Правила принадлежности к тенантам

Правила наследования тенанта

Важно отслеживать, какому тенанту принадлежат создаваемые в KUMA объекты: от этого зависит, кто к ним будет иметь доступ и взаимодействие с какими объектами можно настроить. Правила определения тенанта:

• Тенант объекта (например, сервиса или ресурса) определяется пользователем при его создании.

  После создания объекта выбранный для него тенант невозможно изменить. Ресурсы, однако, можно экспортировать, а затем импортировать в другой тенант.

• Тенант алерта и корреляционного события наследуется от создавшего их коррелятора.

  Название тенанта указывается в поле события TenantId.

• Если события разных тенантов, обрабатываемых одним коррелятором, не смешиваются, создаваемые коррелятором корреляционные события наследуют тенант события.
• Тенант инцидента наследуется от алерта.

Примеры мультитенантных взаимодействий

Мультитенантность в KUMA дает возможность централизованно расследовать алерты и инциденты, возникающие в разных тенантах. Ниже приведены сценарии, по которым можно проследить, к каким тенантам принадлежат создаваемые объекты.

При корреляции событий от разных тенантов в общем потоке не следует группировать события по тенанту: то есть не нужно в правилах корреляции в поле Группирующие поля указывать поле события TenantId. Группировка событий по тенанту необходима, только если нужно не смешивать события от разных тенантов.

Сервисы, которые должны быть размещены на мощностях главного тенанта, разворачиваются только пользователями с ролью главный администратор.

• Корреляция событий в рамках одного тенанта, коррелятор выделен для этого тенанта и развернут на его стороне

  Условие:

  Коллектор и коррелятор принадлежат тенанту 2 (tenantID=2)

  Сценарий:

  1. Коллектор тенанта 2 получает и отправляет события в коррелятор тенанта 2.
  2. При срабатывании корреляционных правил в корреляторе создаются корреляционные события с идентификатором тенанта tenantID=2.
  3. Коррелятор отправляет корреляционные события в раздел хранилища для тенанта 2.
  4. Создается алерт, привязанный к тенанту с идентификатором tenantID=2.
  5. К алерту привязываются события, из-за которых он был создан.

  Инцидент создается пользователем вручную. Тенант инцидента определяется тенантом пользователя. Алерт привязывается к инциденту вручную или автоматически.

• Корреляция событий в рамках одного тенанта, коррелятор выделен для этого тенанта и развернут на стороне главного тенанта

  Условие:

  • Коллектор развернут на тенанте 2 и принадлежат ему (tenantID=2).
  • Коррелятор развернут на стороне главного тенанта.

    Принадлежность коррелятора определяется главным администратором в зависимости того, кто будет расследовать инциденты тенанта 2: сотрудники главного тенанта или тенанта 2. Принадлежность алерта и инцидента зависит от принадлежности коррелятора.

  Сценарий 1. Коррелятор принадлежит тенанту 2 (tenantID=2):

  1. Коллектор тенанта 2 получает и отправляет события в коррелятор.
  2. При срабатывании корреляционных правил в корреляторе создаются корреляционные события с идентификатором тенанта tenantID=2.
  3. Коррелятор отправляет корреляционные события в раздел хранилища тенанта 2.
  4. Создается алерт, привязанный к тенанту с идентификатором tenantID=2.
  5. К алерту привязываются события, из-за которых он был создан.

  Результат 1:

  • Созданный алерт и привязанные к нему события доступны сотрудникам тенанта 2.

  Сценарий 2. Коррелятор принадлежит главному тенанту (tenantID=1):

  1. Коллектор тенанта 2 получает и отправляет события в коррелятор.
  2. При срабатывании корреляционных правил в корреляторе создаются корреляционные события с идентификатором тенанта tenantID=1.
  3. Коррелятор отправляет корреляционные события в раздел хранилища главного тенанта.
  4. Создается алерт, привязанный к тенанту с идентификатором tenantID=1.
  5. К алерту привязываются события, из-за которых он был создан.

  Результат 2:

  • Алерт и привязанные к нему события недоступны сотрудникам тенанта 2.
  • Алерт и привязанные к нему события доступны сотрудникам главного тенанта.
• Централизованная корреляция событий, поступающих от разных тенантов

  Условие:

  • Развернуто два коллектора: на тенанте 2 и тенанте 3. Оба коллектора отправляют события в один коррелятор.
  • Коррелятор принадлежит главному тенанту. Правило корреляции ожидает события от обоих тенантов.

  Сценарий:

  1. Коллектор тенанта 2 получает и отправляет события в коррелятор главного тенанта.
  2. Коллектор тенанта 3 получает и отправляет события в коррелятор главного тенанта.
  3. При срабатывании корреляционного правила в корреляторе создаются корреляционные события с идентификатором тенанта tenantID=1.
  4. Коррелятор отправляет корреляционные события в раздел хранилища главного тенанта.
  5. Создается алерт, привязанный к главному тенанту с идентификатором tenantID=1.
  6. К алерту привязываются события, из-за которых он был создан.

  Результат:

  • Алерт и привязанные к нему события недоступны сотрудникам тенанта 2.
  • Алерт и привязанные к нему события недоступны сотрудникам тенанта 3.
  • Алерт и привязанные к нему события доступны сотрудникам главного тенанта.
• Тенант коррелирует свои события, но в главном тенанте дополнительно осуществляется централизованная корреляция событий

  Условие:

  • Развернуто два коллектора: на главном тенанте и тенанте 2.
  • Развернуто два коррелятора:
    • Коррелятор 1 принадлежит главному тенанту и принимает события с коллектора главного тенанта и коррелятора 2.
    • Коррелятор 2 принадлежит тенанту 2 и принимает события с коллектора тенанта 2.

  Сценарий:

  1. Коллектор тенанта 2 получает и отправляет события в коррелятор 2.
  2. При срабатывании корреляционного правила в корреляторе тенанта 2 создаются корреляционные события с идентификатором тенанта tenantID=2.
     • Коррелятор 2 отправляет корреляционные события в раздел хранилища тенанта 2.
     • Создается алерт 1, привязанный к тенанту с идентификатором tenantID=2.
     • К алерту привязываются события, из-за которых он был создан.
     • Корреляционные события от коррелятора тенанта 2 отправляются в коррелятор 1.
  3. Коллектор главного тенанта получает и отправляет события в коррелятор 1.
  4. В корреляторе 1 обрабатываются события обоих тенантов. При срабатывании корреляционного правила создаются корреляционные события с идентификатором тенанта tenantID=1.
     • Коррелятор 1 отправляет корреляционные события в раздел хранилища главного тенанта.
     • Создается алерт 2, привязанный к тенанту с идентификатором tenantID=1.
     • К алерту привязываются события, из-за которых он был создан.

  Результат:

  • Алерт 2 и привязанные к нему события недоступны сотрудникам тенанта 2.
  • Алерт 2 и привязанные к нему события доступны сотрудникам главного тенанта.
• Один коррелятор для двух тенантов

  Если вы не хотите, чтобы при корреляции события от разных тенантов смешивались, в правилах корреляции в поле Группирующие поля следует указывать поле события TenantId. В таком случае алерт наследует тенант от коррелятора.

  Условие:

  • Развернуто два коллектора: на тенанте 2 и тенанте 3.
  • Развернут один коррелятор, принадлежащий главному тенанту (tenantID=1). Он принимает события от обоих тенантов, но обрабатывает их независимо друг от друга.

  Сценарий:

  1. Коллектор тенанта 2 получает и отправляет события в коррелятор.
  2. Коллектор тенанта 3 получает и отправляет события в коррелятор.
  3. При срабатывании корреляционного правила в корреляторе создаются корреляционные события с идентификатором тенанта tenantID=1.
     • Коррелятор отправляет корреляционные события в раздел хранилища главного тенанта.
     • Создается алерт, привязанный к главному тенанту с идентификатором tenantID=1.
     • К алерту привязываются события, из-за которых он был создан.

  Результат:

  • Алерты, созданные на основе событий от тенанта 2 и 3, недоступны сотрудникам тенантов 2 и 3.
  • Алерты и привязанные к ним события доступны сотрудникам главного тенанта.