Шаг 4. Реагирование

Это необязательный шаг мастера установки. В закладке мастера установки Реагирование можно выбрать или создать ресурс правил реагирования с указанием, какие действия требуется выполнить при срабатывании правил корреляции. Правил реагирования может быть несколько. Их можно добавить с помощью кнопки Добавить или удалить с помощью кнопки cross .

Чтобы добавить в набор ресурсов существующее правило реагирования:

Нажмите Добавить.
Откроется окно с параметрами правила реагирования.
В раскрывающемся списке Правило реагирования выберите нужный ресурс.

Правило реагирования добавлено в набор ресурсов для коррелятора.

Чтобы создать в наборе ресурсов новое правило реагирования:

Нажмите Добавить.
Откроется окно с параметрами правила реагирования.
В раскрывающемся списке Правило реагирования выберите Создать.
В раскрывающемся списке Тип выберите тип правила реагирования и заполните относящиеся к ним параметры:
- ksctasks – если настроена интеграция KUMA и Kaspersky Security Center, можно настроить правила реагирования на запуск задач Kaspersky Security Center, связанных с устройствами. Например, можно запустить антивирусную проверку или обновление базы данных. Такие задачи можно стартовать только для устройств, импортированных из Kaspersky Security Center.
  Параметры реагирования типа ksctasks
  - Задача Kaspersky Security Center (обязательно) – название задачи Kaspersky Security Center, которую требуется запустить. Задачи должны быть созданы заранее, и их названия должны начинаться со слова "KUMA ". Например, "KUMA antivirus check".
  - Поле события (обязательно) – определяет поле события для устройства, для которого нужно запустить задачу Kaspersky Security Center. Возможные значения:
    - SourceAssetID
    - DestinationAssetID
    - DeviceAssetID
  Для отправки запросов в Kaspersky Security Center необходимо убедиться, что Kaspersky Security Center доступен по протоколу UDP.
- script – используется для выполнения последовательности команд, записанных в файл. Файл скрипта хранится на сервере, где установлен сервис коррелятора, использующий ресурс реагирования: /opt/kaspersky/kuma/correlator/<Идентификатор коррелятора>/scripts. Пользователь kuma этого сервера должен иметь права на запуск скрипта.
  Параметры реагирования типа script
  - Время ожидания – количество секунд, которое выждет система, прежде чем запустить скрипт.
  - Название скрипта (обязательно) – имя файла скрипта.
    Если ресурс реагирования прикреплен к сервису коррелятора, однако в папке /opt/kaspersky/kuma/correlator/<Идентификатор коррелятора>/scripts файл скрипта отсутствует, коррелятор не будет работать.
  - Аргументы скрипта – параметры или значения полей событий, которые необходимо передать скрипту.
    Если в скрипте производятся какие-либо действия с файлами, к ним следует указывать абсолютный путь.
    
    Параметры можно обрамлять кавычками (").
    
    Имена полей событий передаются в формате {{.EventField}}, где EventField – это имя поля события, значение которого должно быть передано в скрипт.
    
    Пример: -n "\"usr\": {{.SourceUserName}}"
При необходимости в поле Рабочие процессы укажите количество рабочих процессов, которые одновременно могут быть заняты задачами реагирования.
В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом правила реагирования. В раскрывающемся списке можно выбрать существующий ресурс фильтра или выбрать Создать, чтобы создать новый фильтр.
Создание фильтра в ресурсах
1. В раскрывающемся меню Фильтр выберите пункт Создать.
2. Если хотите сохранить фильтр в качестве отдельного ресурса, включите переключатель Сохранить фильтр. Это может оказаться полезным, если вы решите использовать один и тот же фильтр в разных сервисах. По умолчанию переключатель выключен.
3. Если вы включили переключатель Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
4. В разделе условия задайте условия, которым должны соответствовать отсеиваемые события:
  - С помощью кнопки Добавить условие добавляются условия фильтра, можно выбрать два значения (левый и правый операнды) и назначить операцию, которую вы хотите выполнить с выбранными значениями. Результат операции – Истина (True) или Ложь (False).
    - В раскрывающемся списке оператор необходимо выбрать функцию, которую должен выполнять фильтр.
      Операторы фильтров
      
      = – левый операнд равен правому операнду.
      < – левый операнд меньше правого операнда.
      <= – левый операнд меньше или равен правому операнду.
      > – левый операнд больше правого операнда.
      >= – левый операнд больше или равен правому операнду.
      inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      contains – левый операнд содержит значения правого операнда.
      startsWith – левый операнд начинается с одного из значений правого операнда.
      endsWith – левый операнд заканчивается одним из значений правого операнда.
      match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      inActiveList – этот фильтр имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      inCategory – устройству в левом операнде назначается по крайней мере одна из категорий устройств правого операнда.
      inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      С помощью флажка с учетом регистра в раскрывающемся списке оператор можно указать, требуется ли учитывать регистр значений, переданных в фильтр. По умолчанию флажок снят.
    - В раскрывающихся списках Левый операнд и Правый операнд необходимо выбрать, откуда поступят данные, с которыми произведет действие фильтр. В результате выбора появляются дополнительные параметры, с помощью которых необходимо точно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.
    - С помощью раскрывающегося списка Если можно выбрать, требуется ли создать отрицательное условие фильтра.
    Условие можно удалить с помощью кнопки .
  - С помощью кнопки Добавить группу добавляются группы условий. Оператор И можно переключать между значениями И, ИЛИ, НЕ.
    Группу условий можно удалить с помощью кнопки .
  - С помощью кнопки Добавить фильтр в условия добавляются существующие ресурсы фильтров, которые выбираются в раскрывающемся списке Выберите фильтр. В ресурс вложенного фильтра можно перейти с помощью кнопки .
    Вложенный фильтр можно удалить с помощью кнопки .

В набор ресурсов для коррелятора добавлено новое правило реагирования.

Перейдите к следующему шагу мастера установки.

В начало