Глоссарий
SELinux (Security-Enhanced Linux)
Система контроля доступа процессов к ресурсам операционной системы на основе использования политик безопасности.
SIEM
Security Information and Event Management system – система управления информацией о безопасности и событиями безопасности. Решение для управления информацией и событиями в системе безопасности компании.
STARTTLS
Расширение обычного протокола текстового обмена, которое позволяет создать зашифрованное соединение (TLS или SSL) прямо поверх обычного TCP-соединения вместо открытия для шифрованного соединения отдельного порта.
userPrincipalName
UserPrincipalName (UPN) – это имя пользователя в формате адреса электронной почты, например username@domain.com.
UPN-имя необязательно должно соответствовать фактическому адресу электронной почты пользователя. В этом примере username – это имя пользователя в домене Active Directory (user logon name), а domain.com – это UPN-суффикс. Между ними используется разделитель @. По умолчанию в Active Directory в качестве UPN-суффикса используется DNS-имя домена Active Directory.
Агрегация
Объединение нескольких однотипных сообщений из источника события в одно событие.
Веб-интерфейс KUMA
Служба KUMA, которая предоставляет пользовательский интерфейс для настройки и отслеживания операций KUMA.
Кластер
Группа серверов, на которых установлена программа KUMA и которые были сгруппированы для централизованного управления с помощью веб-интерфейса программы.
Коллектор
Сервис KUMA, который принимает события из источников событий, преобразует их и передает их другим программным компонентам для дальнейшей обработки.
Коннектор
Ресурс KUMA, обеспечивающий транспорт для приема данных из внешних систем.
Нормализация
Процесс приведения данных, составляющих событие, в соответствие с полями модели данных события KUMA. Во время нормализации могут выполняться определенные преобразования данных по заданным правилам (например, символы верхнего регистра могут заменяться на символы нижнего регистра, определенные последовательности символов могут перезаписываться другими и т.п.).
Обогащение
Преобразование текстовых данных события с использованием словарей, констант, вызовов службы DNS и других инструментов.
Роль
Набор прав доступа, установленных для предоставления пользователю веб-интерфейса KUMA полномочий для выполнения задач.
Сетевой порт
Параметр протокола TCP и UDP, который определяет место назначения пакетов данных в формате IP, которые передаются на узел по сети, и позволяет различным программам, работающим на одном узле, получать данные независимо друг от друга. Каждая программа обрабатывает данные, отправленные на определенный порт (иногда говорят, что программа прослушивает этот номер порта).
Стандартной практикой является присвоение стандартных номеров портов определенным распространенным сетевым протоколам (например, веб-серверы обычно получают данные через HTTP на TCP-порт 80), хотя в целом программа может использовать любой протокол на любом порту. Возможные значения: от 1 до 65 535.
Событие
Случай активности сетевых устройств и служб, связанных с безопасностью, который можно увидеть и записать. Например, к событиям относятся нарушения политики информационной безопасности, отключение мер безопасности, возникновение беспрецедентной ситуации и т.п.
Фильтр
Набор условий, которые программа использует для выбора событий для дальнейшей обработки.