Это необязательный шаг мастера установки. В закладке мастера установки Реагирование можно выбрать или создать ресурс правил реагирования с указанием, какие действия требуется выполнить при срабатывании правил корреляции. Правил реагирования может быть несколько. Их можно добавить с помощью кнопки Добавить или удалить с помощью кнопки .
Чтобы добавить в набор ресурсов существующее правило реагирования:
Нажмите Добавить.
Откроется окно с параметрами правила реагирования.
В раскрывающемся списке Правило реагирования выберите нужный ресурс.
Правило реагирования добавлено в набор ресурсов для коррелятора.
Чтобы создать в наборе ресурсов новое правило реагирования:
Нажмите Добавить.
Откроется окно с параметрами правила реагирования.
В раскрывающемся списке Правило реагирования выберите Создать.
В раскрывающемся списке Тип выберите тип правила реагирования и заполните относящиеся к ним параметры:
ksctasks – если настроена интеграция KUMA и Kaspersky Security Center, можно настроить правила реагирования на запуск задач Kaspersky Security Center, связанных с активами. Например, можно запустить антивирусную проверку или обновление базы данных. Такие задачи можно стартовать только для активов, импортированных из Kaspersky Security Center.
Задача Kaspersky Security Center (обязательно) – название задачи Kaspersky Security Center, которую требуется запустить. Задачи должны быть созданы заранее, и их названия должны начинаться со слова "KUMA ". Например, "KUMA antivirus check".
Поле события (обязательно) – определяет поле события для актива, для которого нужно запустить задачу Kaspersky Security Center. Возможные значения:
SourceAssetID
DestinationAssetID
DeviceAssetID
Для отправки запросов в Kaspersky Security Center необходимо убедиться, что Kaspersky Security Center доступен по протоколу UDP.
script – используется для выполнения последовательности команд, записанных в файл. Файл скрипта хранится на сервере, где установлен сервис коррелятора, использующий ресурс реагирования: /opt/kaspersky/kuma/correlator/<Идентификатор коррелятора>/scripts. Пользователь kuma этого сервера должен иметь права на запуск скрипта.
Время ожидания – количество секунд, которое выждет система, прежде чем запустить скрипт.
Название скрипта (обязательно) – имя файла скрипта.
Если ресурс реагирования прикреплен к сервису коррелятора, однако в папке /opt/kaspersky/kuma/correlator/<Идентификатор коррелятора>/scripts файл скрипта отсутствует, коррелятор не будет работать.
Аргументы скрипта – параметры или значения полей событий, которые необходимо передать скрипту.
Если в скрипте производятся какие-либо действия с файлами, к ним следует указывать абсолютный путь.
Параметры можно обрамлять кавычками (").
Имена полей событий передаются в формате {{.EventField}}, где EventField – это имя поля события, значение которого должно быть передано в скрипт.
Пример: -n "\"usr\": {{.SourceUserName}}"
При необходимости в поле Рабочие процессы укажите количество рабочих процессов, которые одновременно могут быть заняты задачами реагирования.
В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом правила реагирования. В раскрывающемся списке можно выбрать существующий ресурс фильтра или выбрать Создать, чтобы создать новый фильтр.
Если вы хотите сохранить фильтр в качестве отдельного ресурса, включите переключатель Сохранить фильтр.
В этом случае вы сможете использовать созданный фильтр в разных сервисах.
По умолчанию переключатель выключен.
Если вы включили переключатель Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
В блоке параметров Условия задайте условия, которым должны соответствовать события:
Нажмите на кнопку Добавить условие.
В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.
В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.
В раскрывающемся списке оператор выберите нужный вам оператор.
<= – левый операнд меньше или равен правому операнду.
> – левый операнд больше правого операнда.
>= – левый операнд больше или равен правому операнду.
inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
contains – левый операнд содержит значения правого операнда.
startsWith – левый операнд начинается с одного из значений правого операнда.
endsWith – левый операнд заканчивается одним из значений правого операнда.
match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.
Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.
По умолчанию флажок снят.
Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
Вы можете добавить несколько условий или группу условий.
Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.
Параметры вложенного фильтра можно просмотреть, нажав на кнопку .
В набор ресурсов для коррелятора добавлено новое правило реагирования.
.
.