Это необязательный шаг мастера установки. В закладке мастера установки Обогащение можно выбрать или создать ресурс правил обогащения с указанием, какими данными и из каких источников следует дополнить создаваемые коррелятором корреляционные события. Правил обогащения может быть несколько. Их можно добавить с помощью кнопки Добавить или удалить с помощью кнопки .
Чтобы добавить в набор ресурсов существующее правило обогащения:
Нажмите Добавить.
Откроется блок параметров правила обогащения.
В раскрывающемся списке Правило обогащения выберите нужный ресурс.
Правило обогащения добавлено в набор ресурсов для коррелятора.
Чтобы создать в наборе ресурсов новое правило обогащения:
Нажмите Добавить.
Откроется блок параметров правила обогащения.
В раскрывающемся списке Правило обогащения выберите Создать.
В раскрывающемся списке Тип источника данных выберите, откуда будут поступать данные для обогащения, и заполните относящиеся к ним параметры:
Этот тип обогащения используется, если в поле события необходимо добавить константу.
При выборе этого типа необходимо указать в поле Константа значение, которое следует добавить в поле события. Значение должно состоять не более чем из 255 символов Юникода. Если оставить это поле пустым, существующее значение поля события будет удалено.
Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря.
При выборе этого типа в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.
Этот тип обогащения используется, если в поле события необходимо записать значение другого поля события.
При выборе этого типа в раскрывающемся списке Исходное поле необходимо выбрать поле события, значение которого будет записано в целевое поле.
В блоке параметров Преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA. Тип преобразования можно выбрать в раскрывающемся списке. С помощью кнопок Добавить преобразование и Удалить можно добавить или удалить преобразование. Порядок преобразований имеет значение.
Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.
Доступные преобразования:
lower – используется для перевода всех символов значения в нижний регистр
upper – используется для перевода всех символов значения в верхний регистр
regexp – используется для применения к значению регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
substring – используется для удаления символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
trim – используется для удаления с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования.
append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
Этот тип обогащения используется для отправки запросов на DNS-сервер частной сети для преобразования IP-адресов в доменные имена или наоборот.
Доступные параметры:
URL – в этом поле можно указать URL DNS-сервера, которому вы хотите отправлять запросы. С помощью кнопки Добавить URL можно указать несколько URL.
Запросов в секунду – максимальное количество запросов к серверу в секунду. Значение по умолчанию: 1000.
Рабочие процессы – максимальное количество запросов в один момент времени. Значение по умолчанию: 1.
Количество задач – максимальное количество одновременно выполняемых запросов. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
Срок жизни кеша – время жизни значений, хранящихся в кеше. Значение по умолчанию: 60.
Кеш отключен – с помощью этого раскрывающегося списка можно включить или отключить кеширование. По умолчанию кеширование включено.
Этот тип обогащения используется для добавления в поля события сведений из потоков данных CyberTrace.
Доступные параметры:
URL (обязательно) – в этом поле можно указать URL сервера CyberTrace, которому вы хотите отправлять запросы.
Количество подключений – максимальное количество подключений к серверу CyberTrace, которые может одновременно установить KUMA. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
Запросов в секунду – максимальное количество запросов к серверу в секунду. Значение по умолчанию: 1000.
Время ожидания – время ожидания отклика от сервера CyberTrace в секундах. Значение по умолчанию: 30.
Сопоставление (обязательно) – этот блок параметров содержит таблицу сопоставления полей событий KUMA с типами индикаторов CyberTrace. В столбце Поля KUMA указаны названия полей событий KUMA, а в столбце Индикатор CyberTrace указаны типы индикаторов CyberTrace.
Доступные типы индикаторов CyberTrace:
ip
url
hash
В таблице сопоставления требуется указать как минимум одну строку. С помощью кнопки Добавить строку можно добавить строку, а с помощью кнопки – удалить.
В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
С помощью раскрывающегося списка Отладка укажите, следует ли включить логирование операций сервиса. По умолчанию логирование выключено.
В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом правила обогащения. В раскрывающемся списке можно выбрать существующий ресурс фильтра или выбрать Создать, чтобы создать новый фильтр.
В раскрывающемся меню Фильтр выберите пункт Создать.
Если хотите сохранить фильтр в качестве отдельного ресурса, включите переключатель Сохранить фильтр. Это может оказаться полезным, если вы решите использовать один и тот же фильтр в разных сервисах. По умолчанию переключатель выключен.
Если вы включили переключатель Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
В разделе условия задайте условия, которым должны соответствовать отсеиваемые события:
С помощью кнопки Добавить условие добавляются условия фильтра, можно выбрать два значения (левый и правый операнды) и назначить операцию, которую вы хотите выполнить с выбранными значениями. Результат операции – Истина (True) или Ложь (False).
В раскрывающемся списке оператор необходимо выбрать функцию, которую должен выполнять фильтр.
<= – левый операнд меньше или равен правому операнду.
> – левый операнд больше правого операнда.
>= – левый операнд больше или равен правому операнду.
inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
contains – левый операнд содержит значения правого операнда.
startsWith – левый операнд начинается с одного из значений правого операнда.
endsWith – левый операнд заканчивается одним из значений правого операнда.
match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
inActiveList – этот фильтр имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
inCategory – устройству в левом операнде назначается по крайней мере одна из категорий устройств правого операнда.
inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
С помощью флажка с учетом регистра в раскрывающемся списке оператор можно указать, требуется ли учитывать регистр значений, переданных в фильтр. По умолчанию флажок снят.
В раскрывающихся списках Левый операнд и Правый операнд необходимо выбрать, откуда поступят данные, с которыми произведет действие фильтр. В результате выбора появляются дополнительные параметры, с помощью которых необходимо точно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.
С помощью раскрывающегося списка Если можно выбрать, требуется ли создать отрицательное условие фильтра.
Условие можно удалить с помощью кнопки .
С помощью кнопки Добавить группу добавляются группы условий. Оператор И можно переключать между значениями И, ИЛИ, НЕ.
Группу условий можно удалить с помощью кнопки .
С помощью кнопки Добавить фильтр в условия добавляются существующие ресурсы фильтров, которые выбираются в раскрывающемся списке Выберите фильтр. В ресурс вложенного фильтра можно перейти с помощью кнопки .
Вложенный фильтр можно удалить с помощью кнопки .
В набор ресурсов для коррелятора добавлено новое правило обогащения.
.
.