Активные листы
Ресурсы активных листов – это динамически обновляемые контейнеры данных, используемые корреляторами KUMA для чтения и записи информации при анализе событий по правилам корреляции.
Параметры ресурса активный лист:
- Идентификатор – идентификатор активного листа. Этот параметр отображается у созданных активных листов. Значение можно скопировать с помощью кнопки
. - Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Срок жизни – время в секундах, в течение которого в активном листе будет храниться добавленная в него запись. Значение по умолчанию:
0. Максимальный срок жизни:31536000(один год). При истечении срока жизни запись удаляется, при этом создается событие удаления записи из активного листа (см. ниже). - Описание – вы можете добавить до 256 символов Юникода, описывающих ресурс.
В процессе корреляции при удалении записей из активных листов в корреляторах создаются служебные события. Эти события существуют только в корреляторах, они не перенаправляются в другие точки назначения. Правила корреляции можно настроить на отслеживание этих событий, чтобы с их помощью распознавать угрозы. Поля служебных событий удаления записи из активного листа описаны ниже.
Поле события |
Значение или комментарий |
|
Идентификатор события |
|
Время удаления записи, срок жизни которой истек |
|
|
|
|
|
|
|
Идентификатор коррелятора |
|
Название коррелятора |
|
Идентификатор активного листа |
|
Ключ записи, чей срок жизни истек. |
|
Увеличенное на единицу количество обновлений удаленной записи |