Kaspersky Unified Monitoring and Analysis Platform
- О программе Kaspersky Unified Monitoring and Analysis Platform
- Архитектура программы
- Установка и удаление KUMA
- Требования к установке программы
- Установка для демонстрации
- Установка KUMA в производственной среде
- Удаление KUMA
- Обновление предыдущих версий KUMA
- Лицензирование программы
- Интеграция с другими решениями
- Интеграция с Kaspersky Security Center
- Настройка параметров интеграции с Kaspersky Security Center
- Добавление тенанта в список тенантов для интеграции с Kaspersky Security Center
- Создание подключения к Kaspersky Security Center
- Изменение подключения к Kaspersky Security Center
- Удаление подключения к Kaspersky Security Center
- Работа с задачами Kaspersky Security Center
- Импорт событий из базы Kaspersky Security Center
- Интеграция с Kaspersky Endpoint Detection and Response
- Интеграция с Kaspersky CyberTrace
- Интеграция с Kaspersky Threat Intelligence Portal
- Интеграция с R-Vision Incident Response Platform
- Интеграция с Active Directory
- Подключение по протоколу LDAP
- Включение и выключение LDAP-интеграции
- Добавление тенанта в список тенантов для интеграции с LDAP-сервером
- Создание подключения к LDAP-серверу
- Создание копии подключения к LDAP-серверу
- Изменение подключения к LDAP-серверу
- Изменение частоты обновления данных
- Изменение срока хранения данных
- Запуск задач на обновление данных об учетных записях
- Удаление подключения к LDAP-серверу
- Авторизация с помощью доменных учетных записей
- Подключение по протоколу LDAP
- Интеграция с НКЦКИ
- Интеграция с Security Vision Incident Response Platform
- Интеграция с Kaspersky Industrial CyberSecurity for Networks
- Интеграция с Kaspersky Security Center
- Ресурсы KUMA
- Сервисы KUMA
- Инструменты сервисов
- Наборы ресурсов для сервисов
- Создание коллектора
- Создание коррелятора
- Создание агента
- Создание хранилища
- Аналитика
- Работа с тенантами
- Работа с инцидентами
- О таблице инцидентов
- Сохранение и выбор конфигураций фильтра инцидентов
- Удаление конфигураций фильтра инцидентов
- Просмотр информации об инциденте
- Создание инцидента
- Обработка инцидентов
- Изменение инцидентов
- Автоматическая привязка алертов к инцидентам
- Категории и типы инцидентов
- Экспорт инцидентов в НКЦКИ
- Отправка в НКЦКИ инцидентов, связанных с утечкой персональных данных
- Работа в режиме иерархии
- Работа с алертами
- Работа с событиями
- Ретроспективная проверка
- Работа с геоданными
- Передача в KUMA событий из изолированных сегментов сети
- Управление активами
- Категории активов
- Добавление категории активов
- Настройка таблицы активов
- Поиск активов
- Просмотр информации об активе
- Добавление активов
- Назначение активу категории
- Изменение параметров активов
- Удаление активов
- Обновление программ сторонних производителей и закрытие уязвимостей на активах Kaspersky Security Center
- Перемещение активов в выбранную группу администрирования
- Аудит активов
- Управление пользователями
- Управление KUMA
- Обращение в службу технической поддержки
- REST API
- Создание токена
- Настройка прав доступа к API
- Авторизация API-запросов
- Стандартная ошибка
- Операции
- Просмотр списка активных листов на корреляторе
- Импорт записей в активный лист
- Поиск алертов
- Закрытие алертов
- Поиск активов
- Импорт активов
- Удаление активов
- Поиск событий
- Просмотр информации о кластере
- Поиск ресурсов
- Загрузка файла с ресурсами
- Просмотр содержимого файла с ресурсами
- Импорт ресурсов
- Экспорт ресурсов
- Скачивание файла с ресурсами
- Поиск сервисов
- Поиск тенантов
- Просмотр информации о предъявителе токена
- Обновление словаря в сервисах
- Получение словаря
- Приложения
- Команды для запуска и установки компонентов вручную
- Проверка целостности файлов KUMA
- Модель данных нормализованного события
- Модель данных алерта
- Модель данных актива
- Модель данных учетной записи
- Поля событий аудита
- Поля событий с общей информацией
- Пользователь успешно вошел в систему или не смог войти
- Логин пользователя успешно изменен
- Роль пользователя успешно изменена
- Другие данные пользователя успешно изменены
- Пользователь успешно вышел из системы
- Пароль пользователя успешно изменен
- Пользователь успешно создан
- Токен доступа пользователя успешно изменен
- Сервис успешно создан
- Сервис успешно удален
- Сервис успешно перезагружен
- Сервис успешно перезапущен
- Сервис успешно запущен
- Сервис успешно сопряжен
- Статус сервиса изменен
- Раздел хранилища удален пользователем
- Раздел хранилища автоматически удален в связи с истечением срока действия
- Активный лист успешно очищен или операция завершилась с ошибкой
- Элемент активного листа успешно удален или операция завершилась с ошибкой
- Активный лист успешно импортирован или операция завершилась с ошибкой
- Активный лист успешно экспортирован
- Ресурс успешно добавлен
- Ресурс успешно удален
- Ресурс успешно обновлен
- Актив успешно создан
- Актив успешно удален
- Категория актива успешно добавлена
- Категория актива успешно удалена
- Параметры успешно обновлены
- Информация о стороннем коде
- Уведомления о товарных знаках
- Глоссарий
Ресурсы KUMA > Точки назначения > Тип nats
Тип nats
Тип nats
Тип nats используется для коммуникации через NATS.
Доступные параметры:
Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Переключатель Выключено – используется в том случае, если события не нужно отправляться в точку назначения. По умолчанию отправка событий включена.
- Тип (обязательно) – тип точки назначения, nats.
- URL (обязательно) – URL, с которым необходимо установить связь.
- Топик (обязательно) – тема сообщений NATS. Должно содержать от 1 до 255 символов Юникода.
- Разделитель – используется для указания символа, определяющего границу между событиями. По умолчанию используется
\n. - Авторизация – тип авторизации при подключении к указанному URL:
- выключена (по умолчанию).
- обычная.
При выборе этого варианта требуется указать секрет, содержащий данные учетной записи пользователя для авторизации при подключении к коннектору.
- Если вы создали секрет ранее, выберите его в раскрывающемся списке Секрет.
Если ранее не было добавлено ни одного секрета, в раскрывающемся списке отобразится Нет данных.
- Если вы хотите добавить новый секрет, справа от списка Секрет нажмите на кнопку
.Откроется окно Секрет.
- В поле Название введите название, под которым секрет будет отображаться в списке доступных.
- В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору.
- Если требуется, в поле Описание добавьте любую дополнительную информацию о секрете.
- Нажмите на кнопку Сохранить.
Секрет будет добавлен и отобразится в списке Секрет.
- Если вы создали секрет ранее, выберите его в раскрывающемся списке Секрет.
- Описание – описание ресурса: до 256 символов Юникода.
Закладка Дополнительные параметры:
- Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
- Размер буфера – используется для установки размера буфера. Значение по умолчанию: 16 Кб; максимальное: 64 Кб.
- Время ожидания – поле, в котором можно указать время ожидания (в секундах) ответа другого сервиса или компонента. Значение по умолчанию:
30. - Размер дискового буфера – поле, в котором можно указать размер дискового буфера в байтах. По умолчанию размер равен 10 ГБ.
- Идентификатор хранилища – идентификатор хранилища NATS.
- Режим TLS – использование шифрования TLS:
- Выключено (по умолчанию) – не использовать шифрование TLS.
- Включено – использовать шифрование, но без верификации сертификата.
- С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
- Нестандартный CA – использовать шифрование с верификацией сертификата, подписанного центром сертификации. Секрет с сертификатом выбирается в раскрывающемся списке Нестандартный CA, который отображается при выборе этого пункта.
Создание сертификата, подписанного центром сертификации
Для использования этого режима TLS необходимо выполнить следующие действия на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL):
- Создать ключ, который будет использоваться центром сертификации.
Пример команды:
openssl genrsa -out ca.key 2048 - Создать сертификат для только что созданного ключа.
Пример команды:
openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt - Создать приватный ключ и запрос на его подписание в центре сертификации.
Пример команды:
openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr - Создать сертификат, подписанный центром сертификации. Необходимо включить в subjectAltName доменные имена или IP-адреса сервера, для которого создается сертификат.
Пример команды:
openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt - Полученный сертификат
server.crtследует загрузить в веб-интерфейсе KUMA в секрет типа certificate, который затем следует выбрать в раскрывающемся списке Нестандартный CA.
- Создать ключ, который будет использоваться центром сертификации.
При использовании TLS невозможно указать IP-адрес в качестве URL.
- Разделитель – этот раскрывающийся список используется для указания символа, определяющего границу между событиями. По умолчанию используется
\n. - Интервал очистки буфера – это поле используется для установки времени (в секундах) между отправкой данных в точку назначения. Значение по умолчанию:
100. - Рабочие процессы – это поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
- Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
- С помощью раскрывающегося списка Дисковый буфер можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер отключен.
- В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться этим ресурсом. В раскрывающемся списке можно выбрать существующий ресурс фильтра или выбрать Создать, чтобы создать новый фильтр.
- В раскрывающемся списке Фильтр выберите Создать.
- Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.
В этом случае вы сможете использовать созданный фильтр в разных сервисах.
По умолчанию флажок снят.
- Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
- В блоке параметров Условия задайте условия, которым должны соответствовать события:
- Нажмите на кнопку Добавить условие.
- В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.
В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.
- В раскрывающемся списке оператор выберите нужный вам оператор.
- = – левый операнд равен правому операнду.
- < – левый операнд меньше правого операнда.
- <= – левый операнд меньше или равен правому операнду.
- > – левый операнд больше правого операнда.
- >= – левый операнд больше или равен правому операнду.
- inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
- contains – левый операнд содержит значения правого операнда.
- startsWith – левый операнд начинается с одного из значений правого операнда.
- endsWith – левый операнд заканчивается одним из значений правого операнда.
- match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
- hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
- hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
- inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
- inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
- inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
- inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
- TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
- При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.
Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.
По умолчанию флажок снят.
- Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
- Вы можете добавить несколько условий или группу условий.
- Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
- Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.
Параметры вложенного фильтра можно просмотреть, нажав на кнопку
.
Идентификатор статьи: 232952, Последнее изменение: 9 мар. 2024 г.