Создание набора ресурсов для агента

Сервис агента в веб-интерфейсе KUMA создается на основе набора ресурсов для агента, в котором объединяются коннекторы и точки назначения.

Чтобы создать набор ресурсов для агента в веб-интерфейсе KUMA:

В веб-интерфейсе KUMA в разделе Ресурсы → Агенты нажмите Добавить агент.
Откроется окно создания агента с активной закладкой Общие параметры.
Заполните параметры в закладке Общие параметры:
- В поле Название агента введите уникальное имя создаваемого сервиса. Название должно содержать от 1 до 128 символов Юникода.
- В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать хранилище.
- При необходимости установите флажок Отладка, чтобы включить логирование операций сервиса.
- В поле Описание можно добавить описание сервиса: до 256 символов Юникода.
Создайте подключение для агента с помощью кнопки и переключитесь на добавленную закладку Подключение <номер>.
Закладки можно удалять с помощью кнопки .
В блоке параметров Коннектор добавьте ресурс коннектора:
- Если хотите выбрать существующий ресурс, выберите его в раскрывающемся списке.
- Если хотите создать новый ресурс, выберите в раскрывающемся списке Создать и укажите его параметры:
  - В поле Название укажите имя коннектора. Название должно содержать от 1 до 128 символов Юникода.
  - В раскрывающемся списке Тип выберите тип коннектора и укажите его параметры в закладках Основные параметры и Дополнительные параметры. Набор доступных параметров зависит от выбранного типа коннектора:
    - tcp
    - udp
    - nats
    - kafka
    - http
    - file
    - ftp
    - nfs
    - wmi
    - wec
    - snmp
    Типом агента считается тип использованного в нем коннектора.
    
    При использовании типа коннектора tcp или upd на этапе нормализации в поле событий DeviceAddress, если она пустая, будут записаны IP-адреса устройств, с которых были получены события.
- В поле Описание можно добавить описание ресурса: до 256 символов Юникода.
Ресурс коннектора добавлен в выбранное подключение набора ресурсов агента. Созданный ресурс доступен только в этом наборе ресурсов и не отображается в разделе веб-интерфейса Ресурсы → Коннекторы.
В блоке параметров Точки назначения добавьте ресурсы точек назначения. Агенты могут перенаправлять данные только в коллекторы.
- Если хотите выбрать существующий ресурс, выберите его в раскрывающемся списке.
- Если хотите создать новый ресурс, выберите в раскрывающемся списке Создать и укажите его параметры.
  Параметры точки назначения
  1. Укажите параметры в закладке Основные параметры:
    - Введите в поле Название уникальное имя для точки назначения. Название должно содержать от 1 до 128 символов Юникода.
    - С помощью переключателя Выключено, выберите, будут ли события отправляться в эту точку назначения. По умолчанию отправка событий включена.
    - Выберите Тип точки назначения: nats, tcp, http, kafka или file.
    - Укажите URL, куда следует отправлять события.
      Для всех типов, кроме nats и file с помощью кнопки URL можно указать несколько адресов отправки, если в вашу лицензию KUMA включен модуль High Level Availability.
    - Для типов nats и kafka в поле Топик укажите, в какой в какой топик должны записываться данные. Топик должен содержать от 1 до 255 символов Юникода.
    - В поле Описание можно добавить описание ресурса: до 256 символов Юникода
  2. При необходимости укажите параметры в закладке Дополнительные параметры. Доступные параметры зависят от выбранного типа точки назначения:
    - Сжатие – раскрывающийся список, в котором можно включить сжатие Snappy. По умолчанию сжатие Выключено.
    - Прокси-сервер – раскрывающийся список для выбора ресурса прокси-сервера.
    - Размер буфера – поле, в котором можно указать размер буфера (в байтах) для ресурса точки назначения. Значение по умолчанию: 1 МБ; максимальное: 64 МБ.
    - Время ожидания – поле, в котором можно указать время ожидания (в секундах) ответа другого сервиса или компонента. Значение по умолчанию: 30.
    - Размер дискового буфера – поле, в котором можно указать размер дискового буфера в байтах. По умолчанию размер равен 10 ГБ.
    - Идентификатор хранилища – идентификатор хранилища NATS.
    - Режим TLS – раскрывающийся список, в котором можно указать условия использование шифрования TLS:
      Выключено (по умолчанию) – не использовать шифрование TLS.
      Включено – использовать шифрование, но без верификации.
      С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
      При использовании TLS невозможно указать IP-адрес в качестве URL.
    - Политика выбора URL – раскрывающийся список, в котором можно выбрать способ определения, на какой URL следует отправлять события, если URL было указано несколько:
      Любой
      Сначала первый
      По очереди
    - Разделитель – этот раскрывающийся список используется для указания символа, определяющего границу между событиями. По умолчанию используется \n.
    - Путь – путь к файлу, если выбран тип точки назначения file.
    - Очистка буфера – это поле используется для установки времени (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 100.
    - Рабочие процессы – это поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
    - Вы можете установить проверки работоспособности, используя поля Путь проверки работоспособности и Ожидание проверки работоспособности. Вы также можете отключить проверку работоспособности, установив флажок Проверка работоспособности отключена.
    - Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
    - С помощью раскрывающегося списка Дисковый буфер можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер отключен.
    - В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом правила агрегации. В раскрывающемся списке можно выбрать существующий ресурс фильтра или выбрать Создать, чтобы создать новый фильтр.
      Создание фильтра в ресурсах
      
      В раскрывающемся списке Фильтр выберите Создать.
      Если вы хотите сохранить фильтр в качестве отдельного ресурса, включите переключатель Сохранить фильтр.
      В этом случае вы сможете использовать созданный фильтр в разных сервисах.
      
      По умолчанию переключатель выключен.
      
      Если вы включили переключатель Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
      В блоке параметров Условия задайте условия, которым должны соответствовать события:
      Нажмите на кнопку Добавить условие.
      В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.
      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.
      
      В раскрывающемся списке оператор выберите нужный вам оператор.
      Операторы фильтров
      
      = – левый операнд равен правому операнду.
      < – левый операнд меньше правого операнда.
      <= – левый операнд меньше или равен правому операнду.
      > – левый операнд больше правого операнда.
      >= – левый операнд больше или равен правому операнду.
      inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      contains – левый операнд содержит значения правого операнда.
      startsWith – левый операнд начинается с одного из значений правого операнда.
      endsWith – левый операнд заканчивается одним из значений правого операнда.
      match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.
      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.
      
      По умолчанию флажок снят.
      
      Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
      Вы можете добавить несколько условий или группу условий.
      Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
      Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.
      Параметры вложенного фильтра можно просмотреть, нажав на кнопку .
  Дополнительные параметры точки назначения агента (например, сжатие и режим TLS) должны совпадать с дополнительными параметрами точки назначения коллектора, с которым вы хотите связать агент.
Точек назначения может быть несколько. Их можно добавить с помощью кнопки Добавить точку назначения и удалить с помощью кнопки .
Повторите шаги 3–5 для каждого подключения агента, которое вы хотите создать.
Нажмите Сохранить.

Набор ресурсов для агента создан и отображается в разделе Ресурсы → Агенты. Теперь можно создать сервис агента в KUMA.

В начало