 до 1.7E+308 | Долгота, соответствующая IP-адресу из поля SourceAddress. | |
SourceLongitude | Число с плавающей точкой | От +/- 1.7E-308 до 1.7E+308 | Широта, соответствующая IP-адресу из поля SourceAddress. | |
SourceMacAddress | Строка | 17 символов | MAC-адрес источника. Пример формата: aa:bb:cc:dd:ee:00 | |
SourceNtDomain | Строка | 255 символов | Windows Domain Name источника. | |
SourcePort | Число | От -9223372036854775808 до 9223372036854775807 | Номер порта источника. | |
SourceProcessID | Число | От -9223372036854775808 до 9223372036854775807 | Идентификатор системного процесса. | |
SourceProcessName | Строка | 1023 символа | Название системного процесса на источнике. Например, sshd, telnet и т.п. | |
SourceRegion | Строка | 1023 символа | Регион, соответствующий IP-адресу из поля SourceAddress. | |
SourceServiceName | Строка | 1023 символа | Название сервиса или службы на стороне источника. Например, sshd. | |
SourceTranslatedAddress | Строка | 45 символов | IPv4 или IPv6-адрес источника после трансляции. Пример формата: 0.0.0.0 или xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx | |
SourceTranslatedPort | Число | От -9223372036854775808 до 9223372036854775807 | Номер порта на источнике после трансляции. | |
SourceUserID | Строка | 1023 символа | Идентификатор пользователя источника. | |
SourceUserName | Строка | 1023 символа | Имя пользователя источника. | |
SourceUserPrivileges | Строка | 1023 символа | Названия ролей, которые идентифицируют пользовательские привилегии источника. Например, User, Guest, Administrator и т.п. | |
StartTime | Число | От -9223372036854775808 до 9223372036854775807 | Дата и время (timestamp) в которые, началась активность, связанная с событием. | |
Tactic | Строка | 128 символов | Название тактики из матрицы MITRE ATT&CK. | |
Technique | Строка | 128 символов | Название техники из матрицы MITRE ATT&CK. | |
TransportProtocol | Строка | 31 символ | Название протокола Транспортного уровня сетевой модели OSI (TCP, UDP и т.п.). | |
Type | Число | От -9223372036854775808 до 9223372036854775807 | Тип события: 1 – базовое, 2 - агрегированное, 3 - корреляционное, 4 - аудит, 5 - мониторинг. | |
Поля, назначение которых может быть определено пользователем. Поля доступны для изменения. | ||||
DeviceCustomDate1 | Число, timestamp | От -9223372036854775808 до 9223372036854775807 | Поле для маппинга значения даты и времени (timestamp). Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя. | |
DeviceCustomDate1Label | Строка | 1023 символа | Поле для описания назначения поля DeviceCustomDate1. | |
DeviceCustomDate2 | Число, timestamp | От -9223372036854775808 до 9223372036854775807 | Поле для маппинга значения даты и времени (timestamp). Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя. | |
DeviceCustomDate2Label | Строка | 1023 символа | Поле для описания назначения поля DeviceCustomDate2. | |
DeviceCustomFloatingPoint1 | Число с плавающей точкой | От +/- 1.7E-308 до 1.7E+308 | Поле для маппинга чисел с плавающей точкой. | |
DeviceCustomFloatingPoint1Label | Строка | 1023 символа | Поле для описания назначения поля DeviceCustomFloatingPoint1. | |
DeviceCustomFloatingPoint2 | Число с плавающей точкой | От +/- 1.7E-308 до 1.7E+308 | Поле для маппинга чисел с плавающей точкой. | |
DeviceCustomFloatingPoint2Label | Строка | 1023 символа | Поле для описания назначения поля DeviceCustomFloatingPoint2. | |
DeviceCustomFloatingPoint3 | Число с плавающей точкой | От +/- 1.7E-308 до 1.7E+308 | Поле для маппинга чисел с плавающей точкой. | |
DeviceCustomFloatingPoint3Label | Строка | 1023 символа | Поле для описания назначения поля DeviceCustomFloatingPoint3. | |
DeviceCustomFloatingPoint4 | Число с плавающей точкой | От +/- 1.7E-308 до 1.7E+308 | Поле для маппинга чисел с плавающей точкой. | |
DeviceCustomFloatingPoint4Label | Строка | 1023 символа | Поле для описания назначения поля DeviceCustomFloatingPoint4. | |
DeviceCustomIPv6Address1 | Строка | 45 символов | Поле для маппинга значения IPv6 address. Пример формата: y:y:y:y:y:y:y:y | |
DeviceCustomIPv6Address1Label | Строка | 1023 символа | Поле для описания назначения поля DeviceCustomIPv6Address1. | |
DeviceCustomIPv6Address2 | Строка | 45 символов | Поле для маппинга значения IPv6 address. Пример формата: y:y:y:y:y:y:y:y | |
DeviceCustomIPv6Address2Label | Строка | 1023 символа | Поле для описания назначения поля DeviceCustomIPv6Address2. | |
DeviceCustomIPv6Address3 | Строка | 45 символов | Поле для маппинга значения IPv6 address. Пример формата: y:y:y:y:y:y:y:y | |
DeviceCustomIPv6Address3Label | Строка | 1023 символа | Поле для описания назначения поля DeviceCustomIPv6Address3. | |
DeviceCustomIPv6Address4 | Строка | 45 символов | Поле для маппинга значения IPv6 address. Например, y:y:y:y:y:y:y:y | |
DeviceCustomIPv6Address4Label | Строка | 1023 символа | Поле для описания назначения поля DeviceCustomIPv6Address4. | |
DeviceCustomNumber1 | Число | От -9223372036854775808 до 9223372036854775807 | Поле для маппинга целочисленного значения. | |
DeviceCustomNumber1Label | Строка | 1023 символа | Поле для описания назначения поля DeviceCustomNumber1. | |
DeviceCustomNumber2 | Число | От -9223372036854775808 до 9223372036854775807 | Поле для маппинга целочисленного значения. | |
DeviceCustomNumber2Label | Строка | 1023 символа | Поле для описания назначения поля DeviceCustomNumber2. | |
DeviceCustomNumber3 | Число | От -9223372036854775808 до 9223372036854775807 | Поле для маппинга целочисленного значения. | |
DeviceCustomNumber3Label | Строка | 1023 символа | Поле для описания назначения поля DeviceCustomNumber3. | |
DeviceCustomString1 | Строка | 4000 символов | Поле для маппинга строкового значения. | |
DeviceCustomString1Label | Строка | 1023 символа | Поле для описания назначения поля DeviceCustomString1. | |
DeviceCustomString2 | Строка | 4000 символов | Поле для маппинга строкового значения. | |
DeviceCustomString2Label | Строка | 1023 символа | Поле для описания назначения поля DeviceCustomString2. | |
DeviceCustomString3 | Строка | 4000 символов | Поле для маппинга строкового значения. | |
DeviceCustomString3Label | Строка | 1023 символа | Поле для описания назначения поля DeviceCustomString3. | |
DeviceCustomString4 | Строка | 4000 символов | Поле для маппинга строкового значения. | |
DeviceCustomString4Label | Строка | 1023 символа | Поле для описания назначения поля DeviceCustomString4. | |
DeviceCustomString5 | Строка | 4000 символов | Поле для маппинга строкового значения. | |
DeviceCustomString5Label | Строка | 1023 символа | Поле для описания назначения поля DeviceCustomString5. | |
DeviceCustomString6 | Строка | 4000 символов | Поле для маппинга строкового значения. | |
DeviceCustomString6Label | Строка | 1023 символа | Поле для описания назначения поля DeviceCustomString6. | |
DeviceDirection | Число | От -9223372036854775808 до 9223372036854775807 | Поле для описания направления соединения события. "0" - входящее соединение, "1" - исходящее соединение. | |
DeviceEventCategory | Строка | 1023 символа | Категория события, присвоенная устройством, направившим событие в SIEM. | |
FlexDate1 | Число, timestamp | От -9223372036854775808 до 9223372036854775807 | Поле для маппинга значения даты и времени (timestamp). Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя. | |
FlexDate1Label | Строка | 128 символов | Поле для описания назначения поля FlexDate1Label. | |
FlexNumber1 | Число | От -9223372036854775808 до 9223372036854775807 | Поле для маппинга целочисленного значения. | |
FlexNumber1Label | Строка | 128 символов | Поле для описания назначения поля FlexNumber1Label. | |
FlexNumber2 | Число | От -9223372036854775808 до 9223372036854775807 | Поле для маппинга целочисленного значения. | |
FlexNumber2Label | Строка | 128 символов | Поле для описания назначения поля FlexNumber2Label. | |
FlexString1 | Строка | 1023 символа | Поле для маппинга строкового значения. | |
FlexString1Label | Строка | 128 символов | Поле для описания назначения поля FlexString1Label. | |
FlexString2 | Строка | 1023 символа | Поле для маппинга строкового значения. | |
FlexString2Label | Строка | 128 символов | Поле для описания назначения поля FlexString2Label. | |
Служебные поля. Недоступны для редактирования. | ||||
AffectedAssets | Вложенная структура [Affected] | - | Вложенная структура, из которой можно обратиться к связанным с алертом активам и учетным записям, а также узнать, сколько раз они фигурируют в событиях алерта. | |
AggregationRuleID | Строка | - | Идентификатор аггрегационного правила. | |
AggregationRuleName | Строка | - | Название агрегационного правила, которое обработало событие. | |
BaseEventCount | Число | - | Для агрегированного базового события — количество базовых событий, которые были обработаны аггрегационным правилом. Для корреляционного события — это количество базовых событий, которые были обработаны корреляционным правилом, которое создало корреляционное событие. | |
BaseEvents | Вложенный список [Event] | - | Вложенная структура со списком базовых событий. Поле может быть заполнено у корреляционных событий. | |
Code | Строка | - | В базовом событии это код возврата процесса, функции или операции из источника. | |
CorrelationRuleID | Строка | - | ID корреляционного правила. | |
CorrelationRuleName | Строка | - | Название корреляционного правила, в результате срабатывания которого было создано корреляционное событие. Заполняется только для корреляционных событий. | |
DestinationAccountID | Строка | - | Поле хранит идентификатор пользователя. | |
DestinationAssetID | Строка | - | Поле хранит идентификатор актива точки назначения. | |
DeviceAssetID | Строка | - | Поле хранит идентификатор актива, направившего событие в SIEM. | |
Extra | Вложенный словарь [строка:строка] | - | Поле, в которое во время нормализации "сырого" события можно поместить те его поля, для которых не настроено сопоставление с полями события KUMA. Это поле может быть заполнено только у базовых событий. Максимальный размер поля — 4 МБ. | |
GroupedBy | Строка | - | Список названия полей, по которым была группировка в корреляционном правиле. Заполняется только для корреляционного события. | |
ID | Строка | - | Уникальный идентификатор события типа UUID. Для базового события, генерируемого на коллекторе, идентификатор гененирует коллектор. Идентификатор корреляционного события генерирует коррелятор. Идентификатор никогда не меняет своего значения. | |
Raw | Строка | - | Не нормализованный текст исходного "сырого" события. Максимальный размер поля — 16 384 байт. | |
ReplayID | Строка | - | Идентификатор ретроспективной проверки, в процессе которой было создано событие. | |
ServiceID | Строка | - | Идентификатор экземпляра сервиса: коррелятора, коллектора, хранилища. | |
ServiceName | Строка | - | Название экземпляра микросервиса, которое пристваивает администратор KUMA при создании микросервиса. | |
SourceAccountID | Строка | - | Поле хранит идентификатор пользователя. | |
SourceAssetID | Строка | - | Поле хранит идентификатор актива источника событий. | |
SpaceID | Строка | - | Идентификатор пространства. | |
TenantID | Строка | - | Поле хранит идентификатор тенанта. | |
TI | Вложенный словарь [строка:строка] | - | Поле, в котором в формате словаря содержатся категории, полученные от внешнего источника Threat Intelligence по индикаторам из события. | |
TICategories | map[строка] | - | Поле, содержит категории, полученные от внешнего TI-поставщика по индикаторам, содержащимся в событии. | |
Timestamp | Число | - | Время создания базового события на коллекторе. Время создания корреляционного события на коррелляторе. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя. | |
Вложенная структура Affected
Поле | Тип данных | Описание |
| Вложенный список | Перечень и количество связанных с алертом активов. |
| Вложенный список | Перечень и количество связанных с алертом учетных записей. |
Вложенная структура AffectedRecord
Поле | Тип данных | Описание |
| Строка | Идентификатор актива или учетной записи. |
| Число | Количество раз актив или учетная запись фигурирует в связанных с алертом событиях. |
Поля, формируемые KUMA
KUMA формирует следующие поля, не подлежащие изменениям: BranchID, BranchName, DestinationAccountName, DestinationAssetName, DeviceAssetName, SourceAccountName, SourceAssetName, TenantName.
