Шаг 6. Обогащение событий

Это необязательный шаг мастера установки. На вкладке мастера установки Обогащение событий можно указать, какими данными и из каких источников следует дополнить обрабатываемые коллектором события. События можно обогащать данными, полученными с помощью правил обогащения или с помощью LDAP.

Обогащение с помощью правил обогащения

Правил обогащения может быть несколько. Их можно добавить с помощью кнопки Добавить обогащение или удалить с помощью кнопки . Можно использовать существующие правила обогащения или же создать правила непосредственно в мастере установки.

Чтобы добавить в набор ресурсов существующее правило обогащения:

1. Нажмите Добавить обогащение.

   Откроется блок параметров правил обогащения.

2. В раскрывающемся списке Правило обогащения выберите нужный ресурс.

Правило обогащения добавлено в набор ресурсов для коллектора.

Чтобы создать в наборе ресурсов новое правило обогащения:

1. Нажмите Добавить обогащение.

   Откроется блок параметров правил обогащения.

2. В раскрывающемся списке Правило обогащения выберите Создать.
3. В раскрывающемся списке Тип источника данных выберите, откуда будут поступать данные для обогащения, и заполните относящиеся к нему параметры:
   • константа

     Этот тип обогащения используется, если в поле события необходимо добавить константу. Параметры этого типа обогащения:

     • В поле Константа укажите значение, которое следует добавить в поле события. Значение должно состоять не более чем из 255 символов в кодировке Unicode. Если оставить это поле пустым, существующее значение поля события будет удалено.
     • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.

     Если вы используете функции обогащения событий для полей расширенной схемы с типом «Строка», «Число» или «Число с плавающей точкой» с помощью константы, в поле будет добавлена константа.

     Если вы используете функции обогащения событий для полей расширенной схемы с типом «Массив строк», «Массив чисел» или «Массив чисел с плавающей точкой» с помощью константы, константа будет добавлена к элементам массива.

   • словарь

     Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Словарь.

     При выборе этого типа в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.

     Если вы используете обогащение событий, у которого в качестве параметра Тип источника данных выбран тип «Словарь», а в параметре Ключевые поля обогащения указано поле-массив, при передаче массива в качестве ключа словаря массив будет сериализован в строку согласно правилам сериализации одного значения в формате TSV.

     Пример: В параметре Ключевые поля обогащения используется поле расширенной схемы SA.StringArrayOne. Поле расширенной схемы SA.StringArrayOne, содержит 3 элемента "a", "b" и "c". В качестве ключа в словарь будет передано значение: ['a','b','c'].

     Если в параметре Ключевые поля обогащения используется поле-массив расширенной схемы и обычное поле схемы событий, значения полей при обращении в словарь будут разделены символом «|».

     Пример: В параметре Ключевые поля обогащения используются два поля: поле расширенной схемы SA.StringArrayOne и поле Code. Поле расширенной схемы SA.StringArrayOne, содержит 3 элемента "a", "b" и "c", строковое поле Code, содержит последовательность символов "myCode". В качестве ключа в словарь будет передано значение: ['a','b','c']|myCode.

   • событие

     Этот тип обогащения используется, если в поле события необходимо записать значение другого поля события. Параметры этого типа обогащения:

     • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
     • В раскрывающемся списке Исходное поле выберите поле события, значение которого будет записано в целевое поле.
     • В блоке параметров Преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA. Тип преобразования можно выбрать в раскрывающемся списке. С помощью кнопок Добавить преобразование и Удалить можно добавить или удалить преобразование. Порядок преобразований имеет значение.

       Доступные преобразования

       Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

       Доступные преобразования:

       • lower – используется для перевода всех символов значения в нижний регистр
       • upper – используется для перевода всех символов значения в верхний регистр
       • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
       • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
       • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
         • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
         • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
       • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
       • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
       • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
       • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
         • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
         • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
       • Конвертация закодированных строк в текст:
         • decodeHexString – используется для конвертации HEX-строки в текст.
         • decodeBase64String – используется для конвертации Base64-строки в текст.
         • decodeBase64URLString – используется для конвертации Base64url-строки в текст.

         При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.

         При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, такая строка будет обрезана и не будет раскодирована.

         Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, такая строка будет обрезана до размера этого поля события.

       Преобразования при использовании расширенной схемы событий

       Возможность использования преобразования зависит от типа используемого поля расширенной схемы событий:

       • для дополнительное поле с типом «Строка» доступны все типы преобразований.
       • для полей с типами «Число», «Число с плавающей точкой» доступны следующие виды преобразований: regexp, substring, replace, trim, append, prepend, replaceWithRegexp, decodeHexString, decodeBase64String, decodeBase64URLString.
       • для полей с типами «Массив строк», «Массив чисел» и «Массив чисел с плавающей точкой» доступны следующие виды преобразований: append, prepend.

   • шаблон

     Этот тип обогащения используется, если в поле события необходимо записать значение, полученное при обработке шаблонов Go. Параметры этого типа обогащения:

     • В поле Шаблон поместите шаблон Go.

       Имена полей событий передаются в формате {{.EventField}}, где EventField – это название поля события, значение которого должно быть передано в скрипт.

       Пример: Атака на {{.DestinationAddress}} со стороны {{.SourceAddress}}.

     • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.

     Чтобы преобразовать в шаблоне данные поля массива в формат TSV, необходимо использовать функцию toString.

     Если вы используете обогащения событий, у которого в качестве параметра Тип источника данных выбран тип «Шаблон», в котором целевым полем является поле с типом Строка, а исходным полем является поле расширенной схемы событий, содержащее массив строк, в шаблоне может быть использован один из примеров, приведённых далее.

     Пример:

     {{.SA.StringArrayOne}}

     Пример:

     {{- range $index, $element := . SA.StringArrayOne -}}

     {{- if $index}}, {{end}}"{{$element}}"{{- end -}}

   • dns

     Этот тип обогащения используется для отправки запросов на DNS-сервер частной сети для преобразования IP-адресов в доменные имена или наоборот. Преобразование IP-адресов в DNS-имена происходит только для частных адресов: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 100.64.0.0/10.

     Доступные параметры:

     • URL – в этом поле можно указать URL DNS-сервера, которому вы хотите отправлять запросы. С помощью кнопки Добавить URL можно указать несколько URL.
     • Запросов в секунду – максимальное количество запросов к серверу в секунду. Значение по умолчанию: 1000.
     • Рабочие процессы – максимальное количество запросов в один момент времени. Значение по умолчанию: 1.
     • Количество задач – максимальное количество одновременно выполняемых запросов. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
     • Срок жизни кеша – время жизни значений, хранящихся в кеше. Значение по умолчанию: 60.
     • Кеш отключен – с помощью этого раскрывающегося списка можно включить или отключить кеширование. По умолчанию кеширование включено.
   • cybertrace

     Этот тип обогащения используется для добавления в поля события сведений из потоков данных CyberTrace.

     Доступные параметры:

     • URL (обязательно) – в этом поле можно указать URL сервера CyberTrace, которому вы хотите отправлять запросы.
     • Количество подключений – максимальное количество подключений к серверу CyberTrace, которые может одновременно установить KUMA. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
     • Запросов в секунду – максимальное количество запросов к серверу в секунду. Значение по умолчанию: 1000.
     • Время ожидания – время ожидания отклика от сервера CyberTrace в секундах. Значение по умолчанию: 30.
     • Сопоставление (обязательно) – этот блок параметров содержит таблицу сопоставления полей событий KUMA с типами индикаторов CyberTrace. В столбце Поле KUMA указаны названия полей событий KUMA, а в столбце Индикатор CyberTrace указаны типы индикаторов CyberTrace.

       Доступные типы индикаторов CyberTrace:

       • ip
       • url
       • hash

       В таблице сопоставления требуется указать как минимум одну строку. С помощью кнопки Добавить строку можно добавить строку, а с помощью кнопки – удалить.

   • часовой пояс

     Этот тип обогащения используется в коллекторах и корреляторах для присваивания событию определенного часового пояса. Сведения о часовом поясе могут пригодиться при поиске событий, случившихся в нетипичное время, например ночью.

     При выборе этого типа обогащения в раскрывающемся списке Часовой пояс необходимо выбрать требуемую временную зону.

     Убедитесь, что требуемый часовой пояс установлен на сервере сервиса, использующего обогащение. Например, это можно сделать с помощью команды timedatectl list-timezones, которая показывает все установленные на сервере часовые пояса. Подробнее об установке часовых поясов смотрите в документации используемой вами операционной системы.

     При обогащении события в поле события DeviceTimeZone записывается смещение времени выбранного часового пояса относительно всемирного координированного времени (UTC) в формате +-чч:мм. Например, если выбрать временную зону Asia/Yekaterinburg в поле DeviceTimeZone будет записано значение +05:00. Если в обогащаемом событии есть значение поля DeviceTimeZone, оно будет перезаписано.

     По умолчанию, если в обрабатываемом событии не указан часовой пояс и не настроены правила обогащения по часовому поясу, событию присваивается часовой пояс сервера, на котором установлен сервис (коллектор или коррелятор), обрабатывающий событие. При изменении времени сервера сервис необходимо перезапустить.

     Допустимые форматы времени при обогащении поля DeviceTimeZone

     При обработке в коллекторе поступающих "сырых" событий следующие форматы времени могут быть автоматически приведены к формату +-чч:мм:

     Формат времени в обрабатываемом событии	Пример
     +-чч:мм	-07:00
     +-ччмм	-0700
     +-чч	-07

     Если формат даты в поле DeviceTimeZone отличается от указанных выше, при обогащении события сведениями о часовом поясе в поле записывается часовой пояс серверного времени коллектора. Вы можете создать особые правила нормализации для нестандартных форматов времени.

   • геоданные

     Этот тип обогащения используется для добавления в поля событий сведений о географическом расположении IP-адресов. Подробнее о привязке IP-адресов к географическим данным.

     При выборе этого типа в блоке параметров Сопоставление геоданных с полями события необходимо указать, из какого поля события будет считан IP-адрес, а также выбрать требуемые атрибуты геоданных и определить поля событий, в которые геоданные будут записаны:

     1. В раскрывающемся списке Поле события с IP-адресом выберите поле события, из которого считывается IP-адрес. По этому IP-адресу будет произведен поиск соответствий по загруженным в KUMA геоданным.

        С помощью кнопки Добавить поле события с IP-адресом можно указать несколько полей события с IP-адресами, по которым требуется обогащение геоданными. Удалить добавленные таким образом поля событий можно с помощью кнопки Удалить поле события с IP-адресом.

        При выборе полей события SourceAddress, DestinationAddress и DeviceAddress становится доступна кнопка Применить сопоставление по умолчанию. С ее помощью можно добавить преднастроенные пары соответствий атрибутов геоданных и полей события.

     2. Для каждого поля события, откуда требуется считать IP-адрес, выберите тип геоданных и поле события, в которое следует записать геоданные.

        С помощью кнопки Добавить атрибут геоданных вы можете добавить пары полей Атрибут геоданных – Поле события для записи. Так вы можете настроить запись разных типов геоданных одного IP-адреса в разные поля события. Пары полей можно удалить с помощью значка .

        • В поле Атрибут геоданных выберите, какие географические сведения, соответствующие считанному IP-адресу, необходимо записать в событие. Доступные атрибуты геоданных: Страна, Регион, Город, Долгота, Широта.
        • В поле Поле события для записи выберите поле события, в которое необходимо записать выбранный атрибут геоданных.

        Вы можете записать одинаковые атрибуты геоданных в разные поля событий. Если вы настроите запись нескольких атрибутов геоданных в одно поле события, событие будет обогащено последним по очереди сопоставлением.

4. С помощью переключателя Отладка укажите, следует ли включить логирование операций сервиса. По умолчанию логирование выключено.
5. В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом правила обогащения. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

   Создание фильтра в ресурсах

   1. В раскрывающемся списке Фильтр выберите Создать.
   2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

      В этом случае вы сможете использовать созданный фильтр в разных сервисах.

      По умолчанию флажок снят.

   3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
   4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
      1. Нажмите на кнопку Добавить условие.
      2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

         В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

      3. В раскрывающемся списке оператор выберите нужный вам оператор.

         Операторы фильтров

         • = – левый операнд равен правому операнду.
         • < – левый операнд меньше правого операнда.
         • <= – левый операнд меньше или равен правому операнду.
         • > – левый операнд больше правого операнда.
         • >= – левый операнд больше или равен правому операнду.
         • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
         • contains – левый операнд содержит значения правого операнда.
         • startsWith – левый операнд начинается с одного из значений правого операнда.
         • endsWith – левый операнд заканчивается одним из значений правого операнда.
         • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
         • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

           Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

           Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

         • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

           Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

         • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
         • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
         • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
         • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
         • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
         • inContextTable – присутствует ли в указанной контекстной таблице запись.
         • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
      4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

         Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

         По умолчанию флажок снят.

      5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
      6. Вы можете добавить несколько условий или группу условий.
   5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
   6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

      Параметры вложенного фильтра можно просмотреть, нажав на кнопку .

В набор ресурсов для коллектора добавлено новое правило обогащения.

Обогащение с помощью LDAP

Чтобы включить обогащение с помощью LDAP:

1. Нажмите Добавить сопоставление с учетными записями LDAP.

   Откроется блок параметров обогащения с помощью LDAP.

2. В блоке параметров Сопоставление с учетными записями LDAP с помощью кнопки Добавить домен укажите домен учетных записей. Доменов можно указать несколько.
3. В таблице Обогащение полей KUMA задайте правила сопоставления полей KUMA с атрибутами LDAP:
   • В столбце Поле KUMA укажите поле события KUMA, данные из которого следует сравнить с атрибутом LDAP.
   • В столбце LDAP-атрибут, укажите атрибут, с которым необходимо сравнить поле события KUMA. Раскрывающийся список содержит стандартные атрибуты и может быть дополнен пользовательскими атрибутами.

     Перед настройкой обогащения событий с помощью пользовательских атрибутов убедитесь, что пользовательские атрибуты настроены в AD.

     Чтобы обогащать события учетными записями с помощью пользовательских атрибутов:

     1. Добавьте Пользовательские атрибуты учетных записей AD в Параметрах подключения к LDAP.

        Невозможно добавить стандартные Импортируемые атрибуты из AD в качестве пользовательских. Например, если вы захотите добавить стандартный атрибут accountExpires в качестве пользовательского атрибута, при сохранении параметров подключения KUMA вернет ошибку.

        Из Active Directory можно запросить следующие атрибуты учетных записей:

        • accountExpires
        • badPasswordTime
        • cn
        • co
        • company
        • department
        • description
        • displayName
        • distinguishedName
        • division
        • employeeID
        • givenName
        • l
        • lastLogon
        • lastLogonTimestamp
        • mail
        • mailNickname
        • managedObjects
        • manager
        • memberOf (по этому атрибуту события можно искать при корреляции)
        • mobile
        • name
        • objectCategory
        • objectGUID (этот атрибут запрашивается из Active Directory всегда)
        • objectSid
        • physicalDeliveryOfficeName
        • pwdLastSet
        • sAMAccountName
        • sAMAccountType
        • sn
        • streetAddress
        • telephoneNumber
        • title
        • userAccountControl
        • userPrincipalName
        • whenChanged
        • whenCreated

        После того, как вы добавите пользовательские атрибуты в Параметрах подключения к LDAP, раскрывающийся список LDAP-атрибуты в коллекторе будет автоматически дополнен. Пользовательские атрибуты можно отличить по знаку вопроса рядом с именем атрибута. Если для нескольких доменов вы добавили один и тот же атрибут, в раскрывающемся списке атрибут будет указан один раз, а домены можно просмотреть, если навести курсор на знак вопроса. Названия доменов отображаются в виде ссылок: если вы нажмете на ссылку, домен автоматически добавится в Сопоставление с учетными записями LDAP, если прежде он не был добавлен.

        Если вы удалили пользовательский атрибут в Параметрах подключения к LDAP, удалите вручную строку с атрибутом из таблицы сопоставления в коллекторе. Информация об атрибутах учетных записей в KUMA обновляется каждый раз после того, как вы выполните импорт учетных записей.  

     2. Импортируйте учетные записи.
     3. В коллекторе в таблице Обогащение полей KUMA задайте правила сопоставления полей KUMA с атрибутами LDAP.
     4. Перезапустите коллектор.

        После перезапуска коллектора KUMA начнет обогащать события учётными записями.

         

   • В столбце Поле для записи данных укажите, в какое поле события KUMA следует поместить идентификатор пользовательской учетной записи, импортированной из LDAP, если сопоставление было успешно.

   С помощью кнопки Добавить строку в таблицу можно добавить строку, а с помощью кнопки – удалить. С помощью кнопки Применить сопоставление по умолчанию можно заполнить таблицу сопоставления стандартными значениями.

В блок ресурсов для коллектора добавлены правила обогащения события данными, полученными из LDAP.

При добавлении в существующий коллектор обогащения с помощью LDAP или изменении параметров обогащения требуется остановить и запустить сервис снова.

Перейдите к следующему шагу мастера установки.