Активные листы
Ресурсы активных листов – это динамически обновляемые контейнеры данных, используемые корреляторами KUMA для чтения и записи информации при анализе событий по правилам корреляции.
Один и тот же ресурс активного листа может быть использован разными сервисами корреляторов, однако при этом для каждого коррелятора создается своя сущность активного листа. Таким образом, содержимое активных листов, используемых разными корреляторами, различается, даже если идентификатор и название активных листов одинаковые. Содержимое активного листа можно открыть из окна активных сервисов.
Параметры ресурса активный лист:
- Идентификатор – идентификатор активного листа. Этот параметр отображается у созданных активных листов. Значение можно скопировать с помощью кнопки
. - Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Срок жизни – время в секундах, в течение которого в активном листе будет храниться добавленная в него запись. Значение по умолчанию:
0. Максимальный срок жизни:31536000(один год). При истечении срока жизни запись удаляется, при этом создается событие удаления записи из активного листа (см. ниже). - Описание – вы можете добавить до 256 символов Юникода, описывающих ресурс.
В процессе корреляции при удалении записей из активных листов в корреляторах создаются служебные события. Эти события существуют только в корреляторах, они не перенаправляются в другие точки назначения. Правила корреляции можно настроить на отслеживание этих событий, чтобы с их помощью распознавать угрозы. Поля служебных событий удаления записи из активного листа описаны ниже.
Поле события |
Значение или комментарий |
|
Идентификатор события |
|
Время удаления записи, срок жизни которой истек |
|
|
|
|
|
|
|
Идентификатор коррелятора |
|
Название коррелятора |
|
Идентификатор активного листа |
|
Ключ записи, чей срок жизни истек. |
|
Увеличенное на единицу количество обновлений удаленной записи |