Kaspersky Unified Monitoring and Analysis Platform
- О программе Kaspersky Unified Monitoring and Analysis Platform
- Архитектура программы
- Установка и удаление KUMA
- Требования к установке программы
- Установка для демонстрации
- Установка KUMA в производственной среде
- Удаление KUMA
- Обновление предыдущих версий KUMA
- Лицензирование программы
- Интеграция с другими решениями
- Интеграция с Kaspersky Security Center
- Настройка параметров интеграции с Kaspersky Security Center
- Добавление тенанта в список тенантов для интеграции с Kaspersky Security Center
- Создание подключения к Kaspersky Security Center
- Изменение подключения к Kaspersky Security Center
- Удаление подключения к Kaspersky Security Center
- Работа с задачами Kaspersky Security Center
- Импорт событий из базы Kaspersky Security Center
- Интеграция с Kaspersky Endpoint Detection and Response
- Интеграция с Kaspersky CyberTrace
- Интеграция с Kaspersky Threat Intelligence Portal
- Интеграция с R-Vision Incident Response Platform
- Интеграция с Active Directory
- Подключение по протоколу LDAP
- Включение и выключение LDAP-интеграции
- Добавление тенанта в список тенантов для интеграции с LDAP-сервером
- Создание подключения к LDAP-серверу
- Создание копии подключения к LDAP-серверу
- Изменение подключения к LDAP-серверу
- Изменение частоты обновления данных
- Изменение срока хранения данных
- Запуск задач на обновление данных об учетных записях
- Удаление подключения к LDAP-серверу
- Авторизация с помощью доменных учетных записей
- Подключение по протоколу LDAP
- Интеграция с НКЦКИ
- Интеграция с Security Vision Incident Response Platform
- Интеграция с Kaspersky Industrial CyberSecurity for Networks
- Интеграция с Kaspersky Security Center
- Ресурсы KUMA
- Сервисы KUMA
- Инструменты сервисов
- Наборы ресурсов для сервисов
- Создание коллектора
- Создание коррелятора
- Создание агента
- Создание хранилища
- Аналитика
- Работа с тенантами
- Работа с инцидентами
- О таблице инцидентов
- Сохранение и выбор конфигураций фильтра инцидентов
- Удаление конфигураций фильтра инцидентов
- Просмотр информации об инциденте
- Создание инцидента
- Обработка инцидентов
- Изменение инцидентов
- Автоматическая привязка алертов к инцидентам
- Категории и типы инцидентов
- Экспорт инцидентов в НКЦКИ
- Отправка в НКЦКИ инцидентов, связанных с утечкой персональных данных
- Работа в режиме иерархии
- Работа с алертами
- Работа с событиями
- Ретроспективная проверка
- Работа с геоданными
- Передача в KUMA событий из изолированных сегментов сети
- Управление активами
- Категории активов
- Добавление категории активов
- Настройка таблицы активов
- Поиск активов
- Просмотр информации об активе
- Добавление активов
- Назначение активу категории
- Изменение параметров активов
- Удаление активов
- Обновление программ сторонних производителей и закрытие уязвимостей на активах Kaspersky Security Center
- Перемещение активов в выбранную группу администрирования
- Аудит активов
- Управление пользователями
- Управление KUMA
- Обращение в службу технической поддержки
- REST API
- Создание токена
- Настройка прав доступа к API
- Авторизация API-запросов
- Стандартная ошибка
- Операции
- Просмотр списка активных листов на корреляторе
- Импорт записей в активный лист
- Поиск алертов
- Закрытие алертов
- Поиск активов
- Импорт активов
- Удаление активов
- Поиск событий
- Просмотр информации о кластере
- Поиск ресурсов
- Загрузка файла с ресурсами
- Просмотр содержимого файла с ресурсами
- Импорт ресурсов
- Экспорт ресурсов
- Скачивание файла с ресурсами
- Поиск сервисов
- Поиск тенантов
- Просмотр информации о предъявителе токена
- Обновление словаря в сервисах
- Получение словаря
- Приложения
- Команды для запуска и установки компонентов вручную
- Проверка целостности файлов KUMA
- Модель данных нормализованного события
- Модель данных алерта
- Модель данных актива
- Модель данных учетной записи
- Поля событий аудита
- Поля событий с общей информацией
- Пользователь успешно вошел в систему или не смог войти
- Логин пользователя успешно изменен
- Роль пользователя успешно изменена
- Другие данные пользователя успешно изменены
- Пользователь успешно вышел из системы
- Пароль пользователя успешно изменен
- Пользователь успешно создан
- Токен доступа пользователя успешно изменен
- Сервис успешно создан
- Сервис успешно удален
- Сервис успешно перезагружен
- Сервис успешно перезапущен
- Сервис успешно запущен
- Сервис успешно сопряжен
- Статус сервиса изменен
- Раздел хранилища удален пользователем
- Раздел хранилища автоматически удален в связи с истечением срока действия
- Активный лист успешно очищен или операция завершилась с ошибкой
- Элемент активного листа успешно удален или операция завершилась с ошибкой
- Активный лист успешно импортирован или операция завершилась с ошибкой
- Активный лист успешно экспортирован
- Ресурс успешно добавлен
- Ресурс успешно удален
- Ресурс успешно обновлен
- Актив успешно создан
- Актив успешно удален
- Категория актива успешно добавлена
- Категория актива успешно удалена
- Параметры успешно обновлены
- Информация о стороннем коде
- Уведомления о товарных знаках
- Глоссарий
Работа с тенантами > Правила принадлежности к тенантам
Правила принадлежности к тенантам
Правила принадлежности к тенантам
Правила наследования тенанта
Важно отслеживать, к какому тенанту принадлежат создаваемые в KUMA объекты: от этого зависит, кто к ним будет иметь доступ и взаимодействие с какими объектами можно настроить. Правила определения тенанта:
- Тенант объекта (например, сервиса или ресурса) определяется пользователем при его создании.
После создания объекта выбранный для него тенант невозможно изменить. Ресурсы, однако, можно экспортировать, а затем импортировать в другой тенант.
- Тенант алерта и корреляционного события наследуется от создавшего их коррелятора.
Название тенанта указывается в поле события
TenantId. - Если события разных тенантов, обрабатываемых одним коррелятором, не смешиваются, создаваемые им корреляционные события наследуют тенант события.
- Тенант инцидента наследуется от алерта.
Примеры мультитенантных взаимодействий
Мультитенантность в KUMA дает возможность централизованно расследовать алерты и инциденты, возникающие в разных тенантах. Ниже приведены сценарии, по которым можно проследить, к каким тенантам принадлежат создаваемые объекты.
При корреляции событий от разных тенантов в общем потоке не следует группировать события по тенанту: то есть не нужно в правилах корреляции в поле Группирующие поля указывать поле события TenantId. Группировка событий по тенанту необходима, только если нужно не смешивать события от разных тенантов.
Сервисы, которые должны быть размещены на мощностях главного тенанта, разворачиваются только пользователями с ролью главный администратор.
- Корреляция событий в рамках одного тенанта, коррелятор выделен для этого тенанта и развернут на его стороне
Условие:
Коллектор и коррелятор принадлежат тенанту 2 (tenantID=2)
Сценарий:
- Коллектор тенанта 2 получает и отправляет события в коррелятор тенанта 2.
- При срабатывании корреляционных правил в корреляторе создаются корреляционные события с идентификатором тенанта tenantID=2.
- Коррелятор отправляет корреляционные события в раздел хранилища для тенанта 2.
- Создается алерт, привязанный к тенанту с идентификатором tenantID=2.
- К алерту привязываются события, из-за которых он был создан.
Инцидент создается пользователем вручную. Тенант инцидента определяется тенантом пользователя. Алерт привязывается к инциденту вручную или автоматически.
- Корреляция событий в рамках одного тенанта, коррелятор выделен для этого тенанта и развернут на стороне главного тенанта
Условие:
- Коллектор развернут на тенанте 2 и принадлежат ему (tenantID=2).
- Коррелятор развернут на стороне главного тенанта.
Принадлежность коррелятора определяется главным администратором в зависимости того, кто будет расследовать инциденты тенанта 2: сотрудники главного тенанта или тенанта 2. Принадлежность алерта и инцидента зависит от принадлежности коррелятора.
Сценарий 1. Коррелятор принадлежит тенанту 2 (tenantID=2):
- Коллектор тенанта 2 получает и отправляет события в коррелятор.
- При срабатывании корреляционных правил в корреляторе создаются корреляционные события с идентификатором тенанта tenantID=2.
- Коррелятор отправляет корреляционные события в раздел хранилища тенанта 2.
- Создается алерт, привязанный к тенанту с идентификатором tenantID=2.
- К алерту привязываются события, из-за которых он был создан.
Результат 1:
- Созданный алерт и привязанные к нему события доступны сотрудникам тенанта 2.
Сценарий 2. Коррелятор принадлежит главному тенанту (tenantID=1):
- Коллектор тенанта 2 получает и отправляет события в коррелятор.
- При срабатывании корреляционных правил в корреляторе создаются корреляционные события с идентификатором тенанта tenantID=1.
- Коррелятор отправляет корреляционные события в раздел хранилища главного тенанта.
- Создается алерт, привязанный к тенанту с идентификатором tenantID=1.
- К алерту привязываются события, из-за которых он был создан.
Результат 2:
- Алерт и привязанные к нему события недоступны сотрудникам тенанта 2.
- Алерт и привязанные к нему события доступны сотрудникам главного тенанта.
- Централизованная корреляция событий, поступающих от разных тенантов
Условие:
- Развернуто два коллектора: на тенанте 2 и тенанте 3. Оба коллектора отправляют события в один коррелятор.
- Коррелятор принадлежит главному тенанту. Правило корреляции ожидает события от обоих тенантов.
Сценарий:
- Коллектор тенанта 2 получает и отправляет события в коррелятор главного тенанта.
- Коллектор тенанта 3 получает и отправляет события в коррелятор главного тенанта.
- При срабатывании корреляционного правила в корреляторе создаются корреляционные события с идентификатором тенанта tenantID=1.
- Коррелятор отправляет корреляционные события в раздел хранилища главного тенанта.
- Создается алерт, привязанный к главному тенанту с идентификатором tenantID=1.
- К алерту привязываются события, из-за которых он был создан.
Результат:
- Алерт и привязанные к нему события недоступны сотрудникам тенанта 2.
- Алерт и привязанные к нему события недоступны сотрудникам тенанта 3.
- Алерт и привязанные к нему события доступны сотрудникам главного тенанта.
- Тенант коррелирует свои события, но в главном тенанте дополнительно осуществляется централизованная корреляция событий
Условие:
- Развернуто два коллектора: на главном тенанте и тенанте 2.
- Развернуто два коррелятора:
- Коррелятор 1 принадлежит главному тенанту и принимает события с коллектора главного тенанта и коррелятора 2.
- Коррелятор 2 принадлежит тенанту 2 и принимает события с коллектора тенанта 2.
Сценарий:
- Коллектор тенанта 2 получает и отправляет события в коррелятор 2.
- При срабатывании корреляционного правила в корреляторе тенанта 2 создаются корреляционные события с идентификатором тенанта tenantID=2.
- Коррелятор 2 отправляет корреляционные события в раздел хранилища тенанта 2.
- Создается алерт 1, привязанный к тенанту с идентификатором tenantID=2.
- К алерту привязываются события, из-за которых он был создан.
- Корреляционные события от коррелятора тенанта 2 отправляются в коррелятор 1.
- Коллектор главного тенанта получает и отправляет события в коррелятор 1.
- В корреляторе 1 обрабатываются события обоих тенантов. При срабатывании корреляционного правила создаются корреляционные события с идентификатором тенанта tenantID=1.
- Коррелятор 1 отправляет корреляционные события в раздел хранилища главного тенанта.
- Создается алерт 2, привязанный к тенанту с идентификатором tenantID=1.
- К алерту привязываются события, из-за которых он был создан.
Результат:
- Алерт 2 и привязанные к нему события недоступны сотрудникам тенанта 2.
- Алерт 2 и привязанные к нему события доступны сотрудникам главного тенанта.
- Один коррелятор для двух тенантов
Если вы не хотите, чтобы при корреляции события от разных тенантов смешивались, в правилах корреляции в поле Группирующие поля следует указывать поле события
TenantId. В таком случае алерт наследует тенант от коррелятора.Условие:
- Развернуто два коллектора: на тенанте 2 и тенанте 3.
- Развернут один коррелятор, принадлежащий главному тенанту (tenantID=1). Он принимает события от обоих тенантов, но обрабатывает их независимо друг от друга.
Сценарий:
- Коллектор тенанта 2 получает и отправляет события в коррелятор.
- Коллектор тенанта 3 получает и отправляет события в коррелятор.
- При срабатывании корреляционного правила в корреляторе создаются корреляционные события с идентификатором тенанта tenantID=1.
- Коррелятор отправляет корреляционные события в раздел хранилища главного тенанта.
- Создается алерт, привязанный к главному тенанту с идентификатором tenantID=1.
- К алерту привязываются события, из-за которых он был создан.
Результат:
- Алерты, созданные на основе событий от тенанта 2 и 3, недоступны сотрудникам тенантов 2 и 3.
- Алерты и привязанные к ним события доступны сотрудникам главного тенанта.
Идентификатор статьи: 221469, Последнее изменение: 9 мар. 2024 г.