Kaspersky Unified Monitoring and Analysis Platform
- О программе Kaspersky Unified Monitoring and Analysis Platform
- Архитектура программы
- Установка и удаление KUMA
- Требования к установке программы
- Установка для демонстрации
- Установка KUMA в производственной среде
- Удаление KUMA
- Обновление предыдущих версий KUMA
- Лицензирование программы
- Интеграция с другими решениями
- Интеграция с Kaspersky Security Center
- Настройка параметров интеграции с Kaspersky Security Center
- Добавление тенанта в список тенантов для интеграции с Kaspersky Security Center
- Создание подключения к Kaspersky Security Center
- Изменение подключения к Kaspersky Security Center
- Удаление подключения к Kaspersky Security Center
- Работа с задачами Kaspersky Security Center
- Импорт событий из базы Kaspersky Security Center
- Интеграция с Kaspersky Endpoint Detection and Response
- Интеграция с Kaspersky CyberTrace
- Интеграция с Kaspersky Threat Intelligence Portal
- Интеграция с R-Vision Incident Response Platform
- Интеграция с Active Directory
- Подключение по протоколу LDAP
- Включение и выключение LDAP-интеграции
- Добавление тенанта в список тенантов для интеграции с LDAP-сервером
- Создание подключения к LDAP-серверу
- Создание копии подключения к LDAP-серверу
- Изменение подключения к LDAP-серверу
- Изменение частоты обновления данных
- Изменение срока хранения данных
- Запуск задач на обновление данных об учетных записях
- Удаление подключения к LDAP-серверу
- Авторизация с помощью доменных учетных записей
- Подключение по протоколу LDAP
- Интеграция с НКЦКИ
- Интеграция с Security Vision Incident Response Platform
- Интеграция с Kaspersky Industrial CyberSecurity for Networks
- Интеграция с Kaspersky Security Center
- Ресурсы KUMA
- Сервисы KUMA
- Инструменты сервисов
- Наборы ресурсов для сервисов
- Создание коллектора
- Создание коррелятора
- Создание агента
- Создание хранилища
- Аналитика
- Работа с тенантами
- Работа с инцидентами
- О таблице инцидентов
- Сохранение и выбор конфигураций фильтра инцидентов
- Удаление конфигураций фильтра инцидентов
- Просмотр информации об инциденте
- Создание инцидента
- Обработка инцидентов
- Изменение инцидентов
- Автоматическая привязка алертов к инцидентам
- Категории и типы инцидентов
- Экспорт инцидентов в НКЦКИ
- Отправка в НКЦКИ инцидентов, связанных с утечкой персональных данных
- Работа в режиме иерархии
- Работа с алертами
- Работа с событиями
- Ретроспективная проверка
- Работа с геоданными
- Передача в KUMA событий из изолированных сегментов сети
- Управление активами
- Категории активов
- Добавление категории активов
- Настройка таблицы активов
- Поиск активов
- Просмотр информации об активе
- Добавление активов
- Назначение активу категории
- Изменение параметров активов
- Удаление активов
- Обновление программ сторонних производителей и закрытие уязвимостей на активах Kaspersky Security Center
- Перемещение активов в выбранную группу администрирования
- Аудит активов
- Управление пользователями
- Управление KUMA
- Обращение в службу технической поддержки
- REST API
- Создание токена
- Настройка прав доступа к API
- Авторизация API-запросов
- Стандартная ошибка
- Операции
- Просмотр списка активных листов на корреляторе
- Импорт записей в активный лист
- Поиск алертов
- Закрытие алертов
- Поиск активов
- Импорт активов
- Удаление активов
- Поиск событий
- Просмотр информации о кластере
- Поиск ресурсов
- Загрузка файла с ресурсами
- Просмотр содержимого файла с ресурсами
- Импорт ресурсов
- Экспорт ресурсов
- Скачивание файла с ресурсами
- Поиск сервисов
- Поиск тенантов
- Просмотр информации о предъявителе токена
- Обновление словаря в сервисах
- Получение словаря
- Приложения
- Команды для запуска и установки компонентов вручную
- Проверка целостности файлов KUMA
- Модель данных нормализованного события
- Модель данных алерта
- Модель данных актива
- Модель данных учетной записи
- Поля событий аудита
- Поля событий с общей информацией
- Пользователь успешно вошел в систему или не смог войти
- Логин пользователя успешно изменен
- Роль пользователя успешно изменена
- Другие данные пользователя успешно изменены
- Пользователь успешно вышел из системы
- Пароль пользователя успешно изменен
- Пользователь успешно создан
- Токен доступа пользователя успешно изменен
- Сервис успешно создан
- Сервис успешно удален
- Сервис успешно перезагружен
- Сервис успешно перезапущен
- Сервис успешно запущен
- Сервис успешно сопряжен
- Статус сервиса изменен
- Раздел хранилища удален пользователем
- Раздел хранилища автоматически удален в связи с истечением срока действия
- Активный лист успешно очищен или операция завершилась с ошибкой
- Элемент активного листа успешно удален или операция завершилась с ошибкой
- Активный лист успешно импортирован или операция завершилась с ошибкой
- Активный лист успешно экспортирован
- Ресурс успешно добавлен
- Ресурс успешно удален
- Ресурс успешно обновлен
- Актив успешно создан
- Актив успешно удален
- Категория актива успешно добавлена
- Категория актива успешно удалена
- Параметры успешно обновлены
- Информация о стороннем коде
- Уведомления о товарных знаках
- Глоссарий
Фильтрация и поиск событий
По умолчанию в разделе События веб-интерфейса KUMA данные не отображаются. Для просмотра событий в поле поиска нужно задать SQL-запрос и нажать на кнопку 
. SQL-запрос можно ввести вручную или сформировать с помощью конструктора запросов.
В SQL-запросах поддерживается агрегирование и группировка данных.
Вы можете добавить условия фильтрации в уже сформированный SQL-запрос в окне просмотра статистики, таблицы событий и области деталей событий:
- Изменение запроса из окна статистики
Чтобы изменить параметры фильтрации из окна Статистика:
- Откройте область деталей Статистика одним из следующих способов:
- В правом верхнем углу таблицы событий в раскрывающемся списке
выберите Статистика. - В таблице событий нажмите на любое значение и в открывшемся контекстном меню выберите Статистика.
В правой части окна откроется область деталей Статистика.
- В правом верхнем углу таблицы событий в раскрывающемся списке
- Откройте раскрывающийся список необходимого параметра и наведите курсор мыши на требуемое значение.
- С помощью значков плюса и минуса измените параметры фильтрации, выполнив одно из следующих действий:
- Если вы хотите включить в выборку событий только события с выбранным значением, нажмите
. - Если вы хотите исключить из выборки событий все события с выбранным значением, нажмите
.
- Если вы хотите включить в выборку событий только события с выбранным значением, нажмите
В результате параметры фильтрации и таблица событий будут обновлены, а в верхней части экрана отобразится измененный поисковый запрос.
- Откройте область деталей Статистика одним из следующих способов:
- Изменение запроса из таблицы событий
Чтобы изменить параметры фильтрации из таблицы событий:
- В разделе События веб-интерфейса KUMA нажмите на любое значение параметра события в таблице событий.
- В открывшемся меню выберите один из следующих вариантов:
- Если вы хотите оставить в таблице только события с выбранным значением, выберите Искать события с этим значением.
- Если вы хотите исключить из таблицы все события с выбранным значением, выберите Искать события без этого значения.
В результате параметры фильтрации и таблица событий обновляются, а в верхней части экрана отображается измененный поисковый запрос.
- Изменение запроса из области деталей события
Чтобы изменить параметры фильтрации в области деталей события:
- В разделе События веб-интерфейса KUMA нажмите на нужное событие.
В правой части окна откроется область деталей Информация о событии.
- Измените параметры фильтрации, используя значки плюса или минуса рядом с необходимыми параметрами:
- Если вы хотите включить в выборку событий только события с выбранным значением, нажмите .
- Если вы хотите исключить из выборки событий все события с выбранным значением, нажмите .
- Если вы хотите включить в выборку событий только события с выбранным значением, нажмите
В результате параметры фильтрации и таблица событий будут обновлены, а в верхней части экрана отобразится измененный поисковый запрос.
- В разделе События веб-интерфейса KUMA нажмите на нужное событие.
После изменения запроса все параметры запроса, включая добавленные условия фильтрации, переносятся в конструктор и строку поиска.
Параметры запроса, введенного вручную в строке поиска, при переключении на конструктор не переносятся в конструктор: вам требуется создать запрос заново. При этом запрос, созданный в конструкторе, не перезаписывает запрос, введенный в строке поиска, пока вы не нажмете на кнопку Применить в окне конструктора.
В поле ввода SQL-запроса можно включить отображение непечатаемых символов.
События можно также фильтровать по временному периоду. Результаты поиска можно автоматически обновлять.
Конфигурацию фильтра можно сохранить. Существующие конфигурации фильтров можно удалить.
Функции фильтрации доступны пользователям всех ролей.
Подробнее об SQL см. в справке ClickHouse. Также см. использование операторов в KUMA и поддерживаемые функции.
|
В этом разделе Формирование SQL-запроса с помощью конструктора Ограничение сложности запросов в режиме детализированного анализа Сохранение и выбор конфигураций фильтра событий |
См. также: |