Kaspersky Unified Monitoring and Analysis Platform

Тип diode

Тип diode используется для передачи событий с помощью диода данных.

Доступные параметры:

Закладка Основные параметры:

• Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
• Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
• Переключатель Выключено – используется в том случае, если события не нужно отправляться в точку назначения. По умолчанию отправка событий включена.
• Тип (обязательно) – тип точки назначения, diode.
• Директория, из которой диод данных получает события (обязательно) – директория, откуда диод данных перемещает события. Путь может содержать до 255 символов Юникода.

  Ограничения при использовании префиксов к путям на серверах Windows

  На серверах Windows необходимо указывать абсолютные пути к директориям. Невозможно использовать директории, названия которых соответствуют указанным ниже регулярным выражениям:

  • ^[a-zA-Z]:\\Program Files
  • ^[a-zA-Z]:\\Program Files \(x86\)
  • ^[a-zA-Z]:\\Windows
  • ^[a-zA-Z]:\\Program Files\\Kaspersky Lab\\KUMA

  Ограничения при использовании префиксов к путям на серверах Linux

  Префиксы, которые невозможно использовать при указании путей к файлам:

  • /*
  • /bin
  • /boot
  • /dev
  • /etc
  • /home
  • /lib
  • /lib64
  • /proc
  • /root
  • /run
  • /sys
  • /tmp
  • /usr/*
  • /usr/bin/
  • /usr/local/*
  • /usr/local/sbin/
  • /usr/local/bin/
  • /usr/sbin/
  • /usr/lib/
  • /usr/lib64/
  • /var/*
  • /var/lib/
  • /var/run/
  • /opt/kaspersky/kuma/

  Файлы по указанным ниже путям доступны:

  • /opt/kaspersky/kuma/clickhouse/logs/
  • /opt/kaspersky/kuma/mongodb/log/
  • /opt/kaspersky/kuma/victoria-metrics/log/

• Временная директория – директория, в которой события готовятся для передачи диоду данных.

  События собираются в файл по истечении времени ожидания (по умолчанию 10 секунд) или при переполнении буфера. Подготовленный файл перемещается в директорию, указанную в поле Директория, из которой диод данных получает события. В качестве названия файла с событиями используется хеш-сумма (SHA-256) содержимого файла.

  Временная директория не должна совпадать с директорией, из которой диод данных получает события.

• Описание – описание ресурса: до 256 символов Юникода.

Закладка Дополнительные параметры:

• Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.

  Этот параметр должен совпадать ресурсах коннектор и точка назначения, используемых для передачи событий из изолированного сегмента сети с помощью диода данных.

• Размер буфера – используется для установки размера буфера. По умолчанию размер равен 64 МБ. Не может быть больше 64 МБ.
• Время ожидания – поле, в котором можно указать интервал (в секундах) между перемещением данных из временной директории в директорию для диода данных. Значение по умолчанию: 10.
• Разделитель – этот раскрывающийся список используется для указания символа, определяющего границу между событиями. По умолчанию используется \n.

  Этот параметр должен совпадать ресурсах коннектор и точка назначения, используемых для передачи событий из изолированного сегмента сети с помощью диода данных.

• Интервал очистки буфера – это поле используется для установки времени (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 100.
• Рабочие процессы – это поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
• Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
• С помощью раскрывающегося списка Дисковый буфер можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер отключен.
• В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться этим ресурсом. В раскрывающемся списке можно выбрать существующий ресурс фильтра или выбрать Создать, чтобы создать новый фильтр.

  Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

     В этом случае вы сможете использовать созданный фильтр в разных сервисах.

     По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
     1. Нажмите на кнопку Добавить условие.
     2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

        В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

     3. В раскрывающемся списке оператор выберите нужный вам оператор.

        Операторы фильтров

        • = – левый операнд равен правому операнду.
        • < – левый операнд меньше правого операнда.
        • <= – левый операнд меньше или равен правому операнду.
        • > – левый операнд больше правого операнда.
        • >= – левый операнд больше или равен правому операнду.
        • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
        • contains – левый операнд содержит значения правого операнда.
        • startsWith – левый операнд начинается с одного из значений правого операнда.
        • endsWith – левый операнд заканчивается одним из значений правого операнда.
        • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
        • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
        • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
        • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
        • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
        • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
        • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
        • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.

     4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

        Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

        По умолчанию флажок снят.

     5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
     6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

     Параметры вложенного фильтра можно просмотреть, нажав на кнопку .