[Topic 217694]

О программе Kaspersky Unified Monitoring and Analysis Platform

Kaspersky Unified Monitoring and Analysis Platform (далее KUMA или "программа") – это комплексное программное решение, сочетающее в себе следующие функциональные возможности:

• получение, обработка и хранение событий информационной безопасности;
• анализ и корреляция поступающих данных;
• поиск по полученным событиям;
• создание уведомлений о выявлении признаков угроз информационной безопасности.

Программа построена на микросервисной архитектуре. Это означает, что вы можете создавать и настраивать только необходимые микросервисы (далее также "сервисы"), что позволяет использовать KUMA и как систему управления журналами, и как полноценную SIEM-систему. Кроме того, благодаря гибкой маршрутизации потоков данных вы можете использовать сторонние сервисы для дополнительной обработки событий.

[Topic 220925]

Что нового

• Реализована глубокая интеграция с Kaspersky Endpoint Detection and Response Expert (KEDR Expert). Интеграция доступна только с лицензией Symphony XDR.
• Добавлена интеграция с Kaspersky Industrial CyberSecurity for Networks в сценариях инвентаризации активов и реагирования.
• Расширена интеграция с Kaspersky Security Center.
• Расширены возможности SQL-поиска по событиям в хранилище.
• Расширены возможности компонентов сбора событий (коллекторов):
  • Добавлено обогащение информацией о регионе по IP-адресу (GeoIP).
  • Добавлена возможность обогащения из словарей (таблиц), наполняемых вручную в веб-интерфейсе или по API.
  • Добавлена возможность корректировать время с учетом часового пояса источника событий.
• Добавлены вычисляемые переменные для покрытия сложных сценариев детектирования угроз при корреляции событий.
• Добавлена возможность сбора событий из изолированного сегмента с дата-диодом при отсутствии возможности передачи сетевых UDP-пакетов.
• Добавлена возможность настройки пользовательских шаблонов и правил уведомления об алертах.
• Расширены инструменты аналитики, добавлены новые виджеты.
• Добавлена функция аудита активов.
• Добавлена поддержка телеметрии о трафике sFlow для поддержки оборудования Juniper. Аналогично Netflow данные события можно собирать без ограничений при использовании лицензии с активным модулем Netflow.

[Topic 217846]

Комплект поставки

В комплект поставки входят следующие файлы:

• kuma-ansible-installer-<номер сборки>.tar.gz для установки компонентов KUMA;
• файлы с информацией о версии (примечания к выпуску) на русском и английском языках.

[Topic 217889]

Аппаратные и программные требования

Рекомендуемые требования к оборудованию

На перечисленном ниже оборудовании могут обрабатываться до 40 000 событий в секунду. Этот показатель зависит от типа анализируемых событий и от эффективности парсера. Следует также учитывать, что большее количество ядер будет эффективнее, чем их меньшее количество, но с более высокой частотой процессора.

• Серверы для установки коллекторов:
  • Процессор: Intel или AMD от 4 ядер (8 потоков) с поддержкой набора инструкций SSE 4.2 или 8 vCPU (виртуальных процессоров).
  • ОЗУ: 16 ГБ.

    Каждому коллектору, на котором используется обогащения событий геоданными, требуется дополнительный объем оперативной памяти, равный размеру базы геоданных.

  • Диск: 500 ГБ доступного места на диске, смонтированного в разделе /opt.
• Серверы для установки корреляторов:
  • Процессор: Intel или AMD от 4 ядер (8 потоков) с поддержкой набора инструкций SSE 4.2 или 8 vCPU (виртуальных процессоров).
  • ОЗУ: 16 ГБ.
  • Диск: 500 ГБ доступного места на диске, смонтированного в разделе /opt.
• Серверы для установки Ядра:
  • Процессор: Intel или AMD от 4 ядер (8 потоков) с поддержкой набора инструкций SSE 4.2 или 4 vCPU (виртуальных процессоров).
  • ОЗУ: 16 ГБ.

    При импорте геоданных серверу требуется дополнительный объем оперативной памяти, равный размеру базы геоданных.

  • Диск: 500 ГБ доступного места на диске, смонтированного в разделе /opt.
• Серверы для установки хранилищ:
  • Процессор: Intel или AMD от 12 ядер (24 потока) с поддержкой набора инструкций SSE 4.2 или 24 vCPU (виртуальных процессоров).

    Требуется поддержка команд SSE4.2.

  • ОЗУ: 48 ГБ.
  • Диск: 500 ГБ доступного места на диске, смонтированного в разделе /opt.

  Для подключения системы хранения данных (далее также СХД) к серверам хранилища требуется использовать высокоскоростные протоколы (например, Fiber Channel или iSCSI 10G). Мы не рекомендуем подключать СХД с использованием протоколов прикладного уровня (например, NFS, SMB).

  Использование твердотельных накопителей позволяет улучшить индексирование кластерных узлов и повысить эффективность поиска.

  Смонтированные локально жесткие диски или твердотельные накопители эффективнее внешних дисковых массивов (JBOD). Рекомендуется использовать RAID 0 для скорости, а RAID 10 для избыточности.

  Для повышения надежности не рекомендуется развертывать все кластерные узлы на одном JBOD-массиве или одном физическом сервере (если используются виртуальные серверы).

  Для повышения эффективности рекомендуется держать все серверы в одном центре данных.

  В качестве файловой системы на серверах кластера ClickHouse рекомендуется использовать ext4.

• Машины для установки агентов Windows:
  • Процессор: одноядерный, 1.4 ГГц или выше.
  • ОЗУ: 512 МБ.
  • Диск: 1 ГБ.
  • ОС:
    • Microsoft Windows 2012.
    • Microsoft Windows Server 2012 R2.
    • Microsoft Windows Server 2016.
    • Microsoft Windows Server 2019.
    • Microsoft Windows 10 (20H2, 21H1).
• Машины для установки агентов Linux:
  • Процессор: одноядерный, 1.4 ГГц или выше.
  • ОЗУ: 512 МБ.
  • Диск: 1 ГБ.
  • ОС:
    • Ubuntu 20.04 LTS, 21.04.
    • Oracle Linux версии 8.6.
    • Astra Linux Special Edition РУСБ.10015-01 (2021-1126SE17 оперативное обновление 1.7.1).
• Поддерживается установка в виртуальных средах:
  • VMWare 6.5 и выше.
  • Hyper-V для Windows Server 2012 R2 и выше.
  • KVM Qumu version 4.2 и выше.
  • ПК СВ "Брест" РДЦП.10001-02.

Требования к программному обеспечению

Для развертывания компонентов Коллектор, Коррелятор, Ядро и Хранилище поддерживается использование операционных систем Oracle linux 8.6 и Astra Linux Special Edition (исполнение РУСБ.10015-01, 2021-1126SE17 оперативное обновление 1.7.1).

Требования к сети

Пропускная способность сетевого интерфейса должна быть не менее 100 Мбит/с.

Чтобы программа KUMA обрабатывала более 20 000 событий в секунду, необходимо обеспечить скорость передачи данных между узлами ClickHouse не менее 10 Гбит/с.

Дополнительные требования

Компьютеры, используемые для веб-интерфейса KUMA:

• Процессор: Intel Core i3 8-го поколения.
• ОЗУ: 8 ГБ.
• Установленный браузер Google Chrome 102 или более поздней версии либо Mozilla Firefox 103 или более поздней версии.

[Topic 230383]

Интерфейс KUMA

Работа с программой осуществляется через веб-интерфейс.

Окно веб-интерфейса программы содержит следующие элементы:

• разделы в левой части окна веб-интерфейса программы;
• закладки в верхней части окна веб-интерфейса программы для некоторых разделов программы;
• рабочую область в нижней части окна веб-интерфейса программы.

В рабочей области отображается информация, просмотр которой вы выбираете в разделах и на закладках окна веб-интерфейса программы, а также элементы управления, с помощью которых вы можете настроить отображение информации.

Во время работы с веб-интерфейсом программы вы можете выполнять следующие действия с помощью горячих клавиш:

• во всех разделах: закрывать окно, открывающееся в правой боковой панели – Esc;
• в разделе События:
  • переключаться между событиями в правой боковой панели – ↑ и ↓;
  • запускать поиск (при фокусе на поле запроса) – Ctrl/Command + Enter;
  • сохранять поисковый запрос – Ctrl/Command + S.

[Topic 230384]

Совместимость с другими программами

Kaspersky Endpoint Security для Linux

При установке на одном сервере компонентов KUMA и программы Kaspersky Endpoint Security для Linux каталог report.db может достигать больших размеров и занимать все дисковое пространство. Чтобы избежать этой проблемы, рекомендуется выполнить следующие действия:

• Обновить программу Kaspersky Endpoint Security для Linux до версии 11.2 или выше.
• Добавить в общие исключения и в исключения для проверки по требованию следующие директории:
  • /opt/kaspersky/kuma/clickhouse/data/store/
  • /opt/kaspersky/kuma/victoria-metrics/
  • /var/lib/rsyslog/imjournal.state

  Подробнее об исключениях из проверки см. онлайн-справку Kaspersky Endpoint Security для Linux.

[Topic 217958]

Архитектура программы

Стандартная установка программы включает следующие компоненты:

• Один или несколько коллекторов, которые получают сообщения из источников событий и осуществляют их парсинг, нормализацию и, если требуется, фильтрацию и/или агрегацию.
• Коррелятор, который анализирует полученные из коллекторов нормализованные события, выполняет необходимые действия с активными листами и создает алерты в соответствии с правилами корреляции.
• Ядро, включающее графический интерфейс для мониторинга и управления настройками компонентов системы.
• Хранилище, в котором содержатся нормализованные события и зарегистрированные алерты.

События передаются между компонентами по надежным транспортным протоколам (при желании с шифрованием). Вы можете настроить балансировку нагрузки для ее распределения между экземплярами сервисов, а также включить автоматическое переключение на резервный компонент в случае недоступности основного. Если недоступны все компоненты, события сохраняются в буфере жесткого диска и передаются позже. Размер буферного диска для временного хранения событий можно менять.

Архитектура KUMA

[Topic 217779]

Ядро

Ядро – это центральный компонент KUMA, на основе которого строятся все прочие сервисы и компоненты. Предоставляемый Ядром графический пользовательский интерфейс веб-интерфейса предназначен как для повседневного использования операторами и аналитиками, так и для настройки системы в целом.

Ядро позволяет выполнять следующие задачи:

• создавать и настраивать сервисы (или компоненты) программы, а также интегрировать в систему необходимое программное обеспечение;
• централизованно управлять сервисами и учетными записями пользователей программы;
• визуально представлять статистические данные о работе программы;
• расследовать угрозы безопасности на основе полученных событий.

[Topic 217762]

Коллектор

Коллектор – это компонент программы, который получает сообщения из источников событий, обрабатывает их и передает в хранилище, коррелятор и/или сторонние сервисы для выявления алертов.

Для каждого коллектора нужно настроить один коннектор и один нормализатор. Вы также можете настроить любое количество дополнительных нормализаторов, фильтров, правил обогащения и правил агрегации. Для того чтобы коллектор мог отправлять нормализованные события в другие сервисы, необходимо добавить точки назначения. Как правило, используются две точки назначения: хранилище и коррелятор.

Алгоритм работы коллектора состоит из следующих этапов:

1. Получение сообщений из источников событий

   Для получения сообщений требуется настроить активный или пассивный коннектор. Пассивный коннектор только ожидает события от указанного источника, а активный – инициирует подключение к источнику событий, например к системе управления базами данных.

   Коннекторы различаются по типу. Выбор типа коннектора зависит от транспортного протокола для передачи сообщений. Например, для источника событий, передающего сообщения по протоколу TCP, необходимо установить коннектор типа TCP.

   В программе доступны следующие типы коннекторов:

   • internal;
   • tcp;
   • udp;
   • netflow;
   • sflow;
   • nats;
   • kafka;
   • http;
   • sql;
   • file;
   • diode;
   • ftp;
   • nfs;
   • wmi;
   • wec;
   • snmp.
2. Парсинг и нормализация событий

   События, полученные коннектором, обрабатываются с помощью парсера и правил нормализации, заданных пользователем. Выбор нормализатора зависит от формата сообщений, получаемых из источника события. Например, для источника, отправляющего события в формате CEF, необходимо выбрать нормализатор типа CEF.

   В программе доступны следующие нормализаторы:

   • JSON.
   • CEF.
   • Regexp.
   • Syslog (как для RFC3164 и RFC5424).
   • CSV.
   • Ключ-значение.
   • XML.
   • NetFlow v5.
   • NetFlow v9.
   • IPFIX (v10).
3. Фильтрация нормализованных событий

   Вы можете настроить фильтры, которые позволяют отсеивать события, удовлетворяющие заданным условиям. События, не удовлетворяющие условиям фильтрации, будут отправляться на обработку.

4. Обогащение и преобразование нормализованных событий

   Правила обогащения позволяют дополнить содержащуюся в событии информацию данными из внутренних и внешних источников. В программе представлены следующие источники обогащения:

   • константы;
   • cybertrace;
   • словари;
   • dns;
   • события;
   • ldap;
   • шаблоны;
   • данные о часовых поясах;
   • геоданные.

   Правила преобразования позволяют преобразовать содержимое события в соответствии с заданными условиями. В программе представлены следующие методы преобразования:

   • lower – перевод всех символов в нижний регистр;
   • upper – перевод всех символов в верхний регистр;
   • regexp – извлечение подстроки с использованием регулярных выражений RE2;
   • substring – выбор текстовых строк по заданным номерам позиции;
   • replace – замена текста введенной строкой;
   • trim – удаление заданных символов;
   • append – добавление символов в конец значения поля;
   • prepend – добавление символов в начало значения поля.
5. Агрегация нормализованных событий

   Вы можете настроить правила агрегации, чтобы уменьшить количество схожих сообщений, передаваемых в хранилище и/или коррелятор. Например, можно агрегировать в одно событие все сообщения о сетевых подключениях, выполненных по одному и тому же протоколу (транспортного и прикладного уровней) между двумя IP-адресами и полученных в течение заданного интервала времени. Если настроены правила агрегации, несколько сообщений могут обрабатываться и сохраняться как одно событие. Это помогает снизить нагрузку на сервисы, которые отвечают за дальнейшую обработку событий, экономит место для хранения и экономит частоту обработки событий (EPS).

6. Передача нормализованных событий

   По завершении всех этапов обработки событие отправляется в настроенные точки назначения.

[Topic 217784]

Коррелятор

Коррелятор – это компонент программы, который анализирует нормализованные события. В процессе корреляции может использоваться информация из активных листов и/или словарей.

Полученные в ходе анализа данные применяются для выполнения следующих задач:

• выявление алертов;
• уведомление о выявленных алертах;
• управление содержимым активных листов;
• отправка корреляционных событий в настроенные точки назначения.

Корреляция событий выполняется в реальном времени. Принцип работы коррелятора основан на сигнатурном анализе событий. Это значит, что каждое событие обрабатывается в соответствии с правилами корреляции, заданными пользователем. При обнаружении последовательности событий, удовлетворяющих условиям правила корреляции, программа создает корреляционное событие и отправляет его в Хранилище. Корреляционное событие можно также отправлять на повторный анализ в коррелятор, позволяя таким образом настраивать правила корреляции на срабатывание от предыдущих результатов анализа. Результаты одного корреляционного правила могут использоваться другими корреляционными правилами.

Вы можете распределять правила корреляции и используемые ими активные листы между корреляторами, разделяя таким образом нагрузку между сервисами. В этом случае коллекторы будут отправлять нормализованные события во все доступные корреляторы.

Алгоритм работы коррелятора состоит из следующих этапов:

1. Получение события

   Коррелятор получает нормализованное событие из коллектора или другого сервиса.

2. Применение правил корреляции

   Правила корреляции можно настроить на срабатывание на основе одного события или последовательности событий. Если по правилам корреляции не был выявлен алерт, обработка события завершается.

3. Реагирование на алерт

   Вы можете задать действия, которые программа будет выполнять при выявлении алерта. В программе доступны следующие действия:

   • обогащение события;
   • операции с активными листами;
   • отправка уведомлений;
   • сохранение корреляционного события.
4. Отправка корреляционного события

   При обнаружении последовательности событий, удовлетворяющих условиям правила корреляции, программа создает корреляционное событие и отправляет его в хранилище. На этом обработка события коррелятором завершается.

[Topic 218010]

Хранилище

Хранилище KUMA используется для хранения нормализованных событий таким образом, чтобы к ним обеспечивался быстрый и бесперебойный доступ из KUMA с целью извлечения аналитических данных. Скорость и бесперебойность доступа обеспечивается за счет использования технологии ClickHouse. Таким образом хранилище – это кластер ClickHouse, связанный с сервисом хранилища KUMA.

Компоненты хранилища: кластеры, шарды, реплики, киперы

При выборе конфигурации кластера ClickHouse учитывайте требования вашей организации к хранению событий. Дополнительные сведения см. в документации ClickHouse.

В хранилищах можно создавать пространства. Пространства позволяют организовать в кластере структуру данных и, например, хранить события определенного типа вместе.

[Topic 220211]

Основные сущности

В этом разделе описаны основные сущности, с которыми работает KUMA.

[Topic 221264]

О тенантах

В KUMA действует режим мультитенантности, при котором один экземпляр программы KUMA, установленный в инфраструктуре основной организации (далее "главный тенант"), позволяет ее изолированным филиалам (далее "тенантам") получать и обрабатывать свои события.

Управление системой происходит централизовано через общий веб-интерфейс, при этом тенанты работают независимо друг от друга и имеют доступ только к своим ресурсам, сервисам и настройкам. События тенантов хранятся раздельно.

Пользователи могут иметь доступ сразу к нескольким тенантам. При этом можно выбирать, данные каких тенантов будут отображаться в разделах веб-интерфейса KUMA.

По умолчанию в KUMA созданы два тенанта:

• Главный (или Main) – в нем содержатся ресурсы и сервисы, относящиеся к главному тенанту. Эти ресурсы доступны только главному администратору.
• Общий – в этот тенант главный администратор может поместить ресурсы, категории активов и политики мониторинга, которые смогут задействовать пользователи всех тенантов.

[Topic 217693]

О событиях

События – это случаи активности сетевых устройств и служб, связанных с безопасностью, которые можно обнаружить и записать. Например, события включают попытки входа в систему, взаимодействия с базой данных и рассылку информации с датчиков. Каждое отдельное событие может показаться бессмысленным, но если рассматривать их вместе, они формируют более широкую картину сетевой активности, помогающую идентифицировать угрозы безопасности. Это основная функциональность KUMA.

KUMA получает события из журналов и реструктурирует их, приводя данные из разнородных источников к единому формату (этот процесс называется нормализацией). После этого события фильтруются, агрегируются и отправляются в сервис коррелятора для анализа и в сервис хранилища для хранения. Когда KUMA распознает заданное событие или последовательность событий, создаются корреляционные события, которые также анализируются и сохраняются. Если событие или последовательность событий указывают на возможную угрозу безопасности, KUMA создает алерт: это оповещение об угрозе, к которому привязываются все относящиеся к нему данные и которое требует внимания специалиста по безопасности.

На протяжении своего жизненного цикла события претерпевают изменения и могут называться по-разному. Так выглядит жизненный цикла типичного события:

Первые шаги выполняются в коллекторе.

1. "Сырое" событие. Исходное сообщение, полученное KUMA от источника событий с помощью коннектора, называется "сырым" событием. Это необработанное сообщение, и KUMA пока не может использовать его. Чтобы с таким событием можно было работать, его требуется нормализовать, то есть привести к модели данных KUMA. Это происходит на следующем этапе.
2. Нормализованное событие. Нормализатор – это набор парсеров, которые преобразуют данные "сырого" события так, чтобы они соответствовали модели данных KUMA. После этой трансформации исходное сообщение становится нормализованным событием и может быть проанализировано в KUMA. С этого момента KUMA работает только с нормализованными событиями. Необработанные, "сырые" события больше не используются, но их можно сохранить как часть нормализованных событий внутри поля Raw.

   В программе представлены следующие нормализаторы:

   • JSON
   • CEF
   • Regexp
   • Syslog (как для RFC3164 и RFC5424)
   • CSV/TSV
   • Ключ-значение
   • XML
   • Netflow v5, v9, IPFIX (v10), sFlow v5
   • SQL

   По завершении этого этапа нормализованные события можно использовать для анализа.

3. Точка назначения. После обработки события коллектором, оно готово к пересылке в другие сервисы KUMA: в коррелятор и/или хранилище KUMA.

Следующие этапы жизненного цикла события проходят в корреляторе.

Типы событий:

1. Базовое событие. Событие, которое было нормализовано.
2. Агрегированное событие. Чтобы не тратить время и ресурсы на обработку большого количества однотипных сообщений, похожие события можно объединять в одно событие. Такие события ведут себя и обрабатываются так же, как и базовые события, но в дополнение ко всем параметрам родительских событий (событий, которые были объединены) агрегированные события имеют счетчик, показывающий количество родительских событий, которые они представляют. Агрегированные события также хранят время, когда были получены первое и последнее родительские события.
3. Корреляционные события. При обнаружении последовательности событий, удовлетворяющих условиям правила корреляции, программа создает корреляционное событие. Эти события можно фильтровать, обогащать и агрегировать. Их также можно отправить на хранение или в коррелятор на анализ.
4. Событие аудита. События аудита создаются при выполнении в KUMA определенных действий, связанных с безопасностью, и используются для обеспечения целостности системы. Они автоматически размещаются в отдельном пространстве хранилища и хранятся не менее 365 дней.
5. Событие мониторинга. Такие события используются для отслеживания изменений в количестве данных, поступающих в KUMA.

[Topic 217691]

Об алертах

В KUMA алерты создаются при получении последовательности событий, запускающей правило корреляции. Аналитики KUMA создают правила корреляции для проверки входящих событий на предмет возможных угроз безопасности, поэтому при срабатывании правила корреляции появляется предупреждение о возможной вредоносной активности. Сотрудники службы безопасности, ответственные за защиту данных, должны изучить эти алерты и при необходимости отреагировать на них.

KUMA автоматически присваивает уровень важности каждому алерту. Этот параметр показывает, насколько важны или многочисленны процессы, запустившие правило корреляции. В первую очередь следует обрабатывать алерты с более высоким уровнем важности. Значение уровня важности автоматически обновляется при получении новых событий корреляции, но сотрудник службы безопасности также может задать его вручную. В этом случае уровень важности алерта больше не обновляется автоматически.

К алертам привязаны относящиеся к ним события, благодаря чему происходит обогащение алертов данными из событий. В KUMA также можно детально анализировать алерты.

На основании алертов можно создать инциденты.

Ниже представлен жизненный цикл алерта:

1. KUMA создает алерт при срабатывании правила корреляции. Алерт обновляется, если правило корреляции срабатывает снова. Алерту присваивается статус Новый.
2. Сотрудник службы безопасности назначает оператора для расследования алерта. Статус алерта меняется на Назначен.
3. Оператор выполняет одно из следующих действий:
   • Закрывает алерт как ложно положительный (статус алерта меняется на Закрыт).
   • Реагирует на угрозу и закрывает алерт (статус алерта меняется на Закрыт).

После этого алерт больше не обновляется новыми событиями, и, если правило корреляции срабатывает снова, создается новый алерт.

Работа с алертами в KUMA описана в этом разделе.

[Topic 220212]

Об инцидентах

Если характер поступающих в KUMA данных, создаваемых корреляционных событий и алертов указывает на возможную атаку или уязвимость, признаки такого происшествия можно объединить в инцидент. Это позволяет специалистам службы безопасности анализировать проявления угрозы комплексно и облегчает реагирование.

Инцидентам можно присваивать категории, типы и уровни важности, а также назначать их сотрудникам, ответственным за защиту данных, для обработки.

Инциденты можно экспортировать в НКЦКИ.

[Topic 217692]

Об активах

Активы – это сетевые устройства, зарегистрированные в KUMA. Активы генерируют сетевой трафик при отправке и получении данных. Программа KUMA может быть настроена для отслеживания этой активности и создания базовых событий с четким указанием того, откуда исходит трафик и куда он направляется. В событии могут быть записаны исходные и целевые IP-адреса, а также DNS-имена. Если вы регистрируете актив с определенными параметрами (например, конкретным IP-адресом), формируется связь между этим активом и всеми событиями, в которых указаны эти параметры (в нашем случае IP-адрес).

Активы можно разделить на логические группы. Это позволяет создать прозрачную структуру вашей сети, а также дает дополнительные возможности при работе с правилами корреляции. Когда обрабатывается событие, к которому привязан актив, категория этого актива также принимается во внимание. Например, если вы присвоите высокий уровень важности определенной категории активов, то связанные с этими активами базовые события породят корреляционные события с более высоким уровнем важности. Это, в свою очередь, приведет к появлению алертов с более высоким уровнем важности и, следовательно, более быстрой реакцией на такой алерт.

Рекомендуется регистрировать сетевые активы в KUMA, поскольку их использование позволяет формулировать четкие и универсальные правила корреляции для более эффективного анализа событий.

Работа с активами в KUMA описана в этом разделе.

[Topic 221640]

О ресурсах

Ресурсы – это компоненты KUMA, которые содержат параметры для реализации различных функций: например, установления связи с заданным веб-адресом или преобразования данных по определенным правилам. Из этих компонентов, как из частей конструктора, собираются наборы ресурсов для сервисов, на основе которых в свою очередь создаются сервисы KUMA.

[Topic 221642]

О сервисах

Сервисы – это основные компоненты KUMA, с помощью которых осуществляется работа с событиями: получение, обработка, анализ и хранение. Каждый сервис состоит из двух частей, работающих вместе:

• Одна часть сервиса создается внутри веб-интерфейса KUMA на основе набора ресурсов для сервисов.
• Вторая часть сервиса устанавливается в сетевой инфраструктуре, где развернута система KUMA, в качестве одного из ее компонентов. Серверная часть сервиса может состоять из нескольких экземпляров: например, сервисы одного и того же агента или хранилища могут быть установлены сразу на нескольких машинах.

Между собой части сервисов соединены с помощью идентификатора сервисов.

[Topic 217690]

Об агентах

Агенты KUMA – это сервисы, которые используются для пересылки необработанных событий с серверов и рабочих станций в коллекторы KUMA.

Типы агентов:

• wmi – используются для получения данных с удаленных машин Windows с помощью Windows Management Instrumentation. Устанавливается на устройства Windows.
• wec – используются для получения журналов Windows с локальной машины помощью Windows Event Collector. Устанавливается на устройства Windows.
• tcp – используются для получения данных по протоколу TCP. Устанавливается на устройства Linux и Windows.
• udp – используются для получения данных по протоколу UDP. Устанавливается на устройства Linux и Windows.
• nats – используются для коммуникации через NATS. Устанавливается на устройства Linux и Windows.
• kafka – используются для коммуникации с помощью kafka. Устанавливается на устройства Linux и Windows.
• http – используются для связи по протоколу HTTP. Устанавливается на устройства Linux и Windows.
• file – используются для получения данных из файла. Устанавливается на устройства Linux.
• ftp – используются для получения данных по протоколу File Transfer Protocol. Устанавливается на устройства Linux и Windows.
• nfs – используются для получения данных по протоколу Network File System. Устанавливается на устройства Linux и Windows.
• snmp – используются для получения данных с помощью Simple Network Management Protocol. Устанавливается на устройства Linux и Windows.
• diode – используются вместе с диодами данных для получения событий из изолированных сегментов сети. Устанавливается на устройства Linux.

[Topic 217695]

Об уровне важности

Параметр Уровень важности отражает, насколько чувствительны для безопасности происшествия, обнаруженные коррелятором KUMA. Он показывает порядок, в котором следует обрабатывать алерты, а также указывает, требуется ли участие старших специалистов по безопасности.

Коррелятор автоматически назначает уровень важности корреляционным событиям и алертам, руководствуясь настройками правил корреляции. Уровень важности алерта также зависит от активов, связанных с обработанными событиями, так как правила корреляции принимают во внимание уровень важности категории этих активов. Если к алерту или корреляционному событию не привязаны активы с уровнем важности или не привязаны активы вообще, уровень важности такого алерта или корреляционного события приравнивается к уровню важности породившего их правила корреляции. Уровень важности алерта или корреляционного события всегда больше или равен уровню важности породившего их правила корреляции.

Уровень важности алерта можно изменить вручную. Измененный вручную уровень важности перестает автоматически обновляться правилами корреляции.

Возможные значения уровня важности:

• Низкий
• Средний
• Высокий
• Критический

[Topic 217904]

Установка и удаление KUMA

В этом разделе описана установка KUMA. KUMA можно установить на одном сервере для ознакомления с возможностями программы. KUMA также можно установить в производственной среде.

[Topic 231034]

Требования к установке программы

Требования при установке на операционной системе Oracle Linux

• Образ диска для установки доступен на официальном сайте Oracle.
• Убедиться, что в операционной системе установлен Python версии 3.6 или выше.
• Убедиться, что в операционной системе НЕ включен модуль SELinux. Работа KUMA и установщика KUMA совместно с включенным SELinux не поддерживается.
• Убедиться, что в операционной системе установлена система управления пакетами pip3.
• Убедиться, что в операционной системе установлены следующие пакеты:
  • netaddr
  • firewalld

  Эти пакеты можно установить с помощью следующих команд:

  • pip3 install netaddr
  • yum install firewalld

Требования при установке на операционной системе Astra Linux Special Edition

• Убедиться, что в операционной системе установлен Python версии 3.6 или выше.
• Убедиться, что в операционной системе установлена система управления пакетами pip3.
• Убедиться, что в операционной системе установлены следующие пакеты:
  • python3-apt
  • curl
  • libcurl4

  Эти пакеты можно установить с помощью команды apt install python3-apt curl libcurl4.

• Убедиться, что в операционной системе установлены следующие зависимые пакеты:
  • netaddr
  • python3-cffi-backend

  Эти пакеты можно установить с помощью следующих команд:

  • apt install python3-cffi-backend
  • pip3 install netaddr

  Если вы собираетесь из KUMA обращаться к базам данных Oracle DB, необходимо установить пакет libaio1.

• Пользователю, под которым вы собираетесь устанавливать программу, требуется присвоить необходимый уровень прав с помощью команды sudo pdpl-user -i 63 <имя пользователя>.

Общие требования к установке

• Имя сервера, на котором запускается установщик, должно отличаться от localhost или localhost.<домен>. Установщик можно запустить из любой папки.
• Перед развертыванием программы требуется убедиться, что серверы, предназначенные для установки ее компонентов, соответствуют аппаратным и программным требованиям.
• Адресация компонентов KUMA осуществляется по полному доменному имени (FQDN) хоста. Перед установкой программы убедитесь, что команда hostnamectl status возвращает правильное имя FQDN хоста в поле Static hostname.
• Для синхронизации времени на всех серверах с сервисами KUMA рекомендуется использовать протокол Network Time Protocol (NTP).
• В качестве файловой системы на серверах кластера ClickHouse рекомендуется использовать ext4.

[Topic 217908]

Установка для демонстрации

Для демонстрации вы можете развернуть компоненты KUMA на одном сервере. Перед установкой программы ознакомьтесь с требованиями к установке KUMA, а также аппаратными и системными требованиями.

Установка KUMA происходит в несколько этапов:

1. Подготовка контрольной машины

   Контрольная машина используется в процессе установки программы: на ней распаковывается и запускаются файлы установщика.

2. Подготовка целевой машины

   На целевые машины устанавливаются компоненты программы. Контрольную машину можно использовать в качестве целевой.

3. Подготовка файла инвентаря для демонстрационной установки

   Создайте файл инвентаря с описанием сетевой структуры компонентов программы, с помощью которого установщик сможет развернуть KUMA.

4. Установка программы для демонстрации

   Установите программу и получите URL и учетные данные для входа в веб-интерфейс.

При необходимости установленную на демонстрации программу можно разнести на разные серверы для полноценной работы.

[Topic 222158]

Подготовка файла инвентаря для демонстрационной установки

Установка, обновление и удаление компонентов KUMA производится из папки с распакованным установщиком с помощью инструмента Ansible и созданного пользователем файла инвентаря с перечнем хостов компонентов KUMA и других параметров. В случае демонстрационной установке хост для всех компонентов будет указан один и тот же. Файл инвентаря имеет формат YAML.

Чтобы создать файл инвентаря для демонстрационной установки:

1. Перейдите в директорию установщика KUMA, выполнив следующую команду:

   cd kuma-ansible-installer

2. Создайте файл инвентаря, скопировав шаблон single.inventory.yml.template:

   cp single.inventory.yml.template single.inventory.yml

3. Отредактируйте параметры файла инвентаря single.inventory.yml:
   • Если вы хотите, чтобы при установке были созданы демонстрационные сервисы, присвойте параметру deploy_example_services значение true.

     deploy_example_services: true

     Демонстрационные сервисы можно создать только при первичной установке KUMA – при обновлении системы с помощью того же файла инвентаря демонстрационные сервисы созданы не будут.

   • Если вы устанавливаете KUMA в производственной среде и имеете отдельную контрольную машину, присвойте параметру ansible_connection значение ssh:

     ansible_connection: ssh

4. Замените в файле инвентаря все строки kuma.example.com на хост целевой машины, на которую следует установить компоненты KUMA.

Файл инвентаря создан. С его помощью можно установить KUMA для демонстрации.

Рекомендуется не удалять файл инвентаря после установки KUMA:

• Если этот файл изменить (например, дополнить данными о новом сервере для коллектора), его можно использовать повторно для обновления системы новым компонентом.
• Этот же файл инвентаря можно использовать для удаления KUMA.

[Topic 222159]

Демонстрационная установка программы

Установка KUMA производится помощью инструмента Ansible и YML-файла инвентаря. Установка производится с контрольной машины, при этом все компоненты KUMA устанавливаются на целевых машинах.

Чтобы установить KUMA для демонстрации:

1. На контрольной машине войдите в папку с распакованным установщиком.
2. Подложите в папку <папка установщика>/roles/kuma/files/ файл с лицензионным ключом.

   Файл ключа должен иметь название license.key.

3. Запустите установщик, выполнив следующую команду:

   sudo ./install.sh single.inventory.yml

4. Примите условия Лицензионного соглашения.

   Если вы не примите условия Лицензионного соглашения, программа не будет установлена.

Компоненты KUMA установлены на целевой машине. На экране будет отображен URL веб-интерфейса KUMA и указано имя пользователя и пароль, которые необходимо использовать для доступа к веб-интерфейса.

По умолчанию адрес веб-интерфейса KUMA – https://kuma.example.com:7220.

Учетные данные, используемые для входа по умолчанию (после первого входа требуется изменить пароль учетной записи admin):
- логин – admin
- пароль – mustB3Ch@ng3d!

Рекомендуется сохранить файл инвентаря, использованный для установки программы. С его помощью можно дополнить систему компонентами или удалить KUMA.

Демонстрационную установку можно расширить до полноценной.

[Topic 222160]

Расширение демонстрационной установки

Расширение демонстрационной установки производится путем установки программы по шаблону distributed.inventory.yml поверх установленной KUMA.

Расширение демонстрационной установки производится в несколько этапов:

1. Установка программы

   На этапе подготовке файла инвентаря укажите хост демонстрационного сервера поместите в группе core.

2. Удаление демонстрационных сервисов

   В веб-интерфейсе KUMA в разделе Ресурсы → Активные сервисы скопируйте идентификаторы существующих сервисов и удалите их.

   Затем удалите сервисы с машины, где они были установлены, с помощью команды sudo /opt/kaspersky/kuma/kuma <collector/correlator/storage> --id <идентификатор сервиса> --uninstall. Повторите команду удаления для каждого сервиса.

3. Пересоздание сервисов на нужных машинах

[Topic 217917]

Установка KUMA в производственной среде

Перед установкой программы ознакомьтесь с требованиями к установке KUMA, а также аппаратными и системными требованиями. Установка KUMA происходит в несколько этапов:

1. Настройка сетевого доступа

   Убедитесь, что все необходимые порты открыты для взаимодействия между компонентами KUMA с учетом структуры безопасности на вашем предприятии.

2. Подготовка контрольной машины

   Контрольная машина используется в процессе установки программы: на ней распаковывается и запускаются файлы установщика.

3. Подготовка целевых машин

   На целевые машины устанавливаются компоненты программы.

4. Подготовка файла инвентаря

   Создайте файл инвентаря с описанием сетевой структуры компонентов программы, с помощью которого установщик сможет развернуть KUMA.

5. Установка программы

   Установите программу и получите URL и учетные данные для входа в веб-интерфейс.

6. Создание сервисов

   Создайте сервисы в веб-интерфейсе KUMA и установите их на предназначенных для них целевых машинах.

[Topic 217770]

Настройка сетевого доступа

Для правильной работы программы нужно убедиться, что компоненты KUMA могут взаимодействовать с другими компонентами и программами по сети через протоколы и порты, указанные во время установки компонентов KUMA. В таблице ниже показаны значения сетевых портов по умолчанию.

Сетевые порты, используемые для взаимодействия компонентов KUMA друг с другом

[Topic 222083]

Подготовка контрольной машины

Контрольная машина используется в процессе установки программы: на ней распаковывается и запускаются файлы установщика.

Чтобы подготовить контрольную машину для установки KUMA:

1. Установите на контрольную машину операционную систему и установите на нее необходимые пакеты.
2. Настройте сетевой интерфейс.

   Для удобства можно воспользоваться утилитой с графическим интерфейсом nmtui.

3. Настройте синхронизацию системного времени с NTP-сервером:
   1. Если машина не имеет прямого доступа в интернет, отредактируйте файл /etc/chrony.conf, заменив значение 2.pool.ntp.org на имя или IP-адрес внутреннего NTP-сервера вашей организации.
   2. Запустите сервис синхронизации системного времени, выполнив следующую команду:

      sudo systemctl enable --now chronyd

   3. Выждите несколько секунд и выполните следующую команду:

      sudo timedatectl | grep 'System clock synchronized'

      Если системное время синхронизировано верно, вывод будет содержать строку System clock synchronized: yes.

4. Сгенерируйте SSH-ключ для аутентификации на SSH-серверах целевых машин, выполнив следующую команду:

   sudo ssh-keygen -f /root/.ssh/id_rsa -N "" -C kuma-ansible-installer

5. Убедитесь, что контрольная машина имеет сетевой доступ ко всем целевым машинам по имени хоста и скопируйте SSH-ключ на каждую из них, выполнив следующую команду:

   sudo ssh-copy-id -i /root/.ssh/id_rsa root@<имя хоста контрольной машины>

6. Скопируйте архив с установщиком KUMA на контрольную машину и распакуйте его с помощью следующей команды (потребуется около 2 ГБ дискового пространства):

   sudo tar -xpf kuma-ansible-installer-<version>.tar.gz

Контрольная машина готова для установки KUMA.

[Topic 217955]

Подготовка целевой машины

На целевые машины устанавливаются компоненты программы.

Чтобы подготовить целевую машину для установки компонентов KUMA:

1. Установите на контрольную машину операционную систему и установите на нее необходимые пакеты.
2. Настройте сетевой интерфейс.

   Для удобства можно воспользоваться утилитой с графическим интерфейсом nmtui.

3. Настройте синхронизацию системного времени с NTP-сервером:
   1. Если машина не имеет прямого доступа в интернет, отредактируйте файл /etc/chrony.conf, заменив значение 2.pool.ntp.org на имя или IP-адрес внутреннего NTP-сервера вашей организации.
   2. Запустите сервис синхронизации системного времени, выполнив следующую команду:

      sudo systemctl enable --now chronyd

   3. Выждите несколько секунд и выполните следующую команду:

      sudo timedatectl | grep 'System clock synchronized'

      Если системное время синхронизировано верно, вывод будет содержать строку System clock synchronized: yes.

4. Установите имя хоста. Настоятельно рекомендуется использовать FQDN. Например: kuma-1.mydomain.com.

   Не следует изменять имя хоста KUMA после установки: это приведет к невозможности проверки подлинности сертификатов и нарушит сетевое взаимодействие между компонентами программы.

5. Зарегистрируйте целевую машину в DNS-зоне вашей организации для преобразования имен хостов в IP-адреса.

   Если в вашей организации не используется DNS-сервер, вы можете использовать для преобразования имен файл /etc/hosts. Содержимое файлов можно автоматически создать для каждой целевой машины при установке KUMA.

6. Выполните следующую команду и запишите результат:

   hostname -f

   Данное имя хоста потребуется указать при установке KUMA. Целевая машина должна быть доступна по этому имени для контрольной машины.

Целевая машина готова для установки компонентов KUMA.

Контрольную машину можно использовать в качестве целевой. Для этого подготовьте контрольную машину, а затем выполните на ней шаги 4–6 из инструкции по подготовке целевой машины.

[Topic 222085]

Подготовка файла инвентаря

Установка, обновление и удаление компонентов KUMA производится из папки с распакованным установщиком с помощью инструмента Ansible и созданного пользователем файла инвентаря с перечнем хостов компонентов KUMA и других параметров. Файл инвентаря имеет формат YAML.

Чтобы создать файл инвентаря:

1. Перейдите в директорию установщика KUMA, выполнив следующую команду:

   cd kuma-ansible-installer

2. Создайте файл инвентаря, скопировав шаблон distributed.inventory.yml.template:

   cp distributed.inventory.yml.template distributed.inventory.yml

3. Отредактируйте параметры файла инвентаря:
   • Если вы хотите, чтобы при установке были созданы демонстрационные сервисы, присвойте параметру deploy_example_services значение true.

     deploy_example_services: true

     Демонстрационные сервисы можно создать только при первичной установке KUMA – при обновлении системы с помощью того же файла инвентаря демонстрационные сервисы созданы не будут.

   • Если машины не зарегистрированы в DNS-зоне вашей организации, присвойте параметру generate_etc_hosts значение true, а также для каждой машины в инвентаре замените значения параметра ip (0.0.0.0) на актуальные IP-адреса.

     generate_etc_hosts: true

     При использование этого параметра установщик автоматически дополнит файлы /etc/hosts на машинах, куда устанавливаются компоненты KUMA, IP-адресами машин из файла инвентаря.

   • Если вы устанавливаете KUMA в производственной среде и имеете отдельную контрольную машину, присвойте параметру ansible_connection значение ssh:

     ansible_connection: ssh

4. Укажите в файле инвентаря хост целевых машин, на которых следует установить компоненты KUMA. Если машины не зарегистрированы в DNS-зоне вашей организации, замените значения параметра ip (0.0.0.0) на актуальные IP-адреса.

   Хосты указываются в следующих разделах файла инвентаря:

   • core – раздел для указания хоста и IP-адреса целевой машины, на которой будет установлено Ядро KUMA. В этом разделе можно указать только один хост.
   • collector – раздел для указания хоста и IP-адреса целевой машины, на которой будет установлен коллектор. В этом разделе можно указать один или более хостов.
   • correlator – раздел для указания хоста и IP-адреса целевой машины, на которой будет установлен коррелятор. В этом разделе можно указать один или более хостов.
   • storage – раздел для указания хостов и IP-адресов целевых машин, на которых будут установлены компоненты хранилища. В этом разделе можно указать один или более хостов.

     Компоненты хранилища: кластеры, шарды, реплики, киперы

     Кластер ClickHouse (cluster) – логическая группа машин, обладающих всеми накопленными нормализованными событиями KUMA. Подразумевает наличие одного или нескольких логических шардов.

     Шард (shard) – логическая группа машин, обладающих некоторой частью всех накопленных в кластере нормализованных событий. Подразумевает наличие одной или нескольких реплик. Увеличение количества шардов позволяет:

     • Накапливать больше событий за счет увеличения общего количества серверов и дискового пространства.
     • Поглощать больший поток событий за счет распределения нагрузки, связанной со вставкой новых событий.
     • Уменьшить время поиска событий за счет распределения поисковых зон между несколькими машинами.

     Реплика (replica) – машина, являющаяся членом логического шарда и обладающая одной копией данных этого шарда. Если реплик несколько – копий тоже несколько (данные реплицируются). Увеличение количества реплик позволяет:

     • Улучшить отказоустойчивость.
     • Распределить общую нагрузку, связанную с поиском данных, между несколькими машинами (однако для этой цели лучше увеличить количество шардов).

     Кипер (keeper) – машина, участвующая в координации репликации данных на уровне всего кластера. На весь кластер требуется хотя бы одна машина с этой ролью. Рекомендуемое количество машин с такой ролью – 3. Число машин, участвующих в координации репликации, должно быть нечетным. Роль кипера и реплики можно совмещать.

     Каждая машина в разделе storage может иметь следующие комбинации параметров:

     • shard + replica + keeper
     • shard + replica
     • keeper

     Если указаны параметры shard и replica, машина является частью кластера и принимает участие в накоплении и поиске нормализованных событий KUMA. Если дополнительно указан параметр keeper, машина также принимает участие в координации репликации данных на уровне всего кластера.

     Если указан только параметр keeper, машина не будет накапливать нормализованные события, но будет участвовать в координации репликации данных на уровне всего кластера. Значения параметра keeper должны быть уникальными.

     Если в рамках одного шарда определено несколько реплик, значение параметра replica должно быть уникальным в рамках этого шарда.

Файл инвентаря создан. С его помощью можно установить KUMA.

Рекомендуется не удалять файл инвентаря после установки KUMA:

• Если этот файл изменить (например, дополнить данными о новом сервере для коллектора), его можно использовать повторно для обновления системы новым компонентом.
• Этот же файл инвентаря можно использовать для удаления KUMA.

[Topic 217914]

Установка программы

Установка KUMA производится помощью инструмента Ansible и YML-файла инвентаря. Установка производится с контрольной машины, при этом все компоненты KUMA устанавливаются на целевых машинах.

Чтобы установить KUMA:

1. На контрольной машине войдите в папку с распакованным установщиком.
2. Подложите в папку <папка установщика>/roles/kuma/files/ файл с лицензионным ключом.

   Файл ключа должен иметь название license.key.

3. Запустите установщик, выполнив следующую команду:

   sudo ./install.sh distributed.inventory.yml

4. Примите условия Лицензионного соглашения.

   Если вы не примите условия Лицензионного соглашения, программа не будет установлена.

Компоненты KUMA установлены на целевых машинах. На экране будет отображен URL веб-интерфейса KUMA и указано имя пользователя и пароль, которые необходимо использовать для доступа к веб-интерфейса.

По умолчанию адрес веб-интерфейса KUMA – https://kuma.example.com:7220.

Учетные данные, используемые для входа по умолчанию (после первого входа требуется изменить пароль учетной записи admin):
- логин – admin
- пароль – mustB3Ch@ng3d!

Рекомендуется сохранить файл инвентаря, использованный для установки программы. С его помощью можно дополнить систему компонентами или удалить KUMA.

[Topic 217903]

Создание сервисов

Сервисы KUMA следует устанавливать только после завершения развертывания KUMA. Сервисы можно устанавливать в любом порядке.

При развертывании нескольких сервисов KUMA на одном хосте в процессе установки требуется указать уникальные порты для каждого сервиса с помощью параметров --api.port <порт>.

Ниже перечислены разделы, в которых описано создание сервисов:

• Создание хранилища
• Создание коррелятора
• Создание коллектора
• Создание агентов KUMA

[Topic 217747]

Изменение корневого сертификата

После установки Ядра KUMA создается уникальный самоподписанный корневой сертификат с соответствующим ключом. Этот сертификат используется для подписи всех других сертификатов, используемых для внутренней связи между компонентами KUMA, а также для запросов REST API. Корневой сертификат хранится на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.

Вы можете использовать сертификат и ключ своей компании вместо самоподписанного корневого сертификата и ключа KUMA.

Перед изменением сертификата KUMA обязательно сделайте резервную копию предыдущего сертификата и ключа с именами backup_external.cert и backup_external.key.

Чтобы изменить корневой сертификат KUMA:

1. Переименуйте файлы сертификата и ключа вашей компании в external.cert и external.key.

   Ключи должны быть в PEM-формате.

2. Поместите external.cert и external.key в папку /opt/kaspersky/kuma/core/certificates/.
3. Перезапустите службу kuma-core, выполнив команду sudo systemctl restart kuma-core.
4. Перезапустите браузер, с помощью которого вы работаете в веб-интерфейсе KUMA.

Сертификат и ключ вашей компании используются для внутренней связи между компонентами KUMA и для запросов REST API.

[Topic 238599]

Дополнительные кластеры ClickHouse

В KUMA можно добавить более одного кластера хранилища ClickHouse. Добавление дополнительного кластера ClickHouse производится в несколько этапов:

1. Подготовка целевой машины

   На целевой машине необходимо в директории /etc/hosts указать FQDN сервера с Ядром KUMA.

2. Подготовка файла инвентаря кластера

   В зависимости от типа установки – локальной или удаленной, – файл инвентаря готовится на целевой машине или на машине с установленным Ядром KUMA.

3. Установка дополнительного кластера
4. Создание хранилища

При создании узлов кластера хранилища убедитесь в сетевой связности системы и откройте используемые компонентами порты.

[Topic 238675]

Подготовка файла инвентаря кластера

Установка, обновление и удаление компонентов KUMA производится из директории с распакованным установщиком с помощью инструмента Ansible и созданного пользователем файла инвентаря с перечнем хостов компонентов KUMA и других параметров. Файл инвентаря имеет формат YAML.

Чтобы создать файл инвентаря:

1. Перейдите в директорию распакованного установщика KUMA, выполнив следующую команду:

   cd kuma-ansible-installer

2. Создайте файл инвентаря, скопировав шаблон additional-storage-cluster.inventory.yml.template:

   cp additional-storage-cluster.inventory.yml.template additional-storage-cluster.inventory.yml

3. Отредактируйте параметры файла инвентаря:
   • Если вы хотите, чтобы при установке были созданы демонстрационные сервисы, присвойте параметру deploy_example_services значение true.

     deploy_example_services: true

     Демонстрационные сервисы можно создать только при первичной установке KUMA – при обновлении системы с помощью того же файла инвентаря демонстрационные сервисы созданы не будут.

   • Если машины не зарегистрированы в DNS-зоне вашей организации, присвойте параметру generate_etc_hosts значение true, а также для каждой машины в инвентаре замените значения параметра ip (0.0.0.0) на актуальные IP-адреса.

     generate_etc_hosts: true

     При использование этого параметра установщик автоматически дополнит файлы /etc/hosts на машинах, куда устанавливаются компоненты KUMA, IP-адресами машин из файла инвентаря.

   • Присвойте параметру ansible_connection значение:
     • Укажите local, если хотите установить кластер локально, на предназначенном ему сервере:

       ansible_connection: local

     • Укажите ssh, если хотите установить кластер централизовано, с сервера с установленным Ядром KUMA:

       ansible_connection: ssh

4. Укажите в файле инвентаря в разделе storage полные имена доменов хостов, на которых вы хотите установить ноды кластера. Если машины не зарегистрированы в DNS-зоне вашей организации, замените значения параметра ip (0.0.0.0) на актуальные IP-адреса.

   Компоненты хранилища: кластеры, шарды, реплики, киперы

   Кластер ClickHouse (cluster) – логическая группа машин, обладающих всеми накопленными нормализованными событиями KUMA. Подразумевает наличие одного или нескольких логических шардов.

   Шард (shard) – логическая группа машин, обладающих некоторой частью всех накопленных в кластере нормализованных событий. Подразумевает наличие одной или нескольких реплик. Увеличение количества шардов позволяет:

   • Накапливать больше событий за счет увеличения общего количества серверов и дискового пространства.
   • Поглощать больший поток событий за счет распределения нагрузки, связанной со вставкой новых событий.
   • Уменьшить время поиска событий за счет распределения поисковых зон между несколькими машинами.

   Реплика (replica) – машина, являющаяся членом логического шарда и обладающая одной копией данных этого шарда. Если реплик несколько – копий тоже несколько (данные реплицируются). Увеличение количества реплик позволяет:

   • Улучшить отказоустойчивость.
   • Распределить общую нагрузку, связанную с поиском данных, между несколькими машинами (однако для этой цели лучше увеличить количество шардов).

   Кипер (keeper) – машина, участвующая в координации репликации данных на уровне всего кластера. На весь кластер требуется хотя бы одна машина с этой ролью. Рекомендуемое количество машин с такой ролью – 3. Число машин, участвующих в координации репликации, должно быть нечетным. Роль кипера и реплики можно совмещать.

   Каждая машина в разделе storage может иметь следующие комбинации параметров:

   • shard + replica + keeper
   • shard + replica
   • keeper

   Если указаны параметры shard и replica, машина является частью кластера и принимает участие в накоплении и поиске нормализованных событий KUMA. Если дополнительно указан параметр keeper, машина также принимает участие в координации репликации данных на уровне всего кластера.

   Если указан только параметр keeper, машина не будет накапливать нормализованные события, но будет участвовать в координации репликации данных на уровне всего кластера. Значения параметра keeper должны быть уникальными.

   Если в рамках одного шарда определено несколько реплик, значение параметра replica должно быть уникальным в рамках этого шарда.

Файл инвентаря создан. С его помощью можно создать кластер ClickHouse.

Рекомендуется не удалять файл инвентаря после установки KUMA:

• Если этот файл изменить (например, дополнить данными о новом сервере для коллектора), его можно использовать повторно для обновления системы новым компонентом.
• Этот же файл инвентаря можно использовать для удаления KUMA.

[Topic 238677]

Установка дополнительного кластера

Установка KUMA производится помощью инструмента Ansible и YML-файла инвентаря.

Чтобы установить дополнительный кластер KUMA:

1. На подготовленной целевой машине или машине с установленным Ядром KUMA (в зависимости от параметра ansible_connection) войдите в папку с распакованным установщиком.
2. Запустите установщик, выполнив следующую команду:

   PYTHONPATH="$(pwd)/ansible/site-packages:${PYTHONPATH}" python3 ./ansible/bin/ansible-playbook -i additional-storage-cluster.inventory.yml additional-storage-cluster.playbook.yml

Дополнительный кластер ClickHouse установлен. Для записи данных в кластер с помощью KUMA необходимо создать хранилище.

[Topic 239283]

Удаление кластера

Чтобы удалить кластер ClickHouse,

выполните следующую команду:

systemctl stop kuma-storage-<идентификатор хранилища> && systemctl stop kuma-clickhouse && systemctl disable kuma-storage-<идентификатор хранилища> && systemctl disable kuma-clickhouse && rm -rf /usr/lib/systemd/system/kuma-storage-<идентификатор хранилища>.service && rm -rf /usr/lib/systemd/system/kuma-clickhouse.service && systemctl daemon-reload && rm -rf /opt/kaspersky/kuma

Сервисы хранилища KUMA и кластера ClickHouse будут остановлены и удалены.

[Topic 217962]

Удаление KUMA

При удалении KUMA используется инструмент Ansible и созданный пользователем файл инвентаря.

Чтобы удалить KUMA:

1. На контрольной машине войдите в директорию установщика:

   cd kuma-ansible-installer

2. Выполните следующую команду:

   sudo ./uninstall.sh <файл инвентаря>

KUMA и все данные программы удалены с серверов.

Базы данных, которые использовались KUMA (например, база данных хранилища ClickHouse), и содержащуюся в них информацию следует удалить отдельно.

[Topic 222156]

Обновление предыдущих версий KUMA

KUMA версии 2.x можно установить поверх версий 1.5.x и выше. Для этого следуйте инструкции по установке программы в производственной среде и на этапе подготовке файла инвентаря перечислите в нем хосты уже развернутой системы KUMA.

После обновления KUMA необходимо очистить кеш браузера.

Если после обновления KUMA в журналах хранилища отображаются ошибки о подозрительных строках, выполните следующую команду на сервере хранилища KUMA: touch /opt/kaspersky/kuma/clickhouse/data/flags/force_restore_data && systemctl restart kuma-clickhouse.

[Topic 217959]

Лицензирование программы

Этот раздел содержит информацию об основных понятиях, связанных с лицензированием программы.

[Topic 222243]

О Лицензионном соглашении

Лицензионное соглашение – это юридическое соглашение между вами и АО "Лаборатория Касперского", в котором указано, на каких условиях вы можете использовать программу.

Внимательно ознакомьтесь с условиями Лицензионного соглашения перед началом работы с программой.

Вы можете ознакомиться с условиями Лицензионного соглашения следующими способами:

• Во время установки KUMA.
• Прочитав документ LICENSE. Этот документ включен в комплект поставки программы и находится внутри установщика в директории /kuma-ansible-installer/roles/kuma/files/.

  После развертывания программы документ доступен директории /opt/kaspersky/kuma/LICENSE.

Вы принимаете условия Лицензионного соглашения, подтверждая свое согласие с текстом Лицензионного соглашения во время установки программы. Если вы не согласны с условиями Лицензионного соглашения, вы должны прервать установку программы и не должны использовать программу.

[Topic 233460]

О лицензии

Лицензия – это ограниченное по времени право на использование программы, предоставляемое вам на основании Лицензионного соглашения.

Лицензия включает в себя право на получение следующих видов услуг:

• использование программы в соответствии с условиями Лицензионного соглашения;
• получение технической поддержки.

Объем предоставляемых услуг и срок использования программы зависят от типа лицензии, по которой была активирована программа.

Лицензия предоставляется при приобретении программы. По истечении срока действия лицензии программа продолжает работу, но с ограниченной функциональностью (например, недоступно создание новых ресурсов). Чтобы продолжить использование KUMA в режиме полной функциональности, вам нужно продлить срок действия лицензии.

Рекомендуется продлевать срок действия лицензии не позднее даты его окончания, чтобы обеспечить максимальную защиту от угроз компьютерной безопасности.

[Topic 233471]

О Лицензионном сертификате

Лицензионный сертификат – это документ, который передается вам вместе с файлом ключа или кодом активации.

В Лицензионном сертификате содержится следующая информация о предоставляемой лицензии:

• лицензионный ключ или номер заказа;
• информация о пользователе, которому предоставляется лицензия;
• информация о программе, которую можно активировать по предоставляемой лицензии;
• ограничение на количество единиц лицензирования (например, количество обрабатываемых событий в секунду);
• дата начала срока действия лицензии;
• дата окончания срока действия лицензии или срок действия лицензии;
• тип лицензии.

[Topic 233462]

О лицензионном ключе

Лицензионный ключ – последовательность бит, с помощью которой вы можете активировать и затем использовать программу в соответствии с условиями Лицензионного соглашения. Лицензионный ключ создается специалистами "Лаборатории Касперского".

Вы можете добавить лицензионный ключ в программу, применив файл ключа. Лицензионный ключ отображается в интерфейсе программы в виде уникальной буквенно-цифровой последовательности, после того как вы добавили его в программу.

Лицензионный ключ может быть заблокирован "Лабораторией Касперского", если условия Лицензионного соглашения нарушены. Если лицензионный ключ заблокирован, для работы программы требуется добавить другой лицензионный ключ.

Лицензионный ключ может быть активным и резервным.

Активный лицензионный ключ – лицензионный ключ, используемый в текущий момент для работы программы. В качестве активного может быть добавлен лицензионный ключ для пробной или коммерческой лицензии. В программе не может быть больше одного активного лицензионного ключа.

Резервный лицензионный ключ – лицензионный ключ, подтверждающий право на использование программы, но не используемый в текущий момент. Дополнительный лицензионный ключ автоматически становится активным, когда заканчивается срок действия лицензии, связанной с текущим активным лицензионным ключом. Дополнительный лицензионный ключ может быть добавлен только при наличии активного лицензионного ключа.

Лицензионный ключ для пробной лицензии может быть добавлен только в качестве активного лицензионного ключа. Лицензионный ключ для пробной лицензии не может быть добавлен в качестве дополнительного лицензионного ключа.

[Topic 233467]

О файле ключа

Файл ключа – это файл с названием license.key, который вам предоставляет "Лаборатория Касперского". Файл ключа предназначен для добавления лицензионного ключа, активирующего программу.

Вы получаете файл ключа по указанному вами адресу электронной почты после приобретения KUMA.

Чтобы активировать программу с помощью файла ключа, не требуется подключение к серверам активации "Лаборатории Касперского".

Если файл ключа был случайно удален, вы можете его восстановить. Файл ключа может потребоваться вам, например, для регистрации в Kaspersky CompanyAccount.

Для восстановления файла ключа вам нужно выполнить одно из следующих действий:

• Обратиться к продавцу лицензии.
• Получить файл ключа на веб-сайте "Лаборатории Касперского" на основе имеющегося кода активации.

[Topic 217709]

Добавление лицензионного ключа в веб-интерфейс программы

В веб-интерфейсе KUMA можно добавить лицензионный ключ программы.

Только пользователи с ролью администратора могут добавлять лицензионные ключи.

Чтобы добавить лицензионный ключ в веб-интерфейс KUMA:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Лицензия.

   Откроется окно с условиями лицензии KUMA.

2. Выберите ключ, который хотите добавить:
   • Если необходимо добавить активный ключ, нажмите кнопку Добавить активный лицензионный ключ.

     Эта кнопка не отображается, если в программу уже был добавлен лицензионный ключ. Если вы хотите добавить активный лицензионный ключ вместо уже добавленного ключа, текущий лицензионный ключ необходимо удалить.

   • Если вы хотите добавить резервный ключ, нажмите кнопку Добавить резервный лицензионный ключ.

     Эта кнопка неактивна, пока не будет добавлен активный ключ. Если вы хотите добавить резервный лицензионный ключ вместо уже добавленного ключа, текущий резервный лицензионный ключ необходимо удалить.

   Откроется окно выбора файла лицензионного ключа.

3. Выберите файл лицензии, указав путь к папке и имя лицензионного ключа (файла с расширением KEY).

Лицензионный ключ из выбранного файла загружен в программу. Информация о лицензионном ключе отображается в разделе Параметры → Лицензия.

[Topic 218040]

Просмотр информации о добавленном лицензионном ключе в веб-интерфейсе программы

В веб-интерфейсе KUMA можно просмотреть информацию о добавленном лицензионном ключе. Информация о лицензионном ключе отображается в разделе Параметры → Лицензия.

Только пользователи с ролью администратора могут просматривать информацию о лицензии.

В окне закладки Лицензия отображается следующая информация о добавленных лицензионных ключах:

• Истекает – дата истечения срока действия лицензионного ключа.
• Осталось дней – количество дней до истечения срока действия лицензии.
• Доступное EPS – количество обрабатываемых в секунду событий, которое поддерживается лицензией.
• Текущее EPS – текущее среднее количество событий в секунду, которое обрабатывает KUMA.
• Лицензионный ключ – уникальная буквенно-цифровая последовательность.
• Компания – название компании, купившей лицензию.
• Имя клиента – имя клиента, купившего лицензию.
• Модули – модули, доступные для лицензии.

[Topic 217963]

Удаление лицензионного ключа в веб-интерфейсе программы

Вы можете удалить добавленный лицензионный ключ из KUMA (например, если вам нужно заменить текущий лицензионный ключ другим). После удаления лицензионного ключа программа перестает получать и обрабатывать события. Эта работа возобновится при добавлении лицензионного ключа.

Только пользователи с ролью администратора могут удалять лицензионные ключи.

Чтобы удалить лицензионный ключ:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Лицензия.

   Откроется окно с условиями лицензии KUMA.

2. Нажмите на значок на лицензии, которую требуется удалить.

   Откроется окно подтверждения.

3. Подтвердите удаление лицензионного ключа.

Лицензионный ключ удален из программы.

[Topic 217927]

Интеграция с другими решениями

В этом разделе описано, как интегрировать KUMA с другими приложениями для расширения возможностей программы.

[Topic 217923]

Интеграция с Kaspersky Security Center

Вы можете настроить интеграцию с выбранными серверами Kaspersky Security Center для одного, нескольких или всех тенантов KUMA. Если интеграция с Kaspersky Security Center включена, вы можете импортировать информацию об активах, защищаемых этой программой, управлять активами с помощью задач, а также импортировать события из базы событий Kaspersky Security Center.

Предварительно вам требуется убедиться, что на требуемом сервере Kaspersky Security Center разрешено входящее соединение для сервера с KUMA.

Настройка интеграции KUMA с Kaspersky Security Center включает следующие этапы:

1. Создание в Консоли администрирования Kaspersky Security Center учетной записи пользователя

   Данные этой учетной записи используются при создании секрета для установки соединения с Kaspersky Security Center. Учетной записи должны быть назначены права главного администратора.

   Подробнее о создании учетной записи и назначении прав пользователю см. в справке Kaspersky Security Center.

2. Создание секрета с типом credentials для соединения с Kaspersky Security Center
3. Настройка параметров интеграции с Kaspersky Security Center
4. Создание подключения к серверу Kaspersky Security Center для импорта информации об активах

   Если вы хотите импортировать в KUMA информацию об активах, зарегистрированных на серверах Kaspersky Security Center, вам требуется создать отдельное подключение к каждому серверу Kaspersky Security Center для каждого выбранного тенанта.

   Если для тенанта выключена интеграция или отсутствует подключение к Kaspersky Security Center, при попытке импорта информации об активах в веб-интерфейсе KUMA отобразится ошибка. Процесс импорта при этом не запускается.

[Topic 217933]

Настройка параметров интеграции с Kaspersky Security Center

Чтобы настроить параметры интеграции с Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Выберите тенант, для которого вы хотите настроить параметры интеграции с Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center.

3. Для флажка Выключено выполните одно из следующих действий:
   • Снимите флажок, если вы хотите включить интеграцию с Kaspersky Security Center для этого тенанта.
   • Установите флажок, если хотите выключить интеграцию с Kaspersky Security Center для этого тенанта.

   По умолчанию флажок снят.

4. В поле Период обновления данных укажите период времени, по истечении которого KUMA обновляет данные об устройствах Kaspersky Security Center.

   Интервал указывается в часах. Вы можете указать только целое число.

   По умолчанию временной интервал составляет 12 часов.

5. Нажмите на кнопку Сохранить.

Параметры интеграции с Kaspersky Security Center для выбранного тенанта будут настроены.

Если в списке тенантов отсутствует нужный вам тенант, вам требуется добавить его в список.

[Topic 232734]

Добавление тенанта в список тенантов для интеграции с Kaspersky Security Center

Чтобы добавить тенант в список тенантов для интеграции с Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Нажмите на кнопку Добавить тенант.

   Откроется окно Интеграция с Kaspersky Security Center.

3. В раскрывающемся списке Тенант выберите тенант, который вам требуется добавить.
4. Нажмите на кнопку Сохранить.

Выбранный тенант будет добавлен в список тенантов для интеграции с Kaspersky Security Center.

[Topic 217788]

Создание подключения к Kaspersky Security Center

Чтобы создать подключение к Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Выберите тенант, для которого вы хотите создать подключение к Kaspersky Security Center.
3. Нажмите на кнопку Добавить подключение и укажите значения для следующих параметров:
   • Название (обязательно) – имя подключения. Имя может включать от 1 до 128 символов Юникода.
   • URL (обязательно) – URL сервера Kaspersky Security Center в формате hostname:port или IPv4:port.
   • В раскрывающемся списке Секрет выберите ресурс секрета с учетными данными Kaspersky Security Center или создайте новый ресурс секрета.
     1. Нажмите на кнопку .

        Откроется окно секрета.

     2. Введите данные секрета:
        1. В поле Название выберите имя для добавляемого секрета.
        2. В раскрывающемся списке Тенант выберите тенант, которому будут принадлежать учетные данные Kaspersky Security Center.
        3. В раскрывающемся списке Тип выберите credentials.
        4. В полях Пользователь и Пароль введите учетные данные вашего сервера Kaspersky Security Center.
        5. В поле Описание можно добавить описание секрета.
     3. Нажмите Сохранить.

     Выбранный секрет можно изменить, нажав на кнопку .

   • Выключено – состояние подключения к выбранному серверу Kaspersky Security Center. Если флажок установлен, подключение к выбранному серверу неактивно. В этом случае вы не можете использовать это подключение для соединения с сервером Kaspersky Security Center.

     По умолчанию флажок снят.

4. Если вы хотите, чтобы программа KUMA импортировала только активы, которые подключены к подчиненным серверам или включены в группы:
   1. Нажмите на кнопку Загрузить иерархию.
   2. Установите флажки рядом с именами подчиненных серверов и групп, из которых вы хотите импортировать информацию об активах.
   3. Если вы хотите импортировать активы только из новых групп, установите флажок Импортировать активы из новых групп.

   Если ни один флажок не установлен, при импорте выгружается информация обо всех активах выбранного сервера Kaspersky Security Center.

5. Нажмите на кнопку Сохранить.

Подключение к серверу Kaspersky Security Center будет создано. Его можно использовать для импорта информации об активах из Kaspersky Security Center в KUMA и для создания задач, связанных с активами, в Kaspersky Security Center из KUMA.

[Topic 217849]

Изменение подключения к Kaspersky Security Center

Чтобы изменить подключение к Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Выберите тенант, для которого вы хотите настроить параметры интеграции с Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center.

3. Нажмите на подключение с Kaspersky Security Center, которое вы хотите изменить.

   Откроется окно с параметрами выбранного подключения к Kaspersky Security Center.

4. Измените значения необходимых параметров.
5. Нажмите на кнопку Сохранить.

Подключение к Kaspersky Security Center будет изменено.

[Topic 217829]

Удаление подключения к Kaspersky Security Center

Чтобы удалить подключение к Kaspersky Security Center:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center по тенантам.

2. Выберите тенант, для которого вы хотите настроить параметры интеграции с Kaspersky Security Center.

   Откроется окно Интеграция с Kaspersky Security Center.

3. Выберите подключение Kaspersky Security Center, которое вы хотите удалить.
4. Нажмите на кнопку Удалить.

Подключение к Kaspersky Security Center будет удалено.

[Topic 218045]

Работа с задачами Kaspersky Security Center

Вы можете подключить активы Kaspersky Security Center к KUMA и загружать на эти активы обновления баз и программных модулей или запускать на них антивирусную проверку с помощью задач Kaspersky Security Center. Задачи запускаются в веб-интерфейсе KUMA.

Для запуска задач Kaspersky Security Center на активах, подключенных к KUMA, рекомендуется использовать следующий сценарий:

1. Создание в Консоли администрирования Kaspersky Security Center учетной записи пользователя

   Данные этой учетной записи используются при создании секрета для установки соединения с Kaspersky Security Center и могут использоваться при создании задачи.

   Подробнее о создании учетной записи и назначении прав пользователю см. в справке Kaspersky Security Center.

2. Создание задач в Kaspersky Security Center
3. Настройка интеграции KUMA с Kaspersky Security Center
4. Импорт информации об активах Kaspersky Security Center в KUMA
5. Назначение категории импортированным активам

   После импорта активы автоматически помещаются в группу Устройства без категории. Вы можете назначить импортированным активам одну из существующих категорий или создать категорию и назначить ее активам.

6. Запуск задач на активах

   Вы можете запускать задачи вручную в информации об активе или настроить автоматический запуск задач.

[Topic 218009]

Запуск задач Kaspersky Security Center вручную

Вы можете вручную запускать на активах Kaspersky Security Center, подключенных к KUMA, задачу обновления антивирусных баз и модулей программы и задачу антивирусной проверки. На активах должны быть установлены программы Kaspersky Endpoint Security для Windows или Linux.

Предварительно вам нужно настроить интеграцию Kaspersky Security Center с KUMA и создать задачи в Kaspersky Security Center.

Чтобы запустить задачу Kaspersky Security Center вручную:

1. В разделе Активы веб-интерфейса KUMA выберите актив, импортированный из Kaspersky Security Center.

   Откроется окно Информация об активе.

2. Нажмите на кнопку Реагирование KSC.

   Кнопка отображается, если подключение к Kaspersky Security Center, к которому принадлежит выбранный актив, включено.

3. В открывшемся окне Выберите задачу установите флажки рядом с задачами, которые вы хотите запустить, и нажмите на кнопку Запустить.

Kaspersky Security Center запускает выбранные задачи.

Некоторые типы задач доступны только для определенных активов.

Информация об уязвимостях и программном обеспечении доступна только для активов с операционной системой Windows.

[Topic 218008]

Запуск задач Kaspersky Security Center автоматически

Корреляторы могут запускать задачи Kaspersky Security Center автоматически. При выполнении определенных условий коррелятор активирует правила реагирования, содержащие список задач Kaspersky Security Center для запуска и определения соответствующих активов.

Чтобы настроить ресурс реагирования, который может использоваться корреляторами для автоматического запуска задач Kaspersky Security Center:

1. Выберите раздел веб-интерфейса KUMA Ресурсы → Реагирование.
2. Нажмите кнопку Добавить реагирование и задайте параметры, как описано ниже:
   • В поле Имя введите имя ресурса для его идентификации.
   • В раскрывающемся списке Тип выберите ksctasks (задачи Kaspersky Security Center).
   • В раскрывающемся списке Задача Kaspersky Security Center выберите задачи, запускаемые при срабатывании коррелятора, связанного с этим ресурсом реагирования.

     Вы можете выбрать несколько задач. При активации реагирования из списка задач выбирается только первая задача, соответствующая выбранному активу. Остальные подходящие задачи игнорируются. Если требуется запустить несколько задач при выполнении одного условия, нужно создать несколько правил реагирования.

   • В поле Поле события выберите поля события, которые вызовут срабатывание корреляторов. Возможные значения:
     • SourceAssetID.
     • DestinationAssetID.
     • DeviceAssetID.
3. При необходимости в поле Рабочие процессы укажите количество процессов реагирования, которые можно запускать одновременно.
4. При необходимости в блоке параметров Фильтр задайте условия, при соответствии которым события будут обрабатываться создаваемым ресурсом. В раскрывающемся списке можно выбрать существующий ресурс фильтра или создать новый фильтр.

   Создание фильтра в ресурсах

   1. В раскрывающемся списке Фильтр выберите Создать.
   2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

      В этом случае вы сможете использовать созданный фильтр в разных сервисах.

      По умолчанию флажок снят.

   3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
   4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
      1. Нажмите на кнопку Добавить условие.
      2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

         В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

      3. В раскрывающемся списке оператор выберите нужный вам оператор.

         Операторы фильтров

         • = – левый операнд равен правому операнду.
         • < – левый операнд меньше правого операнда.
         • <= – левый операнд меньше или равен правому операнду.
         • > – левый операнд больше правого операнда.
         • >= – левый операнд больше или равен правому операнду.
         • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
         • contains – левый операнд содержит значения правого операнда.
         • startsWith – левый операнд начинается с одного из значений правого операнда.
         • endsWith – левый операнд заканчивается одним из значений правого операнда.
         • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
         • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
         • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
         • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
         • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
         • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
         • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
         • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

         Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

         По умолчанию флажок снят.

      5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
      6. Вы можете добавить несколько условий или группу условий.
   5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
   6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

      Параметры вложенного фильтра можно просмотреть, нажав на кнопку .

5. Нажмите Сохранить.

Ресурс реагирования создан. Теперь его можно связать с коррелятором, который будет вызывать его, запуская тем самым задачу Kaspersky Security Center.

[Topic 217753]

Проверка статуса задач Kaspersky Security Center

В веб-интерфейсе KUMA можно проверить, была ли запущена задача Kaspersky Security Center или завершен ли поиск событий из коллектора, который прослушивает события Kaspersky Security Center.

Чтобы выполнить проверку статуса задач Kaspersky Security Center:

1. Выберите раздел KUMA Ресурсы → Активные сервисы.
2. Выберите коллектор, настроенный на получение событий с сервера Kaspersky Security Center, и нажмите на кнопку Перейти к событиям.

Откроется новая закладка браузера в разделе События KUMA. В таблице отобразятся события с сервера Kaspersky Security Center. Статус задач отображается в столбце Название.

Поля событий Kaspersky Security Center:

• Name (Название) – статус или тип задачи.
• Message (Сообщение) – сообщение о задаче или событии.
• FlexString<номер>Label (Заголовок настраиваемого поля <номер>) – название атрибута, полученного от Kaspersky Security Center. Например, FlexString1Label=TaskName.
• FlexString<номер> (Настраиваемое поле <номер>) – значение атрибута, указанного в поле поля FlexString<номер>Label. Например, FlexString1=Download updates.
• DeviceCustomNumber<номер>Label (Заголовок настраиваемого поля <номер>) – название атрибута, относящегося к состоянию задачи. Например, DeviceCustomNumber1Label=TaskOldState.
• DeviceCustomNumber<номер> (Настраиваемое поле <номер>) – значение, относящееся к состоянию задачи. Например, DeviceCustomNumber1=1 означает, что задача выполняется.
• DeviceCustomString<номер>Label (Заголовок настраиваемого поля <номер>) – название атрибута, относящегося к обнаруженной уязвимости: например, название вируса, уязвимого приложения.
• DeviceCustomString<номер> (Настраиваемое поле <номер>) – значение, относящееся к обнаруженной уязвимости. Например, пары атрибут-значение DeviceCustomString1Label=VirusName и DeviceCustomString1=EICAR-Test-File означают, что обнаружен тестовый вирус EICAR.

[Topic 222247]

Импорт событий из базы Kaspersky Security Center

В KUMA можно получать события непосредственно из SQL-базы Kaspersky Security Center. Получение событий производится с помощью коллектора, в котором используются доступные в поставке ресурсы коннектора [OOTB] KSC SQL и нормализатора [OOTB] KSC from SQL.

Чтобы создать коллектор для получения событий Kaspersky Security Center:

1. Запустите мастер установки коллектора одним из следующих способов:
   • В веб-интерфейсе KUMA в разделе Ресурсы нажмите Подключить источник.
   • В веб-интерфейсе KUMA в разделе Ресурсы → Коллекторы нажмите Добавить коллектор.
2. На шаге 2 мастера установки выберите коннектор [OOTB] KSC SQL:
   • В поле URL укажите адрес для подключения к серверу в следующем формате:

     sqlserver://user:password@kscdb.example.com:1433/KAV

     где:

     • user – учетная запись с правами public и db_datareader к нужной базе данных;
     • password – пароль учетной записи;
     • kscdb.example.com:1433 – адрес и порт сервера базы данных;
     • KAV – название базы данных.
   • В поле Запрос укажите запрос к базе данных, исходя из потребности получать определенные события.

     Пример запроса к SQL-базе Kaspersky Security Center

     SELECT ev.event_id AS externalId, ev.severity AS severity, ev.task_display_name AS taskDisplayName,

             ev.product_name AS product_name, ev.product_version AS product_version,

              ev.event_type As deviceEventClassId, ev.event_type_display_name As event_subcode, ev.descr As msg,

     CASE

             WHEN ev.rise_time is not NULL THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),ev.rise_time )

                 ELSE ev.rise_time

             END

         AS endTime,

         CASE

             WHEN ev.registration_time is not NULL

                 THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),ev.registration_time )

                 ELSE ev.registration_time

             END

         AS kscRegistrationTime,

         cast(ev.par7 as varchar(4000)) as sourceUserName,

         hs.wstrWinName as dHost,

         hs.wstrWinDomain as strNtDom, serv.wstrWinName As kscName,

             CAST(hs.nIp / 256 / 256 / 256 % 256 AS VARCHAR) + '.' +

         CAST(hs.nIp / 256 / 256 % 256 AS VARCHAR) + '.' +

         CAST(hs.nIp / 256 % 256 AS VARCHAR) + '.' +

         CAST(hs.nIp % 256 AS VARCHAR) AS sourceAddress,

         serv.wstrWinDomain as kscNtDomain,

             CAST(serv.nIp / 256 / 256 / 256 % 256 AS VARCHAR) + '.' +

         CAST(serv.nIp / 256 / 256 % 256 AS VARCHAR) + '.' +

         CAST(serv.nIp / 256 % 256 AS VARCHAR) + '.' +

         CAST(serv.nIp % 256 AS VARCHAR) AS kscIP,

         CASE

         WHEN virus.tmVirusFoundTime is not NULL

                 THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),virus.tmVirusFoundTime )

                 ELSE ev.registration_time

             END

         AS virusTime,

         virus.wstrObject As filePath,

         virus.wstrVirusName as virusName,

         virus.result_ev as result

     FROM KAV.dbo.ev_event as ev

     LEFT JOIN KAV.dbo.v_akpub_host as hs ON ev.nHostId = hs.nId

     INNER JOIN KAV.dbo.v_akpub_host As serv ON serv.nId = 1

     Left Join KAV.dbo.rpt_viract_index as Virus on ev.event_id = virus.nEventVirus

     where registration_time >= DATEADD(minute, -191, GetDate())

3. На шаге 3 мастера установки выберите нормализатор [OOTB] KSC from SQL.
4. Остальные параметры укажите в соответствии вашими требованиями к коллектору.

В результате выполнения шагов мастера в веб-интерфейсе KUMA создается сервис коллектора, с помощью которого вы можете импортировать события из SQL-базы Kaspersky Security Center.

[Topic 235592]

Интеграция с Kaspersky Endpoint Detection and Response

Kaspersky Endpoint Detection and Response (далее также KEDR) – функциональный блок программы Kaspersky Anti Targeted Attack Platform, обеспечивающий защиту активов локальной сети организации.

Вы можете настроить интеграцию KUMA с Kaspersky Endpoint Detection and Response версий 4.0 и 4.1, чтобы управлять действиями по реагированию на угрозы на активах, подключенных к серверам Kaspersky Endpoint Detection and Response, и активах Kaspersky Security Center. Команды на выполнение операций поступают на сервер Kaspersky Endpoint Detection and Response, после чего она передает их программе Kaspersky Endpoint Agent, установленной на активах.

Также вы можете импортировать события в KUMA и получать информацию об обнаружениях Kaspersky Endpoint Detection and Response (подробнее о получении информации об обнаружениях см. в разделе Настройка интеграции с SIEM-системой в справке Kaspersky Anti Targeted Attack Platform).

При интеграции KUMA с Kaspersky Endpoint Detection and Response вы можете выполнять следующие операции на активах Kaspersky Endpoint Detection and Response с Kaspersky Endpoint Agent:

• Управлять сетевой изоляцией активов.
• Управлять правилами запрета.
• Запускать программы.

Управление действиями по реагированию доступно только при наличии лицензии Kaspersky Symphony XDR.

За инструкцией по настройке интеграции для управления действиями по реагированию вам требуется обратиться к вашему аккаунт-менеджеру или в службу технической поддержки.

[Topic 234627]

Импорт событий Kaspersky Endpoint Detection and Response

При импорте событий из Kaspersky Endpoint Detection and Response телеметрия передается открытым текстом и может быть перехвачена злоумышленником.

Вы можете импортировать в KUMA сырые события Kaspersky Endpoint Detection and Response 4.0 с помощью коннектора Kafka.

Для импорта событий вам потребуется выполнить действия на стороне Kaspersky Endpoint Detection and Response и KUMA.

На стороне Kaspersky Endpoint Detection and Response выполните следующие действия:

1. Войдите в консоль управления того сервера Central Node, с которого вы хотите экспортировать события, по протоколу SSH или через терминал.
2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке Kaspersky Endpoint Detection and Response.

   Отобразится меню администратора компонента программы.

3. В меню администратора компонента программы выберите режим Technical Support Mode.
4. Нажмите на клавишу Enter.

   Отобразится окно подтверждения входа в режим Technical Support Mode.

5. Подтвердите, что хотите выполнять действия с программой в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.
6. Выполните команду sudo -i.
7. В конфигурационном файле /etc/sysconfig/apt-services в поле KAFKA_PORTS удалите значение 10000.

   Если к серверу Central Node подключены серверы Secondary Central Node или компонент Sensor, установленный на отдельном сервере, вам требуется разрешить соединение с сервером, на котором вы изменили конфигурационный файл, по порту 10000.

   Настоятельно не рекомендуется использовать этот порт для каких-либо внешних подключений, кроме KUMA. Чтобы ограничить подключение по порту 10000 только для KUMA, выполните команду iptables -I INPUT -p tcp ! -s KUMA_IP_address --dport 10000 -j DROP.

8. Выполните команду systemctl restart apt_ipsec.service.
9. В конфигурационном файле /usr/bin/apt-start-sedr-iptables в поле WEB_PORTS добавьте значение 10000 через запятую без пробела.
10. Выполните команду sudo sh /usr/bin/apt-start-sedr-iptables.

Подготовка к экспорту событий на стороне Kaspersky Endpoint Detection and Response будет завершена.

На стороне KUMA выполните следующие действия:

1. На сервере KUMA добавьте IP-адрес сервера Central Node в формате <IP-адрес> centralnode в один из следующих файлов:
   • %WINDIR%\System32\drivers\etc\hosts – для Windows.
   • /etc/hosts file – для Linux.
2. В веб-интерфейсе KUMA создайте коннектор типа kafka.

   При создании коннектора в поле URL укажите <IP-адрес сервера Central Node>:10000.

3. В веб-интерфейсе KUMA создайте коллектор.

   В качестве транспорта для коллектора используйте коннектор, созданный на предыдущем шаге.

При успешном завершении создания и установки коллектора события Kaspersky Endpoint Detection and Response будут импортированы в KUMA. Вы можете найти и просмотреть эти события в таблице событий.

[Topic 217924]

Интеграция с Kaspersky CyberTrace

Kaspersky CyberTrace (далее CyberTrace) – это инструмент, который объединяет потоки данных об угрозах с решениями SIEM. Он обеспечивает пользователям мгновенный доступ к данным аналитики, повышая их осведомленность при принятии решений, связанных с безопасностью.

Вы можете интегрировать CyberTrace с KUMA одним из следующих способов:

• Интегрировать функцию поиска индикаторов CyberTrace для обогащения событий KUMA информацией потоков данных CyberTrace.
• Интегрировать в KUMA веб-интерфейс CyberTrace целиком, чтобы обеспечить полный доступ к CyberTrace.

  Интеграция с веб-интерфейсом CyberTrace доступна только в том случае, если ваша лицензия CyberTrace включает многопользовательскую функцию.

[Topic 217921]

Интеграция поиска по индикаторам CyberTrace

Интеграция функции поиска по индикаторам CyberTrace состоит из следующих этапов:

1. Настройка CyberTrace для приема и обработки запросов от KUMA

   Вы можете настроить интеграцию с KUMA сразу после установки CyberTrace в мастере первоначальной настройки или позднее в веб-интерфейсе CyberTrace.

2. Создание правила обогащения событий в KUMA

После завершения всех этапов интеграции требуется перезапустить коллектор, отвечающий за получение событий, которые вы хотите обогатить информацией из CyberTrace.

[Topic 217768]

Настройка CyberTrace для приема и обработки запросов

Вы можете настроить CyberTrace для приема и обработки запросов от KUMA сразу после установки в мастере первоначальной настройки или позднее в веб-интерфейсе программы.

Чтобы настроить CyberTrace для приема и обработки запросов в мастере первоначальной настройки:

1. Дождитесь запуска мастера первоначальной настройки CyberTrace после установки программы.

   Откроется окно Welcome to Kaspersky CyberTrace.

2. В раскрывающемся списке <select SIEM> выберите тип SIEM-системы, от которой вы хотите получать данные, и нажмите на кнопку Next.

   Откроется окно Connection Settings.

3. Выполните следующие действия:
   1. В блоке параметров Service listens on выберите вариант IP and port.
   2. В поле IP address введите 0.0.0.0.
   3. В поле Port введите 9999.
   4. В нижнем поле IP address or hostname укажите 127.0.0.1.

      Остальные значения оставьте по умолчанию.

   5. Нажмите на кнопку Next.

   Откроется окно Proxy Settings.

4. Если в вашей организации используется прокси-сервер, укажите параметры соединения с ним. Если нет, оставьте все поля незаполненными и нажмите на кнопку Next.

   Откроется окно Licensing Settings.

5. В поле Kaspersky CyberTrace license key добавьте лицензионный ключ для программы CyberTrace.
6. В поле Kaspersky Threat Data Feeds certificate добавьте сертификат, позволяющий скачивать с серверов обновлений списки данных (data feeds), и нажмите на кнопку Next.

CyberTrace будет настроен.

Чтобы настроить CyberTrace для приема и обработки запросов в веб-интерфейсе программы:

1. В окне веб-интерфейса программы CyberTrace выберите раздел Settings – Service.
2. В блоке параметров Connection Settings выполните следующие действия:
   1. Выберите вариант IP and port.
   2. В поле IP address введите 0.0.0.0.
   3. В поле Port введите 9999.
3. В блоке параметров Web interface в поле IP address or hostname введите 127.0.0.1.
4. В верхней панели инструментов нажмите на кнопку Restart Feed Service.
5. Выберите раздел Settings – Events format.
6. В поле Alert events format введите %Date% alert=%Alert%%RecordContext%.
7. В поле Detection events format введите Category=%Category%|MatchedIndicator=%MatchedIndicator%%RecordContext%.
8. В поле Records context format введите |%ParamName%=%ParamValue%.
9. В поле Actionable fields context format введите %ParamName%:%ParamValue%.

CyberTrace будет настроен.

После обновления конфигурации CyberTrace требуется перезапустить сервер CyberTrace.

[Topic 217808]

Создание правил обогащения событий

Чтобы создать правила обогащения событий:

1. Откройте раздел веб-интерфейса KUMA Ресурсы → Правила обогащения и в левой части окна выберите или создайте папку, в которую требуется поместить новый ресурс.

   Отобразится список доступных правил обогащения.

2. Нажмите кнопку Добавить правило обогащения, чтобы создать новый ресурс.

   Откроется окно правила обогащения.

3. Укажите параметры правила обогащения:
   1. В поле Название введите уникальное имя ресурса. Название должно содержать от 1 до 128 символов Юникода.
   2. В раскрывающемся списке Тенант выберите, к какому тенанту относится этот ресурс.
   3. В раскрывающемся списке Тип источника выберите cybertrace.
   4. Укажите URL сервера CyberTrace, к которому вы хотите подключиться. Например, example.domain.com:9999.
   5. При необходимости укажите в поле Количество подключений максимальное количество подключений к серверу CyberTrace, которые может одновременно установить KUMA. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
   6. В поле Запросов в секунду введите количество запросов к серверу CyberTrace, которое сможет выполнять KUMA в секунду. Значение по умолчанию: 1000.
   7. В поле Время ожидания укажите время в секундах, в течение которого KUMA должна ожидать ответа от сервера CyberTrace. Событие не будет отправлено в коррелятор, пока не истечет время ожидания или не будет получен ответ. Если ответ получен до истечения времени ожидания, он добавляется в поле события TI, и обработка события продолжается. Значение по умолчанию: 30.
   8. В блоке параметров Сопоставление требуется указать поля событий, которые следует отправить в CyberTrace на проверку, а также задать правила сопоставления полей событий KUMA с типами индикаторов CyberTrace:
      • В столбце Поле KUMA выберите поле, значение которого требуется отправить в CyberTrace.
      • В столбце Индикатор CyberTrace выберите тип индикатора CyberTrace для каждого выбранного поля:
        • ip
        • url
        • hash

      В таблице требуется указать как минимум одну строку. С помощью кнопки Добавить строку можно добавить строку, а с помощью кнопки – удалить.

   9. С помощью раскрывающегося списка Отладка укажите, следует ли включить логирование операций сервиса. По умолчанию логирование выключено.
   10. При необходимости в поле Описание добавьте до 256 символов Юникода, описывающих ресурс.
   11. В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом правила обогащения. В раскрывающемся списке можно выбрать существующий ресурс фильтра или выбрать Создать, чтобы создать новый фильтр.

       Создание фильтра в ресурсах

       1. В раскрывающемся списке Фильтр выберите Создать.
       2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

          В этом случае вы сможете использовать созданный фильтр в разных сервисах.

          По умолчанию флажок снят.

       3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
       4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
          1. Нажмите на кнопку Добавить условие.
          2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

             В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

          3. В раскрывающемся списке оператор выберите нужный вам оператор.

             Операторы фильтров

             • = – левый операнд равен правому операнду.
             • < – левый операнд меньше правого операнда.
             • <= – левый операнд меньше или равен правому операнду.
             • > – левый операнд больше правого операнда.
             • >= – левый операнд больше или равен правому операнду.
             • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
             • contains – левый операнд содержит значения правого операнда.
             • startsWith – левый операнд начинается с одного из значений правого операнда.
             • endsWith – левый операнд заканчивается одним из значений правого операнда.
             • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
             • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
             • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
             • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
             • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
             • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
             • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
             • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
          4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

             Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

             По умолчанию флажок снят.

          5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
          6. Вы можете добавить несколько условий или группу условий.
       5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
       6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

          Параметры вложенного фильтра можно просмотреть, нажав на кнопку .

4. Нажмите Сохранить.

Создано правило обогащения.

Интеграция поиска по индикаторам CyberTrace настроена. Созданное правило обогащения можно добавить к коллектору. Требуется перезапустить коллекторы KUMA, чтобы применить новые параметры.

Если какие-либо из полей CyberTrace в области деталей события содержат "[{" или "}]", это означает, что информация из потока данных об угрозах из CyberTrace была обработана некорректно и некоторые данные, возможно, не отображаются. Информацию из потока данных об угрозах можно получить, скопировав из события KUMA значение поля TI indicator событий и выполнив поиск по этому значению на портале CyberTrace в разделе индикаторов. Вся информация будет отображаться в разделе CyberTrace Indicator context.

[Topic 217922]

Интеграция интерфейса CyberTrace

Вы можете интегрировать веб-интерфейс CyberTrace в веб-интерфейс KUMA. Когда эта интеграция включена, в веб-интерфейсе KUMA появляется раздел CyberTrace, в котором предоставляется доступ к веб-интерфейсу CyberTrace. Интеграция настраивается в разделе Параметры → Kaspersky CyberTrace веб-интерфейса KUMA.

Чтобы интегрировать веб-интерфейс CyberTrace в KUMA:

1. Откройте раздел веб-интерфейса KUMA Ресурсы → Секреты.

   Отобразится список доступных секретов.

2. Нажмите кнопку Добавить секрет, чтобы создать новый секрет. Этот ресурс используется для хранения учетных данных для подключения к серверу CyberTrace.

   Откроется окно секрета.

3. Введите данные секрета:
   1. В поле Название выберите имя для добавляемого секрета. Название должно содержать от 1 до 128 символов Юникода.
   2. В раскрывающемся списке Тенант выберите, к какому тенанту относится этот ресурс.
   3. В раскрывающемся списке Тип выберите credentials.
   4. В полях Пользователь и Пароль введите учетные данные для вашего сервера CyberTrace.
   5. При необходимости в поле Описание добавьте до 256 символов Юникода, описывающих ресурс.
4. Нажмите Сохранить.

   Учетные данные сервера CyberTrace сохранены и могут использоваться в других ресурсах KUMA.

5. Откройте раздел веб-интерфейс KUMA Параметры → Kaspersky CyberTrace.

   Откроется окно с параметрами интеграции CyberTrace.

6. Измените необходимые параметры:
   • Выключено – снимите этот флажок, если хотите включить интеграцию веб-интерфейса CyberTrace в веб-интерфейс KUMA.
   • Адрес сервера (обязательно) – введите адрес сервера CyberTrace в формате hostname:port.
   • Порт (обязательно) – введите порт сервера CyberTrace.
7. В раскрывающемся списке Секрет выберите ресурс секрета, который вы создали ранее.
8. Нажмите Сохранить.

CyberTrace теперь интегрирован с KUMA: раздел CyberTrace отображается в веб-интерфейсе KUMA.

Если для работы в веб-интерфейсе программы вы используете браузер Mozilla Firefox, данные в разделе CyberTrace могут не отображаться. В таком случае очистите кеш браузера и настройте отображение данных (см. ниже).

Чтобы настроить отображение данных в разделе CyberTrace:

1. В строке браузера введите FQDN веб-интерфейса KUMA с номером порта 7222: https://kuma.example.com:7222. Не рекомендуется в качестве адреса сервера указывать IP-адрес.

   Отобразится окно с предупреждением о вероятной угрозе безопасности.

2. Нажмите на кнопку Подробнее.
3. В нижней части окна нажмите на кнопку Принять риск и продолжить.

   Для URL-адреса веб-интерфейса KUMA будет создано исключение.

4. В строке браузера введите URL-адрес веб-интерфейса KUMA с номером порта 7220.
5. Перейдите в раздел CyberTrace.

Данные отобразятся в разделе.

Обновление списка запрещенных объектов CyberTrace (Internal TI)

Если веб-интерфейс CyberTrace интегрирован в веб-интерфейс KUMA, можно обновлять список запрещенных объектов CyberTrace или Internal TI данными из событий KUMA.

Чтобы обновить Internal TI в CyberTrace:

1. Откройте область деталей события в таблице событий, окне алертов или окне корреляционного события и нажмите ссылку на домене, веб-адресе, IP-адресе или хеш-коде файла.

   Откроется контекстное меню.

2. Выберите Добавить в Internal TI CyberTrace.

Выбранный объект добавлен в список запрещенных объектов в CyberTrace.

[Topic 217925]

Интеграция с Kaspersky Threat Intelligence Portal

Портал Kaspersky Threat Intelligence Portal объединяет все знания Лаборатории Касперского о киберугрозах и их взаимосвязи в единую мощную веб-службу. При интеграции с KUMA он помогает пользователям KUMA быстрее принимать обоснованные решения, предоставляя им данные о веб-адресах, доменах, IP-адресах, данных WHOIS / DNS.

Доступ к Kaspersky Threat Intelligence Portal предоставляется на платной основе. Лицензионные сертификаты создаются специалистами Лаборатории Касперского. Чтобы получить сертификат для Kaspersky Threat Intelligence Portal, вашему персональному техническому менеджеру Лаборатории Касперского.

[Topic 217900]

Инициализация интеграции

Чтобы интегрировать Kaspersky Threat Intelligence Portal в KUMA:

1. Откройте раздел веб-интерфейса KUMA Ресурсы → Секреты.

   Отобразится список доступных секретов.

2. Нажмите кнопку Добавить секрет, чтобы создать новый секрет. Этот ресурс используется для хранения данных вашей учетной записи Kaspersky Threat Intelligence Portal.

   Откроется окно секрета.

3. Введите данные секрета:
   1. В поле Название выберите имя для добавляемого секрета.
   2. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать создаваемый ресурс.
   3. В раскрывающемся списке Тип выберите ktl.
   4. В полях Пользователь и Пароль введите данные своей учетной записи Kaspersky Threat Intelligence Portal.
   5. В поле Описание можно добавить описание секрета.
4. Загрузите ключ сертификата Kaspersky Threat Intelligence Portal:
   1. Нажмите Загрузить PFX и выберите PFX-файл с сертификатом.

      Имя выбранного файла отображается справа от кнопки Загрузить PFX.

   2. В поле Пароль PFX введите пароль для PFX-файла.
5. Нажмите Сохранить.

   Ваши учетные данные Kaspersky Threat Intelligence Portal сохранены и могут использоваться в других ресурсах KUMA.

6. В разделе Параметры веб-интерфейса KUMA откройте закладку Kaspersky Threat Lookup.

   Отобразится список доступных подключений.

7. Убедитесь, что флажок Выключено снят.
8. В раскрывающемся списке Секрет выберите ресурс секрета, который вы создали ранее.

   Можно создать новый секрет, нажав на кнопку со значком плюса. Созданный секрет будет сохранен в разделе Ресурсы → Секреты.

9. При необходимости в раскрывающемся списке Прокси-сервер выберите ресурс прокси-сервера.
10. Нажмите Сохранить.

Процесс интеграции Kaspersky Threat Intelligence Portal с KUMA завершен.

После интеграции Kaspersky Threat Intelligence Portal и KUMA в области деталей события можно запрашивать сведения о хостах, доменах, URL-адресах, IP-адресах и хешах файлов (MD5, SHA1, SHA256).

[Topic 217967]

Запрос данных от Kaspersky Threat Intelligence Portal

Чтобы запросить данные от Kaspersky Threat Intelligence Portal:

1. Откройте область деталей события в таблице событий, окне алертов или окне корреляционного события и нажмите ссылку на домене, веб-адресе, IP-адресе или хеш-коде файла.

   В правой части экрана откроется область Обогащение Threat Lookup.

2. Установите флажки рядом с типами данных, которые нужно запросить.

   Если ни один из флажков не установлен, запрашиваются все данные.

3. В поле Максимальное количество записей в каждой группе данных введите количество записей для выбранного типа данных, которое вы хотите получить. Значение по умолчанию: 10.
4. Нажмите Запрос.

Задача ktl создана. По ее завершении события дополняются данными из Kaspersky Threat Intelligence Portal, которые можно просмотреть в таблице событий, окне алерта или окне корреляционного события.

[Topic 218041]

Просмотр данных от Kaspersky Threat Intelligence Portal

Чтобы просмотреть данные из Kaspersky Threat Intelligence Portal,

Откройте область деталей события в таблице событий, окне алертов или окне корреляционного события и нажмите ссылку на домене, веб-адресе, IP-адресе или хеш-коде файла, для которого вы ранее запрашивали данные от Kaspersky Threat Intelligence Portal.

В правой части экрана откроется область деталей с данными из Kaspersky Threat Intelligence Portal с указанием времени последнего обновления этих данных.

Информация, полученная от Kaspersky Threat Intelligence Portal, кешируется. Если нажать на домен, веб-адрес, IP-адрес или хеш файла в области деталей события, для которого у KUMA уже есть доступная информация, вместо окна Обогащение Threat Lookup отобразятся данные из Kaspersky Threat Intelligence Portal с указанием времени их получения. Эти данные можно обновить.

[Topic 218026]

Обновление данных от Kaspersky Threat Intelligence Portal

Чтобы обновить данные, полученные от Kaspersky Threat Intelligence Portal:

1. Откройте область деталей события в таблице событий, окне алертов или окне корреляционного события и нажмите ссылку на домене, веб-адресе, IP-адресе или хеш-коде файла, для которого вы ранее запрашивали данные от Kaspersky Threat Intelligence Portal.
2. Нажмите Обновить в области деталей события с данными, полученными с портала Kaspersky Threat Intelligence Portal.

   В правой части экрана откроется область Обогащение Threat Lookup.

3. Установите флажки рядом с типами данных, которые вы хотите запросить.

   Если ни один из флажков не установлен, запрашиваются все данные.

4. В поле Максимальное количество записей в каждой группе данных введите количество записей для выбранного типа данных, которое вы хотите получить. Значение по умолчанию: 10.
5. Нажмите Обновить.

   Создается задача KTL и запрашиваются новые данные, полученные из Kaspersky Threat Intelligence Portal.

6. Закройте окно Обогащение Threat Lookup и область подробной информации о KTL.
7. Откройте область подробной информации о событии из таблицы событий, окна алертов или окна корреляционных событий и перейдите по ссылке, соответствующей домену, веб-адресу, IP-адресу или хешу файла, для которого вы обновили информацию на Kaspersky Threat Intelligence Portal, и выберите Показать информацию из Threat Lookup.

В правой части экрана откроется область деталей с данными из Kaspersky Threat Intelligence Portal с указанием времени.

[Topic 217928]

Интеграция с R-Vision Incident Response Platform

R-Vision Incident Response Platform (далее R-Vision IRP) – это программная платформа для автоматизации мониторинга, обработки и реагирования на инциденты информационной безопасности. Она объединяет данные о киберугрозах из различных источников в единую базу данных для дальнейшего анализа и расследования, что позволяет облегчить реагирование на инциденты.

R-Vision IRP можно интегрировать с KUMA. Когда интеграция включена, создание алерта в KUMA приводит к созданию инцидента в R-Vision IRP. Алерт KUMA и инцидент R-Vision IRP взаимосвязаны: при обновлении статуса инцидента в R-Vision IRP статус соответствующего алерта KUMA также меняется.

Интеграция R-Vision IRP и KUMA настраивается в обоих приложениях. На стороне KUMA настройка интеграции доступна только для главных администраторов.

Сопоставление полей алерта KUMA и инцидента R-Vision IRP при передаче данных по API

[Topic 224436]

Настройка интеграции в KUMA

В этом разделе описывается интеграция KUMA с R-Vision IRP на стороне KUMA.

Интеграция в KUMA настраивается в разделе веб-интерфейса KUMA Параметры → IRP / SOAR.

Чтобы настроить интеграцию с R-Vision IRP:

1. Откройте раздел веб-интерфейса KUMA Ресурсы → Секреты.

   Отобразится список доступных секретов.

2. Нажмите кнопку Добавить секрет, чтобы создать новый секрет. Этот ресурс будет использоваться для хранения токена для API-запросов в R-Vision IRP.

   Откроется окно секрета.

3. Введите данные секрета:
   1. В поле Название укажите имя для добавляемого секрета. Длина названия должна быть от 1 до 128 символов Юникода.
   2. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать создаваемый ресурс.
   3. В раскрывающемся списке Тип выберите token.
   4. В поле Токен введите свой API-токен для R-Vision IRP.

      Токен можно узнать в веб-интерфейсе R-Vision IRP в разделе Настройки → Общие → API.

   5. При необходимости в поле Описание добавьте описание секрета. Длина описания должна быть от 1 до 256 символов Юникода.
4. Нажмите Сохранить.

   API-токен для R-Vision IRP сохранен и теперь может использоваться в других ресурсах KUMA.

5. Откройте раздел веб-интерфейса KUMA Параметры → IRP / SOAR.

   Откроется окно с параметрами интеграции R-Vision IRP.

6. Измените необходимые параметры:
   • Выключено – установите этот флажок, если хотите выключить интеграцию R-Vision IRP с KUMA.
   • В раскрывающемся списке Секрет выберите ресурс секрета, созданный ранее.

     Можно создать новый секрет, нажав на кнопку со значком плюса. Созданный секрет будет сохранен в разделе Ресурсы → Секреты.

   • URL (обязательно) – URL хоста сервера R-Vision IRP.
   • Название поля для размещения идентификаторов алертов KUMA (обязательно) – имя поля R-Vision IRP, в которое будет записываться идентификатор алерта KUMA.
   • Название поля для размещения URL алертов KUMA (обязательно) – имя поля R-Vision IRP, в которое будет помещаться ссылка на алерт KUMA.
   • Категория (обязательно) – категория алерта R-Vision IRP, который создается при получении данных об алерте от KUMA.
   • Поля событий​ KUMA для отправки в IRP / SOAR (обязательно) – раскрывающийся список для выбора полей событий KUMA, которые следует отправлять в R-Vision IRP.
   • Группа настроек Уровень важности (обязательно) – используется для сопоставления значений уровня важности KUMA со значениями уровня важности R-Vision IRP.
7. Нажмите Сохранить.

В KUMA теперь настроена интеграция с R-Vision IRP. Если интеграция также настроена в R-Vision IRP, при появлении алертов в KUMA информация о них будет отправляться в R-Vision IRP для создания инцидента. В разделе Информация об алерте в веб-интерфейсе KUMA отображается ссылка в R-Vision IRP.

Если вы работаете с несколькими тенантами и хотите интегрироваться с R-Vision IRP, названия тенантов должны соответствовать коротким названиям компаний в R-Vision IRP.

[Topic 224437]

Настройка интеграции в R-Vision IRP

В этом разделе описывается интеграция KUMA с R-Vision IRP на стороне R-Vision IRP.

Интеграция в R-Vision IRP настраивается в разделе Настройки веб-интерфейса R-Vision IRP. Подробнее о настройке R-Vision IRP см. в документации этой программы.

Настройка интеграции с KUMA состоит из следующих этапов:

• Настройка роли пользователя R-Vision IRP
  1. Присвойте используемому для интеграции пользователю R-Vision IRP системную роль Менеджер по управлению инцидентами. Роль можно присвоить в веб-интерфейсе R-Vision IRP в разделе Настройки → Общие → Пользователи системы, выбрав нужного пользователя. Роль добавляется в блоке параметров Системные роли.

     Пользователь R-Vision IRP версии 4.0 с ролью Менеджер по управлению инцидентами

     

     Пользователь R-Vision IRP версии 5.0 с ролью Менеджер по управлению инцидентами

     

  2. Убедитесь, что API-токен используемого для интеграции пользователя R-Vision IRP указан в секрете в веб-интерфейсе KUMA. Токен отображается в веб-интерфейсе R-Vision IRP в разделе Настройки → Общие → API.

     API-токен в R-Vision IRP версии 4.0

     

     API-токен в R-Vision IRP версии 5.0

     

• Настройка полей инцидентов R-Vision IRP и алертов KUMA
  1. Добавьте поля инцидента ALERT_ID и ALERT_URL.
  2. Настройте категорию инцидентов R-Vision IRP, создаваемых по алертам KUMA. Это можно сделать в веб-интерфейсе R-Vision IRP в разделе Настройки → Управление инцидентами → Категории инцидентов. Добавьте новую или измените существующую категорию инцидентов, указав в блоке параметров Поля категорий созданные ранее поля инцидентов Alert ID и Alert URL. Поле Alert ID можно сделать скрытым.

     Категории инцидентов с данными из алертов KUMA в R-Vision IRP версии 4.0

     

     Категории инцидентов с данными из алертов KUMA в R-Vision IRP версии 5.0

     

  3. Запретите редактирование ранее созданных полей инцидентов Alert ID и Alert URL. В веб-интерфейсе R-Vision IRP в разделе Настройки → Управление инцидентами → Представления выберите категорию инцидентов R-Vision IRP, которые будут создаваться по алертам KUMA, и установите рядом с полями Alert ID и Alert URL значок замка.

     Поле Alert URL недоступно для редактирования в R-Vision IRP версии 4.0

     

     Поле Alert URL недоступно для редактирования в R-Vision IRP версии 5.0

     

• Создание коллектора и коннектора в R-Vision IRP
  1. Создайте коллектор R-Vision IRP для взаимодействия с KUMA.
  2. Создайте и настройте коннектор R-Vision IRP для отправки в KUMA API-запросов на закрытие алертов.
• Создание правила на закрытие алерта в KUMA

  Создайте правило на отправку в KUMA запроса на закрытие алерта при закрытии инцидента в R-Vision IRP.

В R-Vision IRP теперь настроена интеграция с KUMA. Если интеграция также настроена в KUMA, при появлении алертов в KUMA информация о них будет отправляться в R-Vision IRP для создания инцидента. В разделе Информация об алерте в веб-интерфейсе KUMA отображается ссылка в R-Vision IRP.

[Topic 225573]

Добавление полей инцидента ALERT_ID и ALERT_URL

Чтобы добавить в R-Vision IRP поле инцидента ALERT_ID:

1. В веб-интерфейсе R-Vision IRP в разделе Настройки → Управление инцидентами → Поля инцидентов выберите группу полей Без группы.
2. Нажмите на значок плюса в правой части экрана.

   В правой части экрана отобразится область параметров создаваемого поля инцидента.

3. В поле Наименование введите название поля, например Alert ID.
4. В раскрывающемся списке Тип выберите Текстовое поле.
5. В поле Тег для распознавания введите ALERT_ID.

Поле ALERT_ID добавлено в инцидент R-Vision IRP.

Поле ALERT_ID в R-Vision IRP версии 4.0

Поле ALERT_ID в R-Vision IRP версии 5.0

Чтобы добавить в R-Vision IRP поле инцидента ALERT_URL:

1. В веб-интерфейсе R-Vision IRP в разделе Настройки → Управление инцидентами → Поля инцидентов выберите группу полей Без группы.
2. Нажмите на значок плюса в правой части экрана.

   В правой части экрана отобразится область параметров создаваемого поля инцидента.

3. В поле Наименование введите название поля, например Alert URL.
4. В раскрывающемся списке Тип выберите Текстовое поле.
5. В поле Тег для распознавания введите ALERT_URL.
6. Установите флажки Отображение ссылок и Отображать URL как ссылки.

Поле ALERT_URL добавлено в инцидент R-Vision IRP.

Поле ALERT_URL в R-Vision IRP версии 4.0

Поле ALERT_URL в R-Vision IRP версии 5.0

При необходимости аналогичным образом можно настроить отображение других данных из алерта KUMA в инциденте R-Vision IRP.

[Topic 225575]

Создание коллектора в R-Vision IRP

Чтобы создать коллектор в R-Vision IRP:

1. В веб-интерфейсе R-Vision IRP в разделе Настройки → Общие → Коллекторы нажмите на значок плюса.
2. В поле Название укажите название коллектора (например, Main collector).
3. В поле Адрес коллектора введите IP-адрес или название хоста, где установлена R-Vision IRP (например, 127.0.0.1).
4. В поле Порт введите значение 3001.
5. Нажмите Добавить.
6. На закладке Организации выберите организацию, для которой вы хотите добавить интеграцию с KUMA и установите флажки Коллектор по умолчанию и Коллектор реагирования.

Коллектор R-Vision IRP создан.

[Topic 225576]

Создание коннектора в R-Vision IRP

Чтобы создать коннектор в R-Vision IRP:

1. В веб-интерфейсе R-Vision IRP в разделе Настройки → Управление инцидентами → Коннекторы нажмите на значок плюса.
2. В раскрывающемся списке Тип выберите REST.
3. В поле Название укажите название коннектора, например, KUMA.
4. В поле URL введите API-запрос на закрытие алерта в формате <FDQN сервера Ядра KUMA>:<Порт, используемый для API-запросов (по умолчанию 7223)>/api/v1/alerts/close.

   Пример: https://kuma-example.com:7223/api/v1/alerts/close

5. В раскрывающемся списке Тип авторизации выберите Токен.
6. В поле Auth header введите значение Authorization.
7. В поле Auth value введите токен главного администратора KUMA в следующем формате:

   Bearer <токен главного администратора KUMA>

8. В раскрывающемся списке Коллектор выберите ранее созданный коллектор.
9. Нажмите Сохранить.

Коннектор создан.

Коннектор в R-Vision IRP версии 4.0

Коннектор в R-Vision IRP версии 5.0

После того как коннектор создан, требуется настроить отправку API-запросов на закрытие алертов в KUMA.

Чтобы настроить отправку API-запросов в R-Vision IRP:

1. В веб-интерфейсе R-Vision IRP в разделе Настройки → Управление инцидентами → Коннекторы откройте созданный коннектор для редактирования.
2. В раскрывающемся списке типа запросов выберите POST.
3. В поле Params введите API-запрос на закрытие алерта в формате <FDQN сервера Ядра KUMA>:<Порт, используемый для API-запросов (по умолчанию 7223)>/api/v1/alerts/close.

   Пример, https://kuma-example.com:7223/api/v1/alerts/close

4. На закладке HEADERS добавьте следующие ключи и их значения:
   • Ключ Content-Type; значение: application/json.
   • Ключ Authorization; значение: Bearer <токен главного администратора KUMA>.

     Токен главного администратора KUMA можно получить в веб-интерфейсе KUMA в разделе Параметры → Пользователи.

5. На закладке BODY → Raw введите содержание тела API-запроса:

   {

       "id":"{{tag.ALERT_ID}}",

       "reason":"<причина закрытия алерта. Доступные значения: "Incorrect Correlation Rule", "Incorrect Data", "Responded".>"

   }

6. Нажмите Сохранить.

Коннектор настроен.

Коннектор в R-Vision IRP версии 4.0

Коннектор в R-Vision IRP версии 5.0

[Topic 225579]

Создание правила на закрытие алерта в KUMA при закрытии инцидента в R-Vision IRP

Чтобы создать правило на отправку в KUMA запроса на закрытие алерта при закрытии инцидента в R-Vision IRP:

1. В веб-интерфейсе R-Vision IRP в разделе Настройки → Управление инцидентами → Сценарии реагирования нажмите на значок плюса.
2. В поле Название введите название создаваемого правила, например Close alert.
3. В раскрывающемся списке Группа выберите Все сценарии.
4. В блоке параметров Критерии автоматического запуска нажмите Добавить и в открывшемся окне введите условия срабатывания правила:
   1. В раскрывающемся списке Тип выберите Значение поля.
   2. В раскрывающемся списке Поле выберите Статус инцидента.
   3. Установите флажок напротив статуса Закрыт.
   4. Нажмите Добавить.

   Условия срабатывания правила добавлены. Правило будет срабатывать при закрытии инцидента.

5. В блоке параметров Действия по инциденту нажмите Добавить → Запуск коннектора и в открывшемся окне выберите коннектор, который следует выполнить при срабатывании правила:
   1. В раскрывающемся списке Коннектор выберите ранее созданный коннектор.
   2. Нажмите Добавить.

   Коннектор добавлен в правило.

6. Нажмите Добавить.

Правило на отправку в KUMA запроса на закрытие алерта при закрытии инцидента в R-Vision IRP создано.

Правило сценария R-Vision IRP версии 4.0

Правило сценария R-Vision IRP версии 5.0

[Topic 224487]

Работа с алертами с помощью R-Vision IRP

После того как интеграция KUMA и R-Vision IRP настроена, данные об алертах KUMA поступают в R-Vision IRP. Изменение параметров алертов в KUMA отражается в R-Vision IRP. Изменение статусов алертов в KUMA или R-Vision IRP, кроме закрытия, также отражается в другой системе.

Если настроена интеграция KUMA и R-Vision IRP, вы можете выполнять следующее:

• Передавать сведения о киберугрозах из KUMA в R-Vision IRP

  Из KUMA в R-Vision IRP автоматически передаются сведения об обнаруженных алертах. При этом в R-Vision IRP создается инцидент.

  В R-Vision IRP передаются следующие сведения об алерте KUMA:

  • идентификатор;
  • название;
  • статус;
  • дата первого события, относящегося к алерту;
  • дата последнего обнаружения, относящегося к алерту;
  • имя учетной записи или адрес электронной почты специалиста по безопасности, назначенного для обработки алерта;
  • уровень важности алерта;
  • категория инцидента R-Vision IRP, соответствующего алерту KUMA;
  • иерархический список событий, связанных с алертом;
  • список активов, как внутренних, так и внешних, связанных с алертом;
  • список пользователей, связанных с алертом;
  • журнал изменений алерта;
  • ссылка на алерт в KUMA.
• Расследовать киберугрозы в KUMA

  Первоначальная обработка алерта производится в KUMA. Специалист по безопасности может уточнять и менять любые параметры алерта, кроме идентификатора и названия. Внесенные изменения отражаются в карточке инцидента R-Vision IRP.

  Если киберугроза признается ложной и алерт закрывается в KUMA, соответствующий ему инцидент R-Vision IRP также автоматически закрывается.

• Закрывать инциденты в R-Vision IRP

  После необходимых работ по инциденту и фиксации хода расследования в R-Vision IRP инцидент закрывается. Соответствующий алерт KUMA также автоматически закрывается.

• Открывать ранее закрытые инциденты

  Если в процессе мониторинга обнаруживается, что инцидент не был решен полностью или обнаруживаются дополнительные сведения, такой инцидент снова открывается в R-Vision IRP. При этом в KUMA алерт остается закрытым.

  Специалист по безопасности с помощью ссылки может перейти из инцидента R-Vision IRP в соответствующий алерт в KUMA и изменить его параметры, кроме идентификатора, названия и статуса. Внесенные изменения отражаются в карточке инцидента R-Vision IRP.

  Дальнейший анализ происходит в R-Vision IRP. Когда расследование завершено и инцидент в R-Vision IRP снова закрыт, статус соответствующего алерта в KUMA не меняется: алерт остается закрытым.

• Запрашивать дополнительные сведения из системы-источника в рамках сценария реагирования или вручную

  Если в процессе анализа в R-Vision IRP возникает необходимость получить дополнительные сведения из KUMA, в R-Vision IRP можно сформировать требуемый поисковый запрос (например, запрос телеметрии, репутации, сведений о хосте) к KUMA. Запрос передается с помощью REST API KUMA, ответ фиксируется в карточке инцидента R-Vision IRP для дальнейшего анализа и вывода в отчет.

  Действия выполняются в такой же последовательности на этапе автоматической обработки, если нет возможности сразу сохранить всю информацию по инциденту при импорте.

[Topic 217926]

Интеграция с Active Directory

KUMA можно интегрировать с используемыми в вашей организации службами Active Directory.

Вы можете настроить подключение к службе каталогов Active Directory по протоколу LDAP. Это позволит использовать информацию из Active Directory в правилах корреляции для обогащения событий и алертов, а также для аналитики.

Если вы настроите соединение с сервером контроллера домена, это позволит использовать доменную авторизацию. В этом случае вы сможете привязать группы пользователей из Active Directory к фильтрам ролей KUMA. Пользователи, принадлежащие к этим группам, смогут войти в веб-интерфейс KUMA, используя свои доменные учетные данные, и получат доступ к разделам программы в соответствии с назначенной ролью.

Рекомендуется предварительно создать в Active Directory группы пользователей, которым вы хотите предоставить возможность проходить авторизацию с помощью доменной учетной записи в веб-интерфейсе KUMA. В свойствах учетной записи пользователя в Active Directory обязательно должен быть указан адрес электронной почты.

[Topic 221426]

Подключение по протоколу LDAP

Подключения по протоколу LDAP создаются и управляются в разделе Параметры → LDAP-сервер веб-интерфейса KUMA. В разделе Интеграция c LDAP-сервером по тенантам отображаются тенанты, для которых созданы подключения по протоколу LDAP. Тенанты можно создать или удалить.

Если выбрать тенант, откроется окно Интеграция c LDAP-сервером, в котором отображается таблица с существующими LDAP-подключениями. Подключения можно создать или изменить. В этом же окне можно изменить частоту обращения к LDAP-серверам и установить срок хранения устаревших данных.

После включения интеграции информация об учетных записях Active Directory становится доступной в окне алертов, в окне с подробной информацией о событиях корреляции, а также окне инцидентов. При выборе имени учетной записи в разделе Связанные пользователи откроется окно Информация об учетной записи с данными, импортированными из Active Directory.

Данные из LDAP можно также использовать при обогащении событий в коллекторах и в аналитике.

Импортируемые атрибуты Active Directory

[Topic 221481]

Включение и выключение LDAP-интеграции

Можно включить или выключить сразу все LDAP-подключения тенанта, а можно включить или выключить только определенное LDAP-подключение.

Чтобы включить или отключить все LDAP-подключения тенанта:

1. Откройте раздел Параметры → LDAP-сервер веб-интерфейса KUMA и выберите тенант, у которого вы хотите включить или выключить все подключения к LDAP.

   Откроется окно Интеграция с LDAP-сервером по тенантам.

2. Установите или снимите флажок Выключено.
3. Нажмите Сохранить.

Чтобы включить или отключить определенное LDAP-подключение:

1. Откройте раздел Параметры → LDAP-сервер веб-интерфейса KUMA и выберите тенант, у которого вы хотите включить или выключить подключение к LDAP.

   Откроется окно Интеграция с LDAP-сервером.

2. Выберите нужное подключение и в открывшемся окне установите или снимите флажок Выключено.
3. Нажмите Сохранить.

[Topic 233077]

Добавление тенанта в список тенантов для интеграции с LDAP-сервером

Чтобы добавить тенант в список тенантов для интеграции с LDAP-сервером:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → LDAP-сервер.

   Откроется окно Интеграция с LDAP-сервером по тенантам.

2. Нажмите на кнопку Добавить тенант.

   Отобразится окно Интеграция с LDAP-сервером.

3. В раскрывающемся списке Тенант выберите тенант, который вам требуется добавить.
4. Нажмите Сохранить.

Выбранный тенант добавлен в список тенантов для интеграции с LDAP-сервером.

Чтобы добавить тенант из списка тенантов для интеграции с LDAP-сервером:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → LDAP-сервер.

   Отобразится таблица Интеграция с LDAP-сервером по тенантам.

2. Установите флажок рядом с тенантом, который необходимо удалить, и нажмите на кнопку Удалить.
3. Подтвердите удаление тенанта.

Выбранный тенант удален из списка тенантов для интеграции с LDAP-сервером.

[Topic 217795]

Создание подключения к LDAP-серверу

Чтобы создать LDAP-подключение к Active Directory:

1. Откройте раздел Параметры → LDAP-сервер веб-интерфейса KUMA.
2. Выберите или создайте тенант, для которого хотите создать подключение к LDAP.

   Откроется окно Интеграция с LDAP-сервером по тенантам.

3. Нажмите на кнопку Добавить подключение.

   Откроется окно Параметры подключения.

4. Добавьте секрет с учетными данными для подключения к серверу Active Directory. Для этого выполните следующие действия:
   1. Если вы добавили секрет ранее, в раскрывающемся списке Секрет выберите существующий ресурс секрета (тип credentials).

      Выбранный секрет можно изменить, нажав на кнопку .

   2. Если вы хотите создать новый секрет, нажмите на кнопку .

      Откроется окно Секрет.

   3. В поле Название (обязательно) введите название ресурса: от 1 до 128 символов Юникода.
   4. В полях Пользователь и Пароль (обязательно) введите учетные данные для подключения к серверу Active Directory.

      Вы можете указать имя пользователя в одном из следующих форматов: <имя пользователя>@<домен> или <домен><имя пользователя>.

   5. В поле Описание введите описание ресурса: до 256 символов Юникода.
   6. Нажмите на кнопку Сохранить.
5. В поле Название (обязательно) введите уникальное имя LDAP-подключения.

   Длина должна быть от 1 до 128 символов Юникода.

6. В поле URL (обязательно) введите адрес контроллера домена в формате <hostname или IP-адрес сервера>:<порт>.

   Вы можете указать через запятую адреса нескольких серверов с контроллерами домена на случай, если один из них будет недоступен. Все указанные серверы должны находиться в одном домене.

7. Если вы хотите использовать TLS-шифрование для соединения с контроллером домена, в раскрывающемся списке Тип выберите один из следующих вариантов:
   • startTLS.

     При использовании метода

     startTLS

     Расширение обычного протокола текстового обмена, которое позволяет создать зашифрованное соединение (TLS или SSL) прямо поверх обычного TCP-соединения вместо открытия для шифрованного соединения отдельного порта.

     Расширение обычного протокола текстового обмена, которое позволяет создать зашифрованное соединение (TLS или SSL) прямо поверх обычного TCP-соединения вместо открытия для шифрованного соединения отдельного порта.

     сначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование. Если команда STARTTLS завершается с ошибкой, соединение обрывается.

     Убедитесь, что порт 389 открыт. В противном случае соединение с контроллером домена будет невозможно.

   • ssl.

     При использовании SSL сразу устанавливается шифрованное соединение по порту 636.

   • незащищенный.

   При использовании шифрованного соединения невозможно указать IP-адрес в качестве URL.

8. Если на предыдущем шаге вы включили TLS-шифрование, добавьте TLS-сертификат. Следует использовать сертификат удостоверяющего центра, которым подписан сертификат сервера LDAP. Пользовательские сертификаты использовать нельзя. Чтобы добавить сертификат, выполните следующие действия:
   1. Если вы загрузили сертификат ранее, выберите его в раскрывающемся списке Сертификат.

      Если ранее не было добавлено ни одного сертификата, в раскрывающемся списке отобразится Нет данных.

   2. Если вы хотите загрузить новый сертификат, справа от списка Сертификат нажмите на кнопку .

      Откроется окно Секрет.

   3. В поле Название введите название, которое будет отображаться в списке сертификатов после его добавления.
   4. По кнопке Загрузить файл сертификата добавьте файл с сертификатом Active Directory. Поддерживаются открытые ключи сертификата X.509 в Base64.
   5. Если требуется, укажите любую информацию о сертификате в поле Описание.
   6. Нажмите на кнопку Сохранить.

   Сертификат будет загружен и отобразится в списке Сертификат.

9. В поле Время ожидания в секундах укажите, сколько времени требуется ожидать ответа от сервера контроллера домена.

   Если в поле URL указано несколько адресов, то KUMA будет ждать ответа от первого сервера указанное количество секунд. Если за это время ответ не будет получен, программа обратится к следующему указанному серверу и т.д. Если ни один из указанных серверов не ответит в течение заданного времени, подключение будет прервано с ошибкой.

10. В поле База поиска (Base DN)  введите базовое отличительное имя каталога, в котором должен выполняться поисковый запрос.
11. Установите флажок Выключено, если не хотите использовать это LDAP-подключение.

    По умолчанию флажок снят.

12. Нажмите на кнопку Сохранить.

LDAP-подключение к Active Directory создано и отображается в окне Интеграция с LDAP-сервером.

Информация об учетных записях из Active Directory будет запрошена сразу после сохранения подключения, а затем будет обновляться с указанной периодичностью.

Если вы хотите использовать одновременно несколько LDAP-подключений для одного тенанта, вам нужно убедиться, что адрес контроллера домена, указанный в каждом из этих подключений, является уникальным. В противном случае KUMA позволяет включить только одно из этих подключений. Порт при проверке адреса контроллера домена на уникальность не проверяется.

[Topic 231112]

Создание копии подключения к LDAP-серверу

Вы можете создать LDAP-подключение, скопировав уже существующее подключение. В этом случае в созданное подключение дублируются все параметры исходного подключения.

Чтобы скопировать LDAP-подключение:

1. Откройте раздел Параметры → LDAP-сервер веб-интерфейса KUMA и выберите тенант, для которого вы хотите скопировать подключение к LDAP.

   Откроется окно Интеграция с LDAP-сервером.

2. Выберите нужное подключение.
3. В открывшемся окне Параметры подключения нажмите на кнопку Дублировать подключение.

   Отобразится окно создания нового подключения. К названию подключения будет добавлено слово копия.

4. Если требуется, измените нужные параметры.
5. Нажмите на кнопку Сохранить.

Создано новое подключение.

Если вы хотите использовать одновременно несколько LDAP-подключений для одного тенанта, вам нужно убедиться, что адрес контроллера домена, указанный в каждом из этих подключений, является уникальным. В противном случае KUMA позволяет включить только одно из этих подключений. Порт при проверке адреса контроллера домена на уникальность не проверяется.

[Topic 233080]

Изменение подключения к LDAP-серверу

Чтобы изменить подключение к LDAP-серверу:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → LDAP-сервер.

   Откроется окно Интеграция с LDAP-сервером по тенантам.

2. Выберите тенант, для которого вы хотите изменить подключение к LDAP-серверу.

   Откроется окно Интеграция с LDAP-сервером.

3. Нажмите на подключение с LDAP-серверу, которое вы хотите изменить.

   Откроется окно с параметрами выбранного подключения к LDAP-серверу.

4. Измените значения необходимых параметров.
5. Нажмите на кнопку Сохранить.

Подключение к LDAP-серверу изменено. Перезапустите сервисы KUMA, использующие обогащение данными LDAP-серверов, чтобы изменения вступили в силу.

[Topic 233081]

Изменение частоты обновления данных

KUMA обращается к LDAP-серверу для обновления данных об учетных записях. Это происходит в следующих случаях:

• Сразу после создания нового подключения.
• Сразу после изменения параметров существующего подключения.
• Регулярно по расписанию каждые несколько часов. По умолчанию каждые 12 часов.
• При создании пользователем задачи на обновление данных об учетных записях.

При обращении к LDAP-серверам создается задача в разделе Диспетчер задач веб-интерфейса KUMA.

Чтобы изменить расписание обращений KUMA к LDAP-серверам:

1. Откройте в веб-интерфейсе KUMA раздел Параметры → LDAP-сервер → Интеграция с LDAP-сервером по тенантам.
2. Выберите нужный тенант.

   Откроется окно Интеграция с LDAP-сервером.

3. В поле Период обновления данных укажите требуемую частоту в часах. Значение по умолчанию – 12.

Расписание обращений изменено.

[Topic 233213]

Изменение срока хранения данных

Полученные данные об учетных записях, если сведения о них перестают поступать от сервера Active Directory, по умолчанию хранятся в KUMA в течение 90 дней. По прошествии этого срока данные удаляются.

После удаления данных об учетных записях в KUMA новые и существующие события не обогащаются этой информацией. Информация об учетных записях также будет недоступна в алертах. Если вы хотите просматривать информацию об учетных записях на протяжении всего времени хранения алерта, требуется установить срок хранения данных об учетных записях больше, чем срок хранения алерта.

Чтобы изменить срок хранения данных об учетных записях:

1. Откройте в веб-интерфейсе KUMA раздел Параметры → LDAP-сервер → Интеграция с LDAP-сервером по тенантам.
2. Выберите нужный тенант.

   Откроется окно Интеграция с LDAP-сервером.

3. В поле Время хранения данных укажите количество дней, в течение которого требуется хранить полученные от LDAP-сервера данные.

Срок хранения данных об учетных записях изменен.

[Topic 233094]

Запуск задач на обновление данных об учетных записях

После создания подключения к серверу Active Directory задачи на получение данных об учетных записях создаются автоматически. Это происходит в следующих случаях:

• Сразу после создания нового подключения.
• Сразу после изменения параметров существующего подключения.
• Регулярно по расписанию каждые несколько часов. По умолчанию каждые 12 часов. Расписание можно изменить.

Задачи на обновление данных об учетных записях можно создать вручную. Загрузить данные можно для всех подключений требуемого тенанта, так и для одного подключения.

Чтобы запустить задачу на обновление данных об учетных записях для всех LDAP-подключений тенанта:

1. Откройте в веб-интерфейсе KUMA разделе Параметры → LDAP-сервер → Интеграция с LDAP-сервером по тенантам.
2. Выберите требуемый тенант.

   Откроется окно Интеграция с LDAP-сервером.

3. Нажмите на кнопку Импортировать учетные записи.

В разделе Диспетчер задач веб-интерфейса KUMA добавлена задача на получение данных об учетных записях выбранного тенанта.

Чтобы запустить задачу на обновление данных об учетных записях для одного LDAP-подключения тенанта:

1. Откройте в веб-интерфейсе KUMA разделе Параметры → LDAP-сервер → Интеграция с LDAP-сервером по тенантам.
2. Выберите требуемый тенант.

   Откроется окно Интеграция с LDAP-сервером.

3. Выберите требуемое подключение к LDAP-серверу.

   Откроется окно Параметры подключения.

4. Нажмите на кнопку Импортировать учетные записи.

В разделе Диспетчер задач веб-интерфейса KUMA добавлена задача на получение данных об учетных записях из выбранного подключения тенанта.

[Topic 217830]

Удаление подключения к LDAP-серверу

Чтобы удалить LDAP-подключения к Active Directory:

1. Откройте раздел Параметры → LDAP-сервер веб-интерфейса KUMA и выберите тенант, которому принадлежит нужное подключение к LDAP.

   Откроется окно Интеграция с LDAP-сервером.

2. Нажмите на подключение LDAP, которое вы хотите удалить, а затем нажмите на кнопку Удалить.
3. Подтвердите удаление подключения.

LDAP-подключение к Active Directory удалено.

[Topic 221427]

Авторизация с помощью доменных учетных записей

Для того чтобы пользователи могли проходить авторизацию в веб-интерфейсе KUMA с помощью своих доменных учетных данных, требуется выполнить следующие этапы настройки.

1. Включить доменную авторизацию, если она отключена

   По умолчанию доменная авторизация включена, но подключение к домену не настроено.

2. Настроить соединение с контроллером домена

   Вы можете подключиться только к одному домену.

3. Добавить группы ролей пользователей

   Вы можете указать для каждой роли KUMA группу Active Directory. Пользователи из этой группы, пройдя авторизацию с помощью своих доменных учетных данных, будут получать доступ к веб-интерфейсу KUMA в соответствии с указанной ролью.

   При этом программа проверяет соответствие группы пользователя в Active Directory указанному фильтру в порядке следования ролей в веб-интерфейсе KUMA: оператор → аналитик → администратор тенанта → главный администратор. При первом совпадении пользователю присваивается роль и дальнейшая проверка не осуществляется. Если для пользователя указано две группы в одном тенанте, то будет использована роль с наименьшими правами. Если указано несколько групп для разных тенантов, то в каждом тенанте пользователю будет присвоена указанная роль.

Если вы выполнили все этапы настройки, но пользователь не может авторизоваться в веб-интерфейсе KUMA с помощью своей доменной учетной записи, рекомендуется проверить конфигурацию на наличие следующих проблем:

• В свойствах учетной записи пользователя в Active Directory не указан адрес электронной почты. В этом случае при первой авторизации пользователя отобразится сообщение об ошибке и учетная запись KUMA не будет создана.
• Локальная учетная запись KUMA с адресом электронной почты, указанным в свойствах доменной учетной записи, уже существует. В этом случае при попытке авторизации с помощью доменной учетной записи пользователь получит сообщение об ошибке.
• Доменная авторизация отключена в параметрах KUMA.
• Допущена ошибка при вводе группы ролей.
• Доменное имя пользователя содержит пробел.

[Topic 221428]

Включение и выключение доменной авторизации

По умолчанию доменная авторизация включена, но подключение к домену Active Directory не настроено. Если после настройки подключения вы хотите временно приостановить доменную авторизацию, вы можете отключить ее в веб-интерфейсе KUMA, не удаляя заданные ранее значения параметров. При необходимости вы сможете в любой момент включить авторизацию снова.

Чтобы включить или отключить доменную авторизацию пользователей в веб-интерфейсе KUMA:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная авторизация.
2. Выполните одно из следующих действий:
   • Если вы хотите выключить доменную авторизацию, в верхней части рабочей области установите флажок Выключено.
   • Если вы хотите включить доменную авторизацию, в верхней части рабочей области снимите флажок Выключено.
3. Нажмите на кнопку Сохранить.

Доменная авторизация будет включена или отключена.

[Topic 221429]

Настройка соединения с контроллером домена

Вы можете подключиться только к одному домену Active Directory. Для этого требуется настроить соединение с контроллером домена.

Чтобы настроить соединение с контроллером домена Active Directory:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная авторизация.
2. В блоке параметров Подключение в поле База поиска (Base DN) введите DistinguishedName корневой записи для поиска групп доступа в службе каталогов Active Directory.
3. В поле URL укажите адрес контроллера домена в формате <hostname или IP-адрес сервера>:<порт>.

   Вы можете указать через запятую адреса нескольких серверов с контроллерами домена на случай, если один из них будет недоступен. Все указанные серверы должны находиться в одном домене.

4. Если вы хотите использовать TLS-шифрование для соединения с контроллером домена, в раскрывающемся списке Режим TLS выберите один из следующих вариантов:
   • startTLS.

     При использовании метода startTLS сначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование. Если команда STARTTLS завершается с ошибкой, соединение обрывается.

     Убедитесь, что порт 389 открыт. В противном случае соединение с контроллером домена будет невозможно.

   • ssl.

     При использовании SSL сразу устанавливается шифрованное соединение по порту 636.

   • незащищенный.

   При использовании шифрованного соединения невозможно указать IP-адрес в качестве URL.

5. Если на предыдущем шаге вы включили TLS-шифрование, добавьте TLS-сертификат:
   • Если вы загрузили сертификат ранее, выберите его в раскрывающемся списке Секрет.

     Если ранее не было добавлено ни одного сертификата, в раскрывающемся списке отобразится Нет данных.

   • Если вы хотите загрузить новый сертификат, справа от списка Секрет нажмите на кнопку . В открывшемся окне в поле Название введите название, которое будет отображаться в списке сертификатов после его добавления. Добавьте файл с сертификатом Active Directory (поддерживаются открытые ключи сертификата X.509 в Base64), нажав на кнопку Загрузить файл сертификата. Нажмите на кнопку Сохранить.

     Сертификат будет загружен и отобразится в списке Секрет.

6. В поле Время ожидания в секундах укажите, сколько времени требуется ожидать ответа от сервера контроллера домена.

   Если в поле URL указано несколько адресов, то KUMA будет ждать ответа от первого сервера указанное количество секунд. Если за это время ответ не будет получен, программа обратится к следующему указанному серверу и так далее. Если ни один из указанных серверов не ответит в течение заданного времени, подключение будет прервано с ошибкой.

7. Если вы хотите настроить доменную авторизацию для пользователя с ролью главного администратора KUMA, в поле Группа главных администраторов укажите DistinguishedName группы Active Directory, в которой состоит пользователь.

   Если для пользователя указано две группы в одном тенанте, то будет использована роль с наименьшими правами.

   Пример ввода фильтра: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain

8. Нажмите на кнопку Сохранить.

Соединение с контроллером домена Active Directory будет настроено. Для работы доменной авторизации требуется также добавить группы для ролей пользователей KUMA.

Вы также можете проверить соединение для введенных ранее параметров соединения с контроллером домена.

Чтобы проверить соединение с контроллером домена:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная авторизация.
2. В блоке параметров Проверка подключения выберите нужный секрет в поле Данные аутентификации.

   При необходимости вы можете создать новый секрет, нажав на кнопку , или изменить параметры существующего секрета, нажав на кнопку .

3. Нажмите на кнопку Тест.

Отобразится всплывающее уведомление с результатами теста. Во всплывающем уведомлении отображается сообщение: Подключение установлено. Если соединение установить не удалось, то отображается причина отсутствия соединения.

[Topic 221430]

Добавление групп ролей пользователей

Вы можете указать группы только для тех ролей, для которых требуется настроить доменную авторизацию. Остальные поля можно оставить пустыми.

Чтобы добавить группы ролей пользователей:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная авторизация.
2. В блоке параметров Группы ролей нажмите на кнопку Добавить группы ролей.
3. В раскрывающемся списке Тенант выберите, для пользователей какого тенанта вы хотите настроить доменную авторизацию.
4. Укажите DistinguishedName группы Active Directory, пользователи которой должны иметь возможность пройти авторизацию со своими доменными учетными данными, в полях для следующих ролей:
   • Оператор.
   • Аналитик.
   • Администратор.

   Пример ввода группы: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain.

   Вы можете указать для каждой роли только одну группу Active Directory. Если вам нужно указать несколько групп, то для каждой группы требуется повторить шаги 2–4, указывая при этом тот же тенант.

5. Если требуется, повторите шаги 2–4 для каждого тенанта, для которого вы хотите настроить доменную авторизацию с ролями оператор, аналитик или администратор тенанта.
6. Нажмите на кнопку Сохранить.

Группы ролей пользователей будут добавлены. Заданные параметры будут применены после следующего входа пользователя в веб-интерфейс KUMA.

После первой авторизации пользователя информация о нем отобразится в разделе Параметры → Пользователи. Поля Логин и Пароль, полученные из Active Directory, недоступны для редактирования. Роль пользователя также будет недоступна для редактирования: для изменения роли потребуется изменить группы ролей пользователей. Изменения роли применяются после повторной авторизации пользователя. До истечения текущей сессии пользователь продолжает работу со старой ролью.

Если в свойствах учетной записи Active Directory изменяется имя или адрес электронной почты пользователя, требуется вручную внести эти изменения в учетную запись KUMA.

[Topic 221777]

Интеграция с НКЦКИ

Вы можете создать в веб-интерфейсе KUMA подключение к Национальному координационному центру по компьютерным инцидентам (далее "НКЦКИ"). Это позволит вам экспортировать в него инциденты, зарегистрированные в KUMA. Интеграция настраивается в разделе Параметры → НКЦКИ веб-интерфейса KUMA.

Интеграцию можно включить или выключить с помощью флажка Выключено.

Чтобы создать подключение к НКЦКИ:

1. Откройте раздел веб-интерфейса KUMA Параметры → НКЦКИ.
2. В поле URL введите URL, по которому доступен НКЦКИ. Например: https://example.cert.gov.ru/api/v2/
3. В блоке параметров Токен создайте или выберите существующий ресурс секрета с API-токеном, который был выдан вашей организации для подключения к НКЦКИ:
   • Если у вас уже есть секрет, его можно выбрать в раскрывающемся списке.
   • Если вы хотите создать новый секрет:
     1. Нажмите на кнопку и укажите следующие параметры:
        • Название (обязательно) – уникальное имя создаваемого сервиса. Название должно содержать от 1 до 128 символов Юникода.
        • Токен (обязательно) – токен, который был выдан вашей организации для подключения к НКЦКИ.
        • Описание – описание сервиса: до 256 символов Юникода.
     2. Нажмите Сохранить.

     Секрет с токеном для подключения к НКЦКИ создан. Он хранится в разделе Ресурсы → Секреты и принадлежит главному тенанту.

   Выбранный секрет можно изменить, нажав на кнопку .

4. В раскрывающемся списке Сфера деятельности компании выберите сферу, в которой работает ваша организация.

   Доступные сферы деятельности компании

   • Атомная энергетика
   • Банковская сфера и иные сферы финансового рынка
   • Горнодобывающая промышленность
   • Государственная/муниципальная власть
   • Здравоохранение
   • Металлургическая промышленность
   • Наука
   • Оборонная промышленность
   • Образование
   • Ракетно-космическая промышленность
   • Связь
   • СМИ
   • Топливно-энергетический комплекс
   • Транспорт
   • Химическая промышленность
   • Иная
5. В поле Название компании укажите название вашей компании. Эти данные будут передаваться в НКЦКИ при экспорте инцидентов.
6. С помощью раскрывающегося списка Местоположение укажите, где располагается ваша компания. Эти данные будут передаваться в НКЦКИ при экспорте инцидентов.
7. При необходимости в блоке параметров Прокси-сервер создайте или выберите существующий ресурс прокси-сервера, который должен использоваться при подключении к НКЦКИ.
8. Нажмите Сохранить.

KUMA интегрирована с НКЦКИ. Теперь вы можете экспортировать в него инциденты.

[Topic 232020]

Интеграция с Security Vision Incident Response Platform

Security Vision Incident Response Platform (далее Security Vision IRP) – это программная платформа для автоматизации мониторинга, обработки и реагирования на инциденты информационной безопасности. Она объединяет данные о киберугрозах из различных источников в единую базу данных для дальнейшего анализа и расследования, что позволяет облегчить реагирование на инциденты.

Security Vision IRP можно интегрировать с KUMA. После настройки интеграции в Security Vision IRP можно выполнять следующие задачи:

• Запрашивать из KUMA сведения об алертах. При этом в Security Vision IRP по полученным данным создаются инциденты.
• Отправлять в KUMA запросы на закрытие алертов.

Интеграция реализована с помощью KUMA REST API. На стороне Security Vision IRP интеграция осуществляется с помощью преднастроенного коннектора Kaspersky KUMA. О способах и условиях получения коннектора Kaspersky KUMA вы можете узнать у вашего поставщика Security Vision IRP.

Работа с инцидентами Security Vision IRP

Инциденты Security Vision IRP, созданные на основе данных об алертах KUMA, можно просмотреть в Security Vision IRP в разделе Инциденты → Инциденты (2 линии) → Все инциденты (2 линии). В каждый инцидент Security Vision IRP записываются события, относящиеся к алертам KUMA. Импортированные события можно просмотреть на закладке Реагирование.

Алерт KUMA, импортированный в Security Vision IRP в качестве инцидента

[Topic 232289]

Настройка интеграции в KUMA

Для того чтобы настроить интеграцию KUMA и Security Vision IRP необходимо настроить авторизацию API-запросов в KUMA. Для этого требуется создать токен для пользователя KUMA, от имени которого будут обрабатываться API-запросы на стороне KUMA.

Токен можно сгенерировать в профиле своей учетной записи. Пользователи с ролью главный администратор могут генерировать токены в учетных записях других пользователей. Вы всегда можете сгенерировать новый токен.

Чтобы сгенерировать токен в профиле своей учетной записи:

1. В веб-интерфейсе KUMA в левом нижнем углу окна нажмите на имя учетной записи пользователя и в открывшемся меню нажмите на кнопку Профиль.

   Откроется окно Пользователь с параметрами вашей учетной записи.

2. Нажмите на кнопку Сгенерировать токен.
3. В открывшемся окне скопируйте созданный токен. Он потребуется для настройки Security Vision IRP.

   При закрытии окна токен больше не отображается, и, если вы его не скопировали, потребуется сгенерировать новый токен.

Сгенерированный токен требуется указать в параметрах коннектора Security Vision IRP.

[Topic 232073]

Настройка интеграции в Security Vision IRP

Настройка интеграции в Security Vision IRP заключается в импорте и настройки коннектора. При необходимости можно также изменить другие параметры Security Vision IRP, связанные с обработкой данных KUMA: например, расписание обработки данных и рабочий процесс.

Более подробные сведения о настройке Security Vision IRP см. в документации продукта.

[Topic 232293]

Импорт и настройка коннектора

Добавление коннектора в Security Vision IRP

Интеграция Security Vision IRP и KUMA осуществляется с помощью коннектора Kaspersky KUMA. О способах и условиях получения коннектора Kaspersky KUMA вы можете узнать у вашего поставщика Security Vision IRP..

Чтобы импортировать коннектор Kaspersky KUMA в Security Vision IRP:

1. В Security Vision IRP откройте раздел Настройки → Коннекторы → Коннекторы.

   Отобразится список коннекторов, добавленных в Security Vision IRP.

2. В верхней части экрана нажмите на кнопку импорта и выберите zip-архив с коннектором Kaspersky KUMA.

Коннектор импортирован в Security Vision IRP и готов к настройке.

Настройка в коннекторе подключения к KUMA

Для использования коннектора нужно настроить его подключение к KUMA.

Чтобы настроить в Security Vision IRP подключение к KUMA с помощью коннектора Kaspersky KUMA:

1. В Security Vision IRP откройте раздел Настройки → Коннекторы → Коннекторы.

   Отобразится список коннекторов, добавленных в вашу Security Vision IRP.

2. Выберите коннектор Kaspersky KUMA.

   Отобразятся общие параметры коннектора.

3. В разделе Параметры коннектора нажмите на кнопку Редактировать.

   Отобразится конфигурация коннектора.

4. В поле URL укажите адрес и порт KUMA. Например, kuma.example.com:7223.
5. В поле Token укажите API-токен пользователя KUMA.

Подключение к KUMA настроено в коннекторе Security Vision IRP.

Настройки коннектора Security Vision IRP

Настройка в коннекторе Security Vision IRP команд для взаимодействия с KUMA

С помощью Security Vision IRP можно получать сведения об алертах KUMA (или инцидентах в терминологии Security Vision IRP), а также отправлять запросы на их закрытие. Для выполнения этих действий в коннекторе Security Vision IRP нужно настроить соответствующие команды.

В инструкциях ниже описано, как добавить команды на получение и закрытие алертов, однако при необходимости реализовать более сложную логику взаимодействия Security Vision IRP и KUMA вы можете аналогичным образом создать команды с другими API-запросами.

Чтобы настроить команду на получение из KUMA сведений об алертах:

1. В Security Vision IRP откройте раздел Настройки → Коннекторы → Коннекторы.

   Отобразится список коннекторов, добавленных в Security Vision IRP.

2. Выберите коннектор Kaspersky KUMA.

   Отобразятся общие настройки коннектора.

3. Нажмите на кнопку +Команда.

   Откроется окно создания команды.

4. Укажите параметры команды для получения алертов:
   • В поле Наименование введите название команды: Получение инцидентов.
   • В раскрывающемся списке Тип запроса выберите GET.
   • В поле Вызываемый метод введите API-запрос на поиск алертов: api/v1/alerts/?withEvents&status=new
   • В разделе Заголовки запроса в поле Название укажите authorization, а в поле Значение укажите Bearer <token>.
   • В раскрывающемся списке Тип контента выберите application/json.
5. Сохраните команду и закройте окно.

Команда коннектора настроена. При этой команды коннектор Security Vision IRP будет запрашивать в KUMA сведения обо всех алертах со статусом Новый и всех относящихся к ним событиях. Полученные данные будут передаваться в обработчик Security Vision IRP, который на их основе будет создавать инциденты Security Vision IRP. Если алерт уже был импортирован в Security Vision IRP, но в нем появились новые данные, сведения о нем будут обновлены в Security Vision IRP.

Чтобы настроить команду на закрытие алертов KUMA:

1. В Security Vision IRP откройте раздел Настройки → Коннекторы → Коннекторы.

   Отобразится список коннекторов, добавленных в Security Vision IRP.

2. Выберите коннектор Kaspersky KUMA.

   Отобразятся общие настройки коннектора.

3. Нажмите на кнопку +Команда.

   Отобразится окно создания команды.

4. Укажите параметры команды для получения алертов:
   • В поле Наименование введите название команды: Закрытие инцидента.
   • В раскрывающемся списке Тип запроса выберите POST.
   • В поле Вызываемый метод введите API-запрос на закрытие алерта: api/v1/alerts/close
   • В поле Запрос введите содержимое отправляемого API-запроса: {"id":"<Идентификатор алерта>","reason":"responded"}

     Можно создать несколько команд для разных причин закрытия алертов: responded, incorrect data, incorrect correlation rule.

   • В разделе Заголовки запроса в поле Название укажите authorization, а в поле Значение укажите Bearer <token>.
   • В раскрывающемся списке Тип контента выберите application/json.
5. Сохраните команду и закройте окно.

Команда коннектора настроена. При выполнении этой команды в Security Vision IRP будет закрыт инцидент, а в KUMA будет закрыт соответствующий ему алерт.

Создание команд в Security Vision IRP

После настройки коннектора Security Vision IRP алерты KUMA будут поступать в платформу в виде инцидентов Security Vision IRP. Далее необходимо настроить обработку инцидентов в Security Vision IRP в соответствии с существующей в вашей организации политикой безопасности.

[Topic 232323]

Настройка обработчика, расписания и рабочего процесса

Обработчик Security Vision IRP

Обработчик Security Vision IRP принимает от коннектора Security Vision IRP данные об алертах KUMA и создает на их основе инциденты Security Vision IRP. Для обработки используется предустановленный обработчик KUMA (Инциденты). Настройки обработчика KUMA (Инциденты) доступны в Security Vision IRP в разделе Настройки → Обработка событий → Обработчики событий:

• Правила обработки алертов KUMA можно просмотреть в настройках обработчика на закладке Нормализация.
• Действия при создании новых объектов можно просмотреть в настройках обработчика на закладке Действия для создания объектов типа Инцидент (2 линии).

Расписание запуска обработчика

Запуск коннектора и обработчика выполняется по предустановленному расписанию KUMA. Настройка этого расписания доступна в Security Vision IRP в разделе Настройки → Обработка событий → Расписание:

• В блоке параметров Настройки коннектора можно настроить параметры запуска коннектора.
• В блоке параметров Настройки обработки можно настроить параметры запуска обработчика.

Рабочий процесс Security Vision IRP

Жизненный цикл инцидентов Security Vision IRP, созданных на основе алертов KUMA, проходит по преднастроенному процессу Обработка инц. (2 линии). Настройка рабочего процесса доступна в Security Vision IRP в разделе Настройки → Рабочие процессы → Шаблоны рабочих процессов: выберите процесс Обработка инц. (2 линии) и нажмите на транзакцию или состояние, которое необходимо изменить.

[Topic 233668]

Интеграция с Kaspersky Industrial CyberSecurity for Networks

Kaspersky Industrial CyberSecurity for Networks (далее "KICS for Networks") – программа для защиты инфраструктуры промышленных предприятий от угроз информационной безопасности и для обеспечения непрерывности технологических процессов. Программа анализирует трафик промышленной сети для выявления отклонений в значениях технологических параметров, обнаружения признаков сетевых атак, контроля работы и текущего состояния устройств в сети.

KICS for Networks версии 4.0 и выше можно интегрировать с KUMA. После настройки интеграции в KUMA можно выполнять следующие задачи:

• Импортировать из KICS for Networks в KUMA сведения об активах.
• Отправлять из KUMA в KICS for Networks команды на изменение статусов активов.

В отличие от KUMA, в KICS for Networks активы называются устройствами.

Интеграцию KICS for Networks и KUMA необходимо настроить на стороне обеих программ:

1. В KICS for Networks необходимо создать коннектор KUMA и сохранить файл свертки этого коннектора.
2. В KUMA с помощью файла свертки коннектора создается подключение к KICS for Networks.

Описываемая в этом разделе интеграция касается импорта сведений об активах. KICS for Networks можно также настроить на отправку событий в KUMA. Для этого необходимо в KICS for Networks создать коннектор типа SIEM/Syslog, а на стороне KUMA – настроить коллектор.

[Topic 233670]

Настройка интеграции в KICS for Networks

Интеграция поддерживается с KICS for Networks версий 4.0 и выше.

Настройку интеграции KICS for Networks и KUMA рекомендуется проводить после завершения режима обучения правилам контроля процесса. Подробнее см. в документации KICS for Networks.

На стороне KICS for Networks настройка интеграции заключается в создании коннектора типа KUMA. В KICS for Networks коннекторы – это специальные программные модули, которые обеспечивают обмен данными KICS for Networks со сторонними системами, в том числе с KUMA. Подробнее о создании коннекторов см. в документации KICS for Networks.

При добавлении в KICS for Networks коннектора автоматически создается файл свертки для этого коннектора. Это зашифрованный файл конфигурации для подключения к KICS for Networks, который используется при настройке интеграции на стороне KUMA.

[Topic 233669]

Настройка интеграции в KUMA

Настройку интеграции KICS for Networks и KUMA рекомендуется проводить после завершения режима обучения правилам контроля процесса. Подробнее см. в документации KICS for Networks.

Чтобы настроить в KUMA интеграцию с KICS for Networks:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Industrial CyberSecurity for Networks.

   Откроется окно Интеграция с Kaspersky Industrial CyberSecurity for Networks по тенантам.

2. Выберите или создайте тенант, для которого хотите создать интеграцию с KICS for Networks.

   Откроется окно Интеграция с Kaspersky Industrial CyberSecurity for Networks.

3. Нажмите на поле Файл свертки и выберите файл свертки коннектора, созданный в KICS for Networks.
4. В поле Пароль файла свертки введите пароль файла свертки.
5. Установите флажок Включить реагирование, если вы хотите изменять статусы активов KICS for Networks с помощью правил реагирования KUMA.
6. Нажмите Сохранить.

В KUMA настроена интеграция с KICS for Networks, в окне отображается IP-адрес узла, на котором будет работать коннектор KICS for Networks, а также его идентификатор.

[Topic 233717]

Включение и выключение интеграции c KICS for Networks

Чтобы включить или выключить для тенанта интеграцию c KICS for Networks:

1. Откройте раздел Параметры → Kaspersky Industrial CyberSecurity for Networks веб-интерфейса KUMA и выберите тенант, у которого вы хотите включить или выключить интеграцию с KICS for Networks.

   Откроется окно Интеграция с Kaspersky Industrial CyberSecurity for Networks.

2. Установите или снимите флажок Выключено.
3. Нажмите Сохранить.

[Topic 233718]

Изменение частоты обновления данных

KUMA обращается к KICS for Networks для обновления сведений об активах. Это происходит в следующих случаях:

• Сразу после создания новой интеграции.
• Сразу после изменения параметров существующей интеграции.
• Регулярно по расписанию каждые несколько часов. По умолчанию каждые 3 часа.
• При создании пользователем задачи на обновление данных об активах.

При обращении к KICS for Networks создается задача в разделе Диспетчер задач веб-интерфейса KUMA.

Чтобы изменить расписание импорта сведений об активах KICS for Networks:

1. Откройте в веб-интерфейсе KUMA раздел Параметры → Kaspersky Industrial CyberSecurity for Networks.
2. Выберите нужный тенант.

   Откроется окно Интеграция с Kaspersky Industrial CyberSecurity for Networks.

3. В поле Период обновления данных укажите требуемую частоту в часах. Значение по умолчанию – 3.

Расписание импорта изменено.

[Topic 233699]

Особенности импорта информации об активах из KICS for Networks

Импорт активов

Активы импортируются в соответствии с правилами импорта активов. Импортируются только активы со статусами Разрешенное и Неразрешенное.

Активы KICS for Networks идентифицируются по комбинации следующих параметров:

• IP-адрес экземпляра KICS for Networks, с которым настроена интеграция.
• Идентификатор коннектора KICS for Networks, с помощью которого настроена интеграция.
• Идентификатор, присвоенный активу (или "устройству") в экземпляре KICS for Networks.

Импорт сведений об уязвимостях

При импорте активов в KUMA также поступают сведения об активных уязвимостях KICS for Networks. Если в KICS for Networks уязвимость была помечена как устраненная или незначительная, сведения о ней удаляются из KUMA при следующем импорте.

Сведения об уязвимостях активов отображаются в окне Информация об активе в блоке параметров Уязвимости на языке локализации KICS for Networks.

В KICS for Networks уязвимости называются рисками и разделяются на несколько типов. В KUMA импортируются все типы рисков.

Срок хранения импортированных данных

Если сведения о ранее импортированном активе перестают поступать из KICS for Networks, актив удаляется по прошествии 30 дней.

[Topic 233750]

Изменение статуса актива KICS for Networks

После настройки интеграции вы можете менять статусы активов KICS for Networks из KUMA. Статусы можно менять автоматически и вручную.

Статусы активов можно менять, только если вы включили реагирование в настройках подключения к KICS for Networks.

Изменение статуса актива KICS for Networks вручную

Пользователи с ролями Главный Администратор, Администратор и Аналитик в доступных им тенантах могут вручную менять статусы активов, импортированных из KICS for Networks.

Чтобы вручную изменить статус актива KICS for Networks:

1. В разделе Активы веб-интерфейса KUMA нажмите на актив, который вы хотите изменить.

   В правой части окна откроется область Информация об активе.

2. В раскрывающемся списке Статус KICS for Networks выберите статус, который необходимо присвоить активу KICS for Networks. Доступны статусы Разрешенное или Неразрешенное.

Статус актива изменен. Новый статус отображается в KICS for Networks и в KUMA.

Изменение статуса актива KICS for Networks автоматически

Автоматическое изменение статусов активов KICS for Networks реализовано с помощью правил реагирования. Правила необходимо добавить в коррелятор, который будет определять условия их срабатывания.

[Topic 217687]

Ресурсы KUMA

Ресурсы – это компоненты KUMA, которые содержат параметры для реализации различных функций: например, установления связи с заданным веб-адресом или преобразования данных по определенным правилам. Из этих компонентов, как из частей конструктора, собираются наборы ресурсов для сервисов, на основе которых в свою очередь создаются сервисы KUMA.

Ресурсы содержатся в разделе веб-интерфейса KUMA Ресурсы в блоке Ресурсы. Доступные типы ресурсов:

• Правила корреляции – в ресурсах этого типа содержатся правила определения в событиях закономерностей, указывающих на угрозы. Если условия, заданные в этих ресурсах, выполняются, создается корреляционное событие.
• Нормализаторы – в ресурсах этого типа содержатся правила для приведения поступающих событий к формату, принятому в KUMA. После обработки в нормализаторе "сырое" событие становится нормализованным и может обрабатываться другими ресурсами и сервисами KUMA.
• Коннекторы – в ресурсах этого типа содержатся параметры для установления сетевых подключений.
• Правила агрегации – в ресурсах этого типа содержатся правила для объединения нескольких однотипных базовых событий в одно агрегационное событие.
• Правила обогащения – в ресурсах этого типа содержатся правила для дополнения событий информацией из сторонних источников.
• Точки назначения – в ресурсах этого типа содержатся параметры для пересылки событий в пункт дальнейшей обработки или хранения.
• Фильтры – в ресурсах этого типа содержатся условия для отсева или выделения отдельных событий из потока событий.
• Реагирование – ресурсы этого типа используются в корреляторах для запуска, например, скриптов или задач Kaspersky Security Center при выполнении определенных условий.
• Шаблоны уведомлений – ресурсы этого типа используются при рассылке уведомлений о новых алертах.
• Активные листы – ресурсы этого типа используются корреляторами для динамической работы с данными при анализе событий по правилам корреляции.
• Словари – ресурсы этого типа используются для хранения ключей и их значений, которые могут потребоваться другим ресурсам и сервисам KUMA.
• Прокси-серверы – в ресурсах этого типа содержатся параметры использования прокси-серверов.
• Секреты – ресурсы этого типа используются для безопасного хранения конфиденциальной информации (например, учетных данных), которые должны использоваться KUMA для взаимодействия с внешними службами.

При нажатии на тип ресурса открывается окно, в котором отображается таблица с имеющимися ресурсами этого типа. Таблица содержит следующие столбцы:

• Название – имя ресурса. Может использоваться для поиска и сортировки ресурсов.
• Последнее обновление – дата и время последнего обновления ресурса. Может использоваться для сортировки ресурсов.
• Создал – имя пользователя, создавшего ресурс.
• Описание – описание ресурса.

Ресурсы можно расположить по папкам. В левой части каждого окна отображается структура папок, причем количество и названия корневых папок соответствуют созданным в KUMA тенантам. Когда папка выбрана, содержащиеся в ней ресурсы отображаются в таблице в правой части окна.

Ресурсы можно создавать, редактировать, копировать, перемещать между папками и удалять. Ресурсы можно также экспортировать и импортировать.

[Topic 217971]

Операции с ресурсами

Вы можете управлять ресурсами KUMA: создавать, перемещать, копировать, редактировать и удалять ресурсы, а также импортировать и экспортировать их. Перечисленные операции доступны для всех ресурсов, вне зависимости от типа ресурса.

Ресурсы KUMA располагаются в папках. Вы можете добавлять, переименовывать, перемещать и удалять папки ресурсов.

[Topic 218051]

Создание, переименование, перемещение и удаление папок ресурсов

Папки можно создавать, переименовывать, перемещать и удалять.

Чтобы создать папку:

1. Выберите в дереве папку, в которой требуется новая папка.
2. Нажмите на кнопку Добавить папку.

Папка будет создана.

Чтобы переименовать папку:

1. Найдите нужную папку в структуре папок.
2. Наведите курсор на название папки.

   Рядом с названием папки появится значок .

3. В раскрывающемся списке выберите Переименовать.

   Название папки станет доступным для редактирования.

4. Введите новое название папки и нажмите ENTER.

   Название папки не может быть пустым.

Папка будет переименована.

Чтобы переместить папку,

Нажмите название папки и перетащите ее в требуемое место в структуре папок.

Папки невозможно переместить из одного тенанта в другой

Чтобы удалить папку:

1. Найдите нужную папку в структуре папок.
2. Наведите курсор на название папки.

   Рядом с названием папки появится значок .

3. В раскрывающемся списке выберите Удалить.

   Появится окно подтверждения.

4. Нажмите ОК.

Папка будет удалена.

Программа не удаляет папки, которые содержат файлы или подпапки.

[Topic 218050]

Создание, дублирование, перемещение, редактирование и удаление ресурсов

Вы можете создавать, перемещать, копировать, редактировать и удалять ресурсы.

Чтобы создать ресурс:

1. В разделе Ресурсы → <тип ресурса> выберите или создайте папку, в которую требуется добавить новый ресурс.

   Корневые папки соответствуют тенантам. Чтобы ресурс был доступен определенному тенанту, его следует создать в папке этого тенанта.

2. Нажмите кнопку Добавить <тип ресурса>.

   Откроется окно для настройки параметров выбранного типа ресурсов. Доступные параметры зависят от типа ресурса.

3. Введите уникальное имя ресурса в поле Название.
4. Укажите обязательные параметры (они отмечены красной звездочкой).
5. При желании укажите дополнительные параметры (это необязательное действие).
6. Нажмите Сохранить.

Ресурс будет создан и доступен для использования в сервисах и других ресурсах.

Чтобы переместить ресурс в новую папку:

1. В разделе Ресурсы → <тип ресурса> найдите требуемый ресурс в структуре папок.
2. Установите флажки рядом с ресурсами, которые вы хотите переместить. Можно выбрать сразу несколько ресурсов.

   Рядом с выбранными ресурсами отобразится значок .

3. Перетащите ресурсы в нужную папку с помощью значка .

Ресурсы будут перемещены в новые папки.

Вы можете перемещать ресурсы только в папки того тенанта, в рамках которого были созданы ресурсы. Перемещение ресурсов в папки другого тенанта недоступно.

Чтобы скопировать ресурс:

1. В разделе Ресурсы → <тип ресурса> найдите требуемый ресурс в структуре папок.
2. Установите флажок рядом с ресурсом, которые вы хотите скопировать, и нажмите Дублировать.

   Отображается окно с параметрами ресурса, который вы выбрали для копирования. Доступные параметры зависят от типа ресурса.

   В поле Название отображается <название выбранного ресурса> - копия.

3. Измените нужные параметры.
4. Введите уникальное имя в поле Название.
5. Нажмите Сохранить.

Копия ресурса будет создана.

Чтобы изменить ресурс:

1. В разделе Ресурсы → <тип ресурса> найдите требуемый ресурс в структуре папок.
2. Выберите ресурс.

   Отображается окно с параметрами выбранного ресурса. Доступные параметры зависят от типа ресурса.

3. Измените нужные параметры.
4. Нажмите Сохранить.

Ресурс будет обновлен. Если этот ресурс используется в сервисе, перезапустите сервис, чтобы он задействовал новые параметры.

Чтобы удалить ресурс:

1. В разделе Ресурсы → <тип ресурса> найдите требуемый ресурс в структуре папок.
2. Установите флажок рядом с ресурсом, которые вы хотите удалить, и нажмите Удалить.

   Откроется окно подтверждения.

3. Нажмите ОК.

Ресурс будет удален.

[Topic 217870]

Экспорт и импорт ресурсов

Вы можете экспортировать и импортировать ресурсы.

Чтобы экспортировать ресурсы:

1. В разделе Ресурсы → <тип ресурса> нажмите на значок .
2. В раскрывающемся списке выберите Экспортировать ресурсы.

   Откроется окно Экспортировать ресурсы с деревом всех доступных ресурсов.

3. В поле Пароль введите пароль, который необходимо использовать для защиты экспортируемых данных.
4. В раскрывающемся списке Тенант выберите тенант, ресурсы которого вы хотите экспортировать.
5. Установите флажки рядом с ресурсами, которые вы хотите экспортировать.

   Если выбранные ресурсы связаны с другими ресурсами, эти ресурсы также будут экспортированы.

6. Нажмите на кнопку Экспортировать.

Ресурсы в защищенном паролем файле сохранятся на вашем компьютере в зависимости от настроек вашего браузера. Ресурсы секретов экспортируются пустыми.

Чтобы импортировать ресурсы:

1. В раскрывающемся списке выберите Импортировать ресурсы.

   Откроется окно Импорт ресурсов.

2. В поле Пароль введите пароль для файла, который вы хотите импортировать.
3. В раскрывающемся списке Тенант выберите тенант, которому будут принадлежать импортируемые ресурсы.
4. Нажмите на кнопку Выбрать файл и укажите файл с ресурсами, которые вы хотите импортировать.

   В окне Импорт ресурсов отображается дерево всех доступных ресурсов в выбранном файле.

5. Выберите ресурсы, которые хотите импортировать.
6. Нажмите на кнопку Импортировать.
7. Разрешите конфликты (см. ниже) между импортированными и существующими ресурсами, если они возникли. Подробнее о конфликтах ресурсов см. ниже.
   1. Если имя любого из импортированных ресурсов совпадает с именем уже существующего ресурса, открывается окно Конфликты с таблицей, в которой отображаются тип и имя конфликтующих ресурсов. Разрешите отображаемые конфликты:
      • Если вы хотите заменить существующий ресурс новым, нажмите Заменить.

        Нажмите Заменить все, чтобы заменить все конфликтующие ресурсы.

      • Если вы хотите оставить существующий ресурс, нажмите Пропустить.

        Нажмите Пропустить все, чтобы сохранить все существующие ресурсы.

   2. Нажмите на кнопку Устранить.

Ресурсы импортируются в KUMA. Ресурсы секретов импортируются пустыми.

О разрешении конфликтов

Когда ресурсы импортируются в KUMA, программа сравнивает их с существующими ресурсами, проверяя их название, тип и параметр guid (идентификатор):

• Если имя и тип импортируемого ресурса совпадают с параметрами существующего ресурса, имя импортированного ресурса автоматически изменяется.
• Если идентификаторы двух ресурсов совпадают, возникает конфликт, который должен разрешить пользователь. Такая ситуация может возникнуть, когда вы импортируете ресурсы на тот же сервер KUMA, с которого они были экспортированы.

При разрешении конфликта вы можете либо заменить существующий ресурс импортированным, либо оставить существующий ресурс.

Некоторые ресурсы связаны между собой (например, для ресурса коннектора требуется ресурс подключения): такие ресурсы экспортируются и импортируются вместе. Если во время импорта возникает конфликт, и вы выбираете замену существующего ресурса новым, все связанные с ним ресурсы также будут автоматически заменены импортированными ресурсами, даже если вы выбрали для них Пропустить.

При импорте все ресурсы импортируются в один тенант, даже если при экспорте они принадлежали разным тенантам (например, если связанный ресурс находился в общем тенанте).

[Topic 217783]

Правила корреляции

Ресурсы правила корреляции используются в сервисах корреляторов для распознавания определенных последовательностей обрабатываемых событий и выполнения определенных действий после распознавания: например, создание корреляционных событий или алертов, взаимодействие с активным листом.

Доступные параметры правила корреляции зависят от выбранного типа. Типы правил корреляции:

• standard – используется для поиска корреляций между несколькими событиями. Ресурсы этого типа могут создавать корреляционные события.

  Этот тип ресурсов используется для определения сложных закономерностей в последовательности событий. Для более простых комбинаций следует использовать другие типы правил корреляции, которые требуют меньше ресурсов.

• simple – используется для создания событий корреляции при обнаружении определенного события.
• operational – используется для операций с активными листами. Этот тип ресурсов не может создавать корреляционные события.

Для этих ресурсов в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов.

Если правило корреляции используется в корреляторе и по нему был создан алерт, то при изменении ресурса правила корреляции существующий алерт не будет изменен, даже если перезапустить сервис коррелятора. Например, если у правила корреляции было изменено название, название алерта останется прежним. Если существующий алерт закрыть, то новый алерт будет создан уже с учетом изменений ресурса правила корреляции.

[Topic 221197]

Правила корреляции типа standard

Правила корреляции типа standard используются для определения сложных закономерностей в обрабатываемых событиях.

Поиск закономерностей происходит с помощью контейнеров

Окно ресурса правила корреляции содержит следующие закладки параметров:

• Общие – используется для указания основных параметров ресурса правила корреляции. На этой закладке можно выбрать тип правила корреляции.
• Селекторы – используется для определения условий, которым должны удовлетворять обрабатываемые события для срабатывания правила корреляции. Доступные параметры зависят от выбранного типа ресурса.
• Действия – используется для установки триггеров, срабатывающих при выполнении условий, заданных в группе настроек Селекторы. У ресурса правила корреляции должен быть хотя бы один триггер. Доступные параметры зависят от выбранного типа ресурса.

Закладка Общие

• Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
• Тенант (обязательно) – тенант, которому принадлежит правило корреляции.
• Тип (обязательно) – раскрывающийся список для выбора типа правила корреляции. Выберите standard, если хотите создать правило корреляции типа standard.
• Группирующие поля (обязательно) – поля событий, которые должны быть сгруппированы в контейнере. Хеш-код значений выбранных полей используется в качестве ключа контейнера. Если срабатывает селектор (см. ниже), отобранные поля копируются в корреляционное событие.
• Уникальные поля – поля событий, которые должны быть отправлены в контейнер. Если задан этот параметр, в контейнер будут отправляться только уникальные поля. Хеш-код значений отобранных полей используется в качестве ключа контейнера. Если срабатывает правило корреляции, отобранные поля копируются в корреляционное событие.
• Частота срабатываний – максимальное количество срабатываний правила корреляции в секунду. Значение по умолчанию: 100.

  Если правила корреляции, в которых реализована сложная логика обнаружения закономерностей, не срабатывают, причиной могут быть особенности подсчета срабатываний правила в KUMA. Попробуйте увеличить значение Частота срабатываний, например, до 1000000.

• Время жизни контейнера, сек. (обязательно) – время жизни контейнера в секундах. Этот таймер запускается при создании контейнера (когда он получает первое событие). Время жизни не обновляется, и когда оно истекает, срабатывает триггер По истечении времени жизни контейнера из группы настроек Действия, а контейнер удаляется. Триггеры На каждом срабатывании правила и На последующих срабатываниях правила могут срабатывать более одного раза в течение времени жизни контейнера.
• Политика хранения базовых событий – этот раскрывающийся список используется, чтобы определить, какие базовые события должны быть сохранены в корреляционном событии:
  • first (значение по умолчанию) – поместить в корреляционное событие первое базовое событие из коллекции событий, инициировавшей создание корреляционного события.
  • last – поместить в корреляционное событие последнее базовое событие из коллекции событий, инициировавшей создание корреляционного события.
  • all – поместить в корреляционное событие все базовые события из коллекции событий, инициировавшей создание корреляционного события.
• Уровень важности – базовый коэффициент, используемый для определения уровня важности правила корреляции. Значение по умолчанию: Низкий.
• Сортировать по – в этом раскрывающемся списке можно выбрать поле события, по которому селекторы правила корреляции будут отслеживать изменение ситуации. Это может пригодиться, если, например, вы захотите настроить правило корреляции на срабатывание при последовательном возникновении нескольких типов событий.
• Описание – описание ресурса. До 256 символов Юникода.

Закладка Селекторы

В ресурсе типа standard может быть несколько селекторов. Селекторы можно добавлять с помощью кнопки Добавить селектор и удалять с помощью кнопки Удалить селектор. Селекторы можно перемещать с помощью кнопки .

Для каждого селектора доступны две закладки Параметры и Локальные переменные.

Закладка Параметры содержит следующие параметры:

• Название (обязательно) – уникальное имя группы событий, удовлетворяющих условиям селектора. Название используется для идентификации событий в объединяющем фильтре. Должно содержать от 1 до 128 символов Юникода.
• Порог срабатывания селектора (количество событий) (обязательно) – количество событий, которое необходимо получить для срабатывания селектора.
• Фильтр (обязательно) – используется для установки критериев определения событий, из-за которых будет срабатывать селектор. В раскрывающемся списке можно выбрать существующий ресурс фильтра или выбрать Создать, чтобы создать новый фильтр.

  Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

     В этом случае вы сможете использовать созданный фильтр в разных сервисах.

     По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
     1. Нажмите на кнопку Добавить условие.
     2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

        В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

     3. В раскрывающемся списке оператор выберите нужный вам оператор.

        Операторы фильтров

        • = – левый операнд равен правому операнду.
        • < – левый операнд меньше правого операнда.
        • <= – левый операнд меньше или равен правому операнду.
        • > – левый операнд больше правого операнда.
        • >= – левый операнд больше или равен правому операнду.
        • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
        • contains – левый операнд содержит значения правого операнда.
        • startsWith – левый операнд начинается с одного из значений правого операнда.
        • endsWith – левый операнд заканчивается одним из значений правого операнда.
        • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
        • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
        • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
        • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
        • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
        • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
        • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
        • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
     4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

        Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

        По умолчанию флажок снят.

     5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
     6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

     Параметры вложенного фильтра можно просмотреть, нажав на кнопку .

  Фильтрация по данным из поля события Extra

  Условия для фильтров по данным из поля события Extra:

  • Условие – Если.
  • Левый операнд – поле события.
  • В поле события вы можете указать одно из следующих значений:
    • Поле Extra.
    • Значение из поля Extra в следующем формате:

      Extra.<название поля>

      Например, Extra.app.

      Значение этого типа указывается вручную.

    • Значение из массива, записанного в поле Extra, в следующем формате:

      Extra.<название поля>.<элемент массива>

      Например, Extra.array.0.

      Нумерация значений в массиве начинается с 0.

      Значение этого типа указывается вручную.

  • Оператор – =.
  • Правый операнд – константа.
  • Значение – значение, по которому требуется фильтровать события.
• Обнуление – этот флажок должен быть установлен, если правило корреляции НЕ должно срабатывать при получении селектором определенного количества событий. По умолчанию этот флажок снят.

На закладке Локальные переменные с помощью кнопки Добавить переменную можно объявлять переменные, которые будут действовать в пределах этого правила корреляции.

Закладка Действия

В ресурсе типа standard может быть несколько триггеров.

• На первом срабатывании правила – этот триггер срабатывает, когда контейнер регистрирует первое в течение срока своей жизни срабатывание селектора.
• На последующих срабатываниях правила – этот триггер срабатывает, когда контейнер регистрирует в течение срока своей жизни второе и последующие срабатывания селектора.
• На каждом срабатывании правила – этот триггер срабатывает каждый раз, когда контейнер регистрирует срабатывание селектора.
• По истечении времени жизни контейнера – этот триггер срабатывает по истечении времени жизни контейнера и используется в связке с селектором с установленным флажком Обнуление. То есть триггер срабатывает, если в течение заданного времени ситуация, обнаруженная правилом корреляции, не разрешается.

Каждый триггер представлен в виде группы настроек со следующими доступными параметрами:

• Отправить событие на дальнейшую обработку – если этот флажок установлен, корреляционное событие будет отправлено на пост-обработку: на обогащение, для реагирования и в точки назначения.
• Отправить событие снова в коррелятор – если этот флажок установлен, созданное корреляционное событие будет обрабатываться текущим ресурсом правила корреляции. Это позволяет достичь иерархической корреляции.

  Если установлены оба флажка, правило корреляции будет отправлено сначала на пост-обработку, а затем в селекторы текущего правила корреляции.

• Не создавать алерт – если этот флажок установлен, алерт не будет создаваться при срабатывании этого правила корреляции.
• Группа параметров Обновление активных листов – используется для назначения триггера на одну или несколько операций с активными листами. С помощью кнопок Добавить действие с активным листом и Удалить действие с активным листом можно добавлять и удалять операции с активными листами.

  Доступные параметры:

  • Название (обязательно) – этот раскрывающийся список используется для выбора ресурсов активного листа.
  • Операция (обязательно) – этот раскрывающийся список используется для выбора операции, которую необходимо выполнить:
    • Получить – получить запись активного листа и записать значения указанных полей в корреляционное событие.
    • Установить – записать значения указанных полей корреляционного события в активный лист, создав новую или обновив существующую запись активного листа. При обновлении записи активного листа данные объединяются, и только указанные поля перезаписываются.
    • Удалить – удалить запись из активного листа.
  • Ключевые поля (обязательно) – это список полей события, используемых для создания записи активного листа. Этот список также используется в качестве ключа записи активного листа.

    Ключ записи активного листа зависит только от состава полей и не зависит от порядка их отображения в веб-интерфейсе KUMA.

  • Сопоставление (требуется для операций Получить и Установить) – используется для сопоставления полей активного листа с полями событий. Можно установить более одного правила сопоставления.
    • Левое поле используется для указания поля активного листа.

      Поле не должно содержать специальные символы или только цифры.

    • Средний раскрывающийся список используется для выбора полей событий.
    • Правое поле можно использовать для назначения константы полю активного листа, если была выбрана операция Установить.
• Группа параметров Обогащение – вы можете менять значения полей корреляционных событий, используя правила обогащения, аналогичные ресурсам правил обогащения. Эти правила обогащения хранятся в ресурсе правила корреляции, в котором они были созданы. Можно создать более одного правила обогащения. Правила обогащения можно добавлять или удалять с помощью кнопок Добавить обогащение и Удалить обогащение.
  • Тип источника – в этом раскрывающемся списке можно выбрать тип обогащения. В зависимости от выбранного типа отобразятся дополнительные параметры, которые также потребуется заполнить.

    Доступные типы обогащения:

    • константа

      Этот тип обогащения используется, если в поле события необходимо добавить константу. Параметры этого типа обогащения:

      • В поле Константа укажите значение, которое следует добавить в поле события. Значение должно состоять не более чем из 255 символов Юникода. Если оставить это поле пустым, существующее значение поля события будет удалено.
      • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.

    • словарь

      Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря.

      При выборе этого типа в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.

    • событие

      Этот тип обогащения используется, если в поле события необходимо записать значение другого поля события. Параметры этого типа обогащения:

      • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
      • В раскрывающемся списке Исходное поле выберите поле события, значение которого будет записано в целевое поле.
      • Если нажать на кнопку , откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA.

        Доступные преобразования

        Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

        Доступные преобразования:

        • lower – используется для перевода всех символов значения в нижний регистр
        • upper – используется для перевода всех символов значения в верхний регистр
        • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
        • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
        • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
          • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
          • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
        • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
        • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
        • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
        • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
          • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
          • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
    • шаблон

      Этот тип обогащения используется, если в поле события необходимо записать значение, полученное при обработке шаблонов Go. Параметры этого типа обогащения:

      • В поле Шаблон поместите шаблон Go.

        Имена полей событий передаются в формате {{.EventField}}, где EventField – это название поля события, значение которого должно быть передано в скрипт.

        Пример: Атака на {{.DestinationAddress}} со стороны {{.SourceAddress}}.

      • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
  • Отладка – с помощью этого раскрывающегося списка можно включить логирование операций сервиса.
  • Описание – описание ресурса. До 256 символов Юникода.
  • Блок параметров Фильтр – позволяет выбрать, какие события будут отправляться на обогащение. Настройка происходит, как описано выше.
• Группа параметров Изменение категорий – используется для изменения категорий активов, указанных в событии. Правил категоризации может быть несколько: их можно добавить или удалить с помощью кнопок Добавить категоризацию или Удалить категоризацию. Активам можно добавлять или удалять только реактивные категории.
  • Действие – этот раскрывающийся список используется для выбора операции над категорией:
    • Добавить – присвоить категорию активу.
    • Удалить – отвязать актив от категории.
  • Поле события – поле события, в котором указан актив, над которым будет совершена операция.
  • Идентификатор категории – с помощью кнопки можно выбрать категорию, над которой будет совершена операция. При нажатии на нее открывается окно Выбор категорий, где отображается дерево категорий.

[Topic 221199]

Правила корреляции типа simple

Правила корреляции типа simple используются для определения простых последовательностей событий.

Окно ресурса правила корреляции содержит следующие закладки параметров:

• Общие – используется для указания основных параметров ресурса правила корреляции. На этой закладке можно выбрать тип правила корреляции.
• Селекторы – используется для определения условий, которым должны удовлетворять обрабатываемые события для срабатывания правила корреляции. Доступные параметры зависят от выбранного типа ресурса.
• Действия – используется для установки триггеров, срабатывающих при выполнении условий, заданных в группе настроек Селекторы. У ресурса правила корреляции должен быть хотя бы один триггер. Доступные параметры зависят от выбранного типа ресурса.

Закладка Общие

• Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
• Тенант (обязательно) – тенант, которому принадлежит правило корреляции.
• Тип (обязательно) – раскрывающийся список для выбора типа правила корреляции. Выберите simple, если хотите создать правило корреляции типа simple.
• Наследуемые поля (обязательно) – поля событий, по которым отбираются события. При срабатывания селектора (см. ниже) эти поля будут записаны в корреляционное событие.
• Частота срабатываний – максимальное количество срабатываний правила корреляции в секунду. Значение по умолчанию: 100.

  Если правила корреляции, в которых реализована сложная логика обнаружения закономерностей, не срабатывают, причиной могут быть особенности подсчета срабатываний правила в KUMA. Попробуйте увеличить значение Частота срабатываний, например, до 1000000.

• Уровень важности – базовый коэффициент, используемый для определения уровня важности правила корреляции. Значение по умолчанию: Низкий.
• Описание – описание ресурса. До 256 символов Юникода.

Закладка Селекторы

В ресурсе типа simple может быть только один селектор, для которого доступны закладки Параметры и Локальные переменные.

Закладка Параметры содержит параметры с блоком параметров Фильтр:

• Фильтр (обязательно) – используется для установки критериев определения событий, из-за которых будет срабатывать селектор. В раскрывающемся списке можно выбрать существующий ресурс фильтра или выбрать Создать, чтобы создать новый фильтр.

  Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

     В этом случае вы сможете использовать созданный фильтр в разных сервисах.

     По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
     1. Нажмите на кнопку Добавить условие.
     2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

        В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

     3. В раскрывающемся списке оператор выберите нужный вам оператор.

        Операторы фильтров

        • = – левый операнд равен правому операнду.
        • < – левый операнд меньше правого операнда.
        • <= – левый операнд меньше или равен правому операнду.
        • > – левый операнд больше правого операнда.
        • >= – левый операнд больше или равен правому операнду.
        • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
        • contains – левый операнд содержит значения правого операнда.
        • startsWith – левый операнд начинается с одного из значений правого операнда.
        • endsWith – левый операнд заканчивается одним из значений правого операнда.
        • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
        • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
        • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
        • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
        • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
        • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
        • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
        • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
     4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

        Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

        По умолчанию флажок снят.

     5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
     6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

     Параметры вложенного фильтра можно просмотреть, нажав на кнопку .

  Фильтрация по данным из поля события Extra

  Условия для фильтров по данным из поля события Extra:

  • Условие – Если.
  • Левый операнд – поле события.
  • В поле события вы можете указать одно из следующих значений:
    • Поле Extra.
    • Значение из поля Extra в следующем формате:

      Extra.<название поля>

      Например, Extra.app.

      Значение этого типа указывается вручную.

    • Значение из массива, записанного в поле Extra, в следующем формате:

      Extra.<название поля>.<элемент массива>

      Например, Extra.array.0.

      Нумерация значений в массиве начинается с 0.

      Значение этого типа указывается вручную.

  • Оператор – =.
  • Правый операнд – константа.
  • Значение – значение, по которому требуется фильтровать события.

На закладке Локальные переменные с помощью кнопки Добавить переменную можно объявлять переменные, которые будут действовать в пределах этого правила корреляции.

Закладка Действия

В ресурсе типа simple может быть только один триггер: На каждом событии. Он активируется каждый раз, когда срабатывает селектор.

Доступные параметры триггера:

• Отправить событие на дальнейшую обработку – если этот флажок установлен, корреляционное событие будет отправлено на пост-обработку: на обогащение, для реагирования и в точки назначения.
• Отправить событие снова в коррелятор – если этот флажок установлен, созданное корреляционное событие будет обрабатываться текущим ресурсом правила корреляции. Это позволяет достичь иерархической корреляции.

  Если установлены оба флажка, правило корреляции будет отправлено сначала на пост-обработку, а затем в селекторы текущего правила корреляции.

• Не создавать алерт – если этот флажок установлен, алерт не будет создаваться при срабатывании этого правила корреляции.
• Группа параметров Обновление активных листов – используется для назначения триггера на одну или несколько операций с активными листами. С помощью кнопок Добавить действие с активным листом и Удалить действие с активным листом можно добавлять и удалять операции с активными листами.

  Доступные параметры:

  • Название (обязательно) – этот раскрывающийся список используется для выбора ресурсов активного листа.
  • Операция (обязательно) – этот раскрывающийся список используется для выбора операции, которую необходимо выполнить:
    • Получить – получить запись активного листа и записать значения указанных полей в корреляционное событие.
    • Установить – записать значения указанных полей корреляционного события в активный лист, создав новую или обновив существующую запись активного листа. При обновлении записи активного листа данные объединяются, и только указанные поля перезаписываются.
    • Удалить – удалить запись из активного листа.
  • Ключевые поля (обязательно) – это список полей события, используемые для создания записи активного листа. Этот список также используется в качестве ключа записи активного листа.

    Ключ записи активного листа зависит только от состава полей и не зависит от порядка их отображения в веб-интерфейсе KUMA.

  • Сопоставление (требуется для операций Получить и Установить) – используется для сопоставления полей активного листа с полями событий. Можно установить более одного правила сопоставления.
    • Левое поле используется для указания поля активного листа.

      Поле не должно содержать специальные символы или только цифры.

    • Средний раскрывающийся список используется для выбора полей событий.
    • Правое поле можно использовать для назначения константы полю активного листа, если была выбрана операция Установить.
• Группа параметров Обогащение – вы можете менять значения полей корреляционных событий, используя правила обогащения, аналогичные ресурсам правил обогащения. Эти правила обогащения хранятся в ресурсе правила корреляции, в котором они были созданы. Можно создать более одного правила обогащения. Правила обогащения можно добавлять или удалять с помощью кнопок Добавить обогащение и Удалить обогащение.
  • Тип источника – в этом раскрывающемся списке можно выбрать тип обогащения. В зависимости от выбранного типа отобразятся дополнительные параметры, которые также потребуется заполнить.

    Доступные типы обогащения:

    • константа

      Этот тип обогащения используется, если в поле события необходимо добавить константу. Параметры этого типа обогащения:

      • В поле Константа укажите значение, которое следует добавить в поле события. Значение должно состоять не более чем из 255 символов Юникода. Если оставить это поле пустым, существующее значение поля события будет удалено.
      • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.

    • словарь

      Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря.

      При выборе этого типа в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.

    • событие

      Этот тип обогащения используется, если в поле события необходимо записать значение другого поля события. Параметры этого типа обогащения:

      • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
      • В раскрывающемся списке Исходное поле выберите поле события, значение которого будет записано в целевое поле.
      • Если нажать на кнопку , откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA.

        Доступные преобразования

        Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

        Доступные преобразования:

        • lower – используется для перевода всех символов значения в нижний регистр
        • upper – используется для перевода всех символов значения в верхний регистр
        • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
        • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
        • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
          • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
          • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
        • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
        • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
        • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
        • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
          • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
          • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
    • шаблон

      Этот тип обогащения используется, если в поле события необходимо записать значение, полученное при обработке шаблонов Go. Параметры этого типа обогащения:

      • В поле Шаблон поместите шаблон Go.

        Имена полей событий передаются в формате {{.EventField}}, где EventField – это название поля события, значение которого должно быть передано в скрипт.

        Пример: Атака на {{.DestinationAddress}} со стороны {{.SourceAddress}}.

      • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
  • Отладка – с помощью этого раскрывающегося списка можно включить логирование операций сервиса.
  • Описание – описание ресурса. До 256 символов Юникода.
  • Блок параметров Фильтр – позволяет выбрать, какие события будут отправляться на обогащение. Настройка происходит, как описано выше.
• Группа параметров Изменение категорий – используется для изменения категорий активов, указанных в событии. Правил категоризации может быть несколько: их можно добавить или удалить с помощью кнопок Добавить категоризацию или Удалить категоризацию. Активам можно добавлять или удалять только реактивные категории.
  • Действие – этот раскрывающийся список используется для выбора операции над категорией:
    • Добавить – присвоить категорию активу.
    • Удалить – отвязать актив от категории.
  • Поле события – поле события, в котором указан актив, над которым будет совершена операция.
  • Идентификатор категории – с помощью кнопки можно выбрать категорию, над которой будет совершена операция. При нажатии на нее открывается окно Выбор категорий, где отображается дерево категорий.

[Topic 221203]

Правила корреляции типа operational

Правила корреляции типа operational используются для работы с активными листами.

Окно ресурса правила корреляции содержит следующие закладки:

• Общие – используется для указания основных параметров ресурса правила корреляции. На этой закладке можно выбрать тип правила корреляции.
• Селекторы – используется для определения условий, которым должны удовлетворять обрабатываемые события для срабатывания правила корреляции. Доступные параметры зависят от выбранного типа ресурса.
• Действия – используется для установки триггеров, срабатывающих при выполнении условий, заданных в группе настроек Селекторы. У ресурса правила корреляции должен быть хотя бы один триггер. Доступные параметры зависят от выбранного типа ресурса.

Закладка Общие

• Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
• Тенант (обязательно) – тенант, которому принадлежит правило корреляции.
• Тип (обязательно) – раскрывающийся список для выбора типа правила корреляции. Выберите operational, если хотите создать правило корреляции типа operational.
• Частота срабатываний – максимальное количество срабатываний правила корреляции в секунду. Значение по умолчанию: 100.

  Если правила корреляции, в которых реализована сложная логика обнаружения закономерностей, не срабатывают, причиной могут быть особенности подсчета срабатываний правила в KUMA. Попробуйте увеличить значение Частота срабатываний, например, до 1000000.

• Описание – описание ресурса. До 256 символов Юникода.

Закладка Селекторы

В ресурсе типа operational может быть только один селектор, для которого доступны закладки Параметры и Локальные переменные.

Закладка Параметры содержит параметры с блоком параметров Фильтр:

• Фильтр (обязательно) – используется для установки критериев определения событий, из-за которых будет срабатывать селектор. В раскрывающемся списке можно выбрать существующий ресурс фильтра или выбрать Создать, чтобы создать новый фильтр.

  Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

     В этом случае вы сможете использовать созданный фильтр в разных сервисах.

     По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
     1. Нажмите на кнопку Добавить условие.
     2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

        В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

     3. В раскрывающемся списке оператор выберите нужный вам оператор.

        Операторы фильтров

        • = – левый операнд равен правому операнду.
        • < – левый операнд меньше правого операнда.
        • <= – левый операнд меньше или равен правому операнду.
        • > – левый операнд больше правого операнда.
        • >= – левый операнд больше или равен правому операнду.
        • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
        • contains – левый операнд содержит значения правого операнда.
        • startsWith – левый операнд начинается с одного из значений правого операнда.
        • endsWith – левый операнд заканчивается одним из значений правого операнда.
        • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
        • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
        • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
        • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
        • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
        • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
        • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
        • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
     4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

        Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

        По умолчанию флажок снят.

     5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
     6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

     Параметры вложенного фильтра можно просмотреть, нажав на кнопку .

  Фильтрация по данным из поля события Extra

  Условия для фильтров по данным из поля события Extra:

  • Условие – Если.
  • Левый операнд – поле события.
  • В поле события вы можете указать одно из следующих значений:
    • Поле Extra.
    • Значение из поля Extra в следующем формате:

      Extra.<название поля>

      Например, Extra.app.

      Значение этого типа указывается вручную.

    • Значение из массива, записанного в поле Extra, в следующем формате:

      Extra.<название поля>.<элемент массива>

      Например, Extra.array.0.

      Нумерация значений в массиве начинается с 0.

      Значение этого типа указывается вручную.

  • Оператор – =.
  • Правый операнд – константа.
  • Значение – значение, по которому требуется фильтровать события.

На закладке Локальные переменные с помощью кнопки Добавить переменную можно объявлять переменные, которые будут действовать в пределах этого правила корреляции.

Закладка Действия

В ресурсе типа operational может быть только один триггер: На каждом событии. Он активируется каждый раз, когда срабатывает селектор.

Доступные параметры триггера:

• Группа параметров Обновление активных листов – используется для назначения триггера на одну или несколько операций с активными листами. С помощью кнопок Добавить действие с активным листом и Удалить действие с активным листом можно добавлять и удалять операции с активными листами.

  Доступные параметры:

  • Название (обязательно) – этот раскрывающийся список используется для выбора ресурсов активного листа.
  • Операция (обязательно) – этот раскрывающийся список используется для выбора операции, которую необходимо выполнить:
    • Получить – получить запись активного листа и записать значения указанных полей в корреляционное событие.
    • Установить – записать значения указанных полей корреляционного события в активный лист, создав новую или обновив существующую запись активного листа. При обновлении записи активного листа данные объединяются, и только указанные поля перезаписываются.
    • Удалить – удалить запись из активного листа.
  • Ключевые поля (обязательно) – это список полей события, используемые для создания записи активного листа. Этот список также используется в качестве ключа записи активного листа.

    Ключ записи активного листа зависит только от состава полей и не зависит от порядка их отображения в веб-интерфейсе KUMA.

  • Сопоставление (требуется для операций Получить и Установить) – используется для сопоставления полей активного листа с полями событий. Можно установить более одного правила сопоставления.
    • Левое поле используется для указания поля активного листа.

      Поле не должно содержать специальные символы или только цифры.

    • Средний раскрывающийся список используется для выбора полей событий.
    • Правое поле можно использовать для назначения константы полю активного листа, если была выбрана операция Установить.

[Topic 234114]

Переменные в корреляторах

Если для покрытия каких-то сценариев обеспечения безопасности недостаточно отслеживания значений в полях событий, активных листах или словарях, вы можете воспользоваться глобальными и локальными переменными. С их помощью можно выполнять различные действия над поступающими в корреляторы значениями, реализуя сложную логику выявления угроз. Переменные можно объявить в корреляторе (глобальные переменные) или в правиле корреляции (локальные переменные), присвоив им какую-либо функцию, а затем обращаться к ним из правил корреляции, как к обычным полям событий, получая в ответ результат срабатывания функции.

Область применения переменных:

• При поиске группирующих или уникальных значений полей в правилах корреляции.
• В селекторах правил корреляции в фильтрах условий, при которых должно срабатывать правило корреляции.
• При обогащении корреляционных событий. В качестве типа источника следует выбирать Событие.
• При наполнении активных листов значениями.

К переменным можно обращаться так же, как к полям события, предваряя их название символом $.

[Topic 234737]

Свойства переменных

Локальные и глобальные переменные

Свойства глобальных и локальных переменных различаются.

Глобальные переменные:

• Глобальные переменные объявляются на уровне коррелятора и действуют только в пределах этого коррелятора.
• К глобальным переменным коррелятора можно обращаться из всех правил корреляции, которые в нем указаны.
• В правилах корреляции типа standard одна и та же глобальная переменная в каждом селекторе может принимать разные значения.
• Невозможно переносить глобальные переменные между разными корреляторами.

Локальные переменные:

• Локальные переменные объявляются на уровне правила корреляции и действуют только в пределах этого правила.
• В правилах корреляции типа standard областью действия локальной переменной является только тот селектор, в котором переменная была объявлена.
• Локальные переменные можно объявлять в любых типах правил корреляции.
• Невозможно переносить локальные переменные между правилами или селекторами.
• Локальная переменная не может быть использована в качестве глобальной переменной.

Переменные в разных типах правил корреляции

• В правилах корреляции типа operational в закладке Действия можно указывать все доступные или объявленные в этом правиле переменные.
• В правилах корреляции типа standard в закладке Действия можно указывать только переменные, указанные в этих правилах на закладке Общие в поле Группирующие поля.
• В правилах корреляции типа simple в закладке Действия можно указывать только переменные, указанные в этих правилах на закладке Общие в поле Наследуемые поля.

[Topic 234739]

Требования к переменным

Добавляя функцию переменной необходимо сначала указать название функции, а затем в круглых скобках перечислить ее параметры. Исключением являются простейшие математические операции (сложение, вычитание, умножение, деление), при их использовании скобками обозначается приоритет выполнения операций.

Требования к названиям функций:

• Должно быть уникально в рамках коррелятора.
• Должно содержать от 1 до 128 символов Юникода.
• Не может начинаться с символа $.
• Должно быть написано в camelCase или CamelCase.

Особенности указания функций переменных:

• Последовательность указания параметров имеет значение.
• Параметры передаются через запятую: ,.
• Строковые параметры передаются в одинарных кавычках: '.
• Наименования полей событий и переменные указываются без кавычек.
• При обращении к переменной как параметру перед ее названием необходимо добавлять символ $.
• Ставить пробел между параметрами необязательно.
• Во всех функциях, где в качестве параметров допускается использование переменной, допускается создавать вложенные функции.

[Topic 234740]

Функции переменных

Операции с активными листами и словарями

Функция "active_list"

Получение информации из активного листа о значении в указанном столбце.

Необходимо указать параметры в следующей последовательности:

1. название активного листа;
2. название столбца активного листа;
3. ключ записи активного листа.

   В качестве ключа записи активного листа используется название одного или нескольких полей события.

   Пример использования	Результат выполнения
   active_list('exampleActiveList', 'score', SourceAddress,SourceUserName)	Получение данных из активного листа exampleActiveList из записи SourceAddress,SourceUserName из столбца score.

Функция "table_dict"

Получение информации о значении в указанном столбце словаря типа таблица.

Необходимо указать параметры в следующей последовательности:

1. название словаря;
2. название столбца словаря;
3. ключ строки словаря.

   Пример использования	Результат выполнения
   table_dict('exampleTableDict', 'office', SourceUserName)	Получение данных из словаря exampleTableDict из строки с ключом SourceUserName из столбца office.

Функция "dict"

Получение информации о значении в указанном столбце словаря типа словарь.

Необходимо указать параметры в следующей последовательности:

1. название словаря;
2. ключ строки словаря.

   Пример использования	Результат выполнения
   dict('exampleDictionary', SourceAddress)	Получение данных из словаря exampleDictionary из строки с ключом SourceAddress.

Операции со строками

Функция "len"

Возвращает число символов в строке.

Строку можно передать строкой, названием поля или переменной.