Kaspersky Unified Monitoring and Analysis Platform
2.0
Русский
Аналитика  >  Виджеты

Виджеты

Виджеты в KUMA используются для получения аналитики для панели мониторинга и отчетов.

При нажатии на заголовки или легенду виджетов событиях, алертах, инцидентах или активных листах открывается соответствующий раздел веб-интерфейса KUMA с данными из виджета, полученными с помощью фильтров раздела и/или поисковым запросом. Подробнее см. ниже. Этот функционал недоступен в режиме создания и редактирования макетов.

Если в виджете настроено деление периода, по которому строится аналитика, на отрезки, то значения или графики будут отображаться парами: аналитика за текущий отрезок периода (пользовательский цвет) и аналитика за предыдущий отрезок периода (серый цвет).

Виджеты организованы в группы, каждая из которых связана с типом аналитики, которую она предоставляет. В KUMA доступны следующие группы виджетов и виджеты:

  • События – виджет для создания аналитики на основе событий.

    При нажатии на заголовок этого виджета можно перейти в раздел События веб-интерфейса KUMA. При этом для запроса событий из виджета применяется SQL-запрос, указанный в виджете. Запрос указывается без группировки (за исключением табличных графиков), но с учетом условий, указанных в параметре WHERE. Параметр LIMIT в запросе принимается равным 250.

  • Активные листы – виджет для создания аналитики на основе активных листов корреляторов.

    При нажатии на заголовок этого виджета можно перейти в раздел активного листа, по которому строится аналитика виджета.

  • Алерты – группа для аналитики об алертах. При нажатии на заголовок или легенду виджетов этой группы можно перейти в раздел Алерты веб-интерфейса KUMA для подробного просмотра данных из виджета.

    В группу входят следующие виджеты:

    • Активные алерты – количество незакрытых алертов.
    • Активные алерты по тенантам – количество незакрытых алертов, сгруппированных по тенантам.
    • Алерты по тенантам – количество алертов всех статусов, сгруппированных по тенантам.
    • Неназначенные алерты – количество алертов со статусом Новый.
    • Алерты по исполнителю – количество назначенных алертов, сгруппированных по исполнителю.
    • Алерты по статусу – количество алертов, сгруппированных по статусу.
    • Алерты по уровню важности – количество незакрытых алертов, сгруппированных по уровню важности.
    • Алерты по правилу корреляции – количество незакрытых алертов, сгруппированных по правилам корреляции. Для этого виджета недоступны подробные сведения по нажатию на заголовок виджета.
    • Последние алерты – таблица, содержащая последние 10 незакрытых алертов. Если незакрытых алертов в выбранных в виджете тенантах больше 10, часть из них отображаться не будет.
    • Распределение алертов – количество алертов, созданных в течение указанного в виджете периода.
  • Активы – группа для аналитики об активах из обработанных событий. В эту группу входят следующие виджеты:
    • Затронутые активы – таблица связанных с алертами активов, в которой указан уровень важности актива и количество незакрытых алертов, с которыми он связан.
    • Категории затронутых активов – категории активов, привязанных к незакрытым алертам.
    • Количество активов – количество активов, добавленных в KUMA.
    • Активы в инцидентах по тенантам – количество активов в незакрытых инцидентах, сгруппированных по тенантам.
    • Активы в алертах по тенантам – количество активов в незакрытых алертах, сгруппированных по тенантам.
  • Инциденты – группа для аналитики об инцидентах. При нажатии на заголовок или легенду виджетов этой группы можно перейти в раздел Инциденты веб-интерфейса KUMA для подробного просмотра данных из виджета.

    В группу входят следующие виджеты:

    • Активные инциденты – количество незакрытых инцидентов.
    • Неназначенные инциденты – количество инцидентов со статусом Открыт.
    • Распределение инцидентов – количество инцидентов, созданных в течение указанного в виджете периода.
    • Инциденты по исполнителю – количество инцидентов со статусом Назначен, сгруппированных по пользователям KUMA.
    • Инциденты по статусам – количество инцидентов, сгруппированных по статусам.
    • Инциденты по уровню важности – количество незакрытых инцидентов, сгруппированных по уровню важности. Доступные типы диаграмм: круговая, столбчатая.
    • Активные инциденты по тенантам – количество незакрытых инцидентов, сгруппированных по тенантам, доступным пользователю.
    • Все инциденты – количество инцидентов всех статусов.
    • Все инциденты по тенантам – количество инцидентов всех статусов, сгруппированных по тенантам.
    • Активы в инцидентах – количество активов в незакрытых инцидентах. Для этого виджета недоступны подробные сведения по нажатию на заголовок виджета.
    • Категории активов в инцидентах – категории активов, которые затронуты незакрытыми инцидентами. Доступные типы диаграмм: круговая, столбчатая. Для этого виджета недоступны подробные сведения по нажатию на заголовок виджета.
    • Пользователи в инцидентах – пользователи, затронутые в инцидентах. Доступные типы диаграмм: таблица, круговая, столбчатая. Для этого виджета недоступны подробные сведения по нажатию на заголовок виджета.
    • Последние инциденты – последние 10 незакрытых инцидентов. Если незакрытых инцидентов в выбранных в виджете тенантах больше 10, часть из них отображаться не будет.
  • Источники событий – группа для аналитики об источниках событий. В группу входят следующие виджеты:
    • Топ источников событий по количеству алертов – количество незакрытых алертов, сгруппированных по источникам событий.
    • Топ источников событий по условному рейтингу – количество событий, для которых существует незакрытый алерт, сгруппированных по источникам событий.

      В связи с оптимизациями хранения событий в алертах в ряде случаев количество алертов созданных источниками может быть искажено. Для получения точной статистики рекомендуется в правиле корреляции указать поле события Device Product в качестве уникального, а также включить хранение всех базовых событий в корреляционном событии. Правила корреляции с такими настройками являются более ресурсоемкими.

  • Пользователи – группа для аналитики о пользователях из обработанных событий. В группу входят следующие виджеты:
    • Пользователи в алертах – количество пользователей, связанных с незакрытыми алертами.
    • Количество пользователей AD – количество учетных записей в Active Directory, полученных по LDAP в течение указанного в виджете периода.

В этом разделе

Стандартные виджеты

Настраиваемая аналитика по событиям

Настраиваемая аналитика по активным листам
Идентификатор статьи: 218042, Последнее изменение: 9 мар. 2024 г.
В начало