Создание хранилища

Хранилище состоит из двух частей: одна часть создается внутри веб-интерфейса KUMA, а вторая устанавливается на серверах сетевой инфраструктуры, предназначенных для хранения событий. Серверная часть хранилища KUMA представляет собой собранные в кластер узлы ClickHouse.

Для каждого кластера ClickHouse требуется установить отдельное хранилище.

Перед созданием хранилища продумайте структуру кластера и разверните требуемую сетевую инфраструктуру. При выборе конфигурации кластера ClickHouse учитывайте требования вашей организации к хранению событий.

В качестве файловой системы рекомендуется использовать ext4.

Создание хранилища производится в несколько этапов:

1. Создание набора ресурсов хранилища в веб-интерфейсе KUMA
2. Создание сервиса хранилища в веб-интерфейсе KUMA
3. Установка узлов хранилища в сетевой инфраструктуре KUMA

При создании узлов кластера хранилища убедитесь в сетевой связности системы и откройте используемые компонентами порты.

Создание набора ресурсов для хранилища

Сервис хранилища в веб-интерфейсе KUMA создается на основе набора ресурсов для хранилища.

Чтобы создать набор ресурсов для хранилища в веб-интерфейсе KUMA:

1. В веб-интерфейсе KUMA в разделе Ресурсы → Хранилища нажмите Добавить хранилище.

   Откроется окно создания хранилища.

2. В поле Название хранилища введите уникальное имя создаваемого сервиса. Название должно содержать от 1 до 128 символов Юникода.
3. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать хранилище.
4. В поле Описание можно добавить описание сервиса: до 256 символов Юникода.
5. В поле Срок хранения по умолчанию, дней укажите, в течение какого времени вы хотите хранить события в кластере.
6. В поле Срок хранения событий аудита, дней укажите, в течение какого времени вы хотите хранить события аудита. Минимальное значение и значение по умолчанию: 365.
7. При необходимости добавьте в хранилище пространства с помощью кнопки Добавить пространство. Пространств может быть несколько. Пространства можно удалить с помощью кнопки Удалить пространство. После создания сервиса пространства можно будет просматривать и удалять в параметрах набора ресурсов хранилища.

   Доступные параметры:

   • В поле Название укажите название пространства: от 1 до 128 символов Юникода.
   • В поле Срок хранения, дней укажите количество дней, в течение которых события будут храниться в кластере.
   • В разделе Фильтр можно задать условия определения событий, которые будут помещаться в это пространство. В раскрывающемся списке можно выбрать существующий ресурс фильтра или выбрать Создать, чтобы создать новый фильтр.

     Создание фильтра в ресурсах

     1. В раскрывающемся списке Фильтр выберите Создать.
     2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

        В этом случае вы сможете использовать созданный фильтр в разных сервисах.

        По умолчанию флажок снят.

     3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
     4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
        1. Нажмите на кнопку Добавить условие.
        2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

           В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

        3. В раскрывающемся списке оператор выберите нужный вам оператор.

           Операторы фильтров

           • = – левый операнд равен правому операнду.
           • < – левый операнд меньше правого операнда.
           • <= – левый операнд меньше или равен правому операнду.
           • > – левый операнд больше правого операнда.
           • >= – левый операнд больше или равен правому операнду.
           • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
           • contains – левый операнд содержит значения правого операнда.
           • startsWith – левый операнд начинается с одного из значений правого операнда.
           • endsWith – левый операнд заканчивается одним из значений правого операнда.
           • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
           • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
           • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
           • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
           • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
           • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
           • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
           • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
        4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

           Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

           По умолчанию флажок снят.

        5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
        6. Вы можете добавить несколько условий или группу условий.
     5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
     6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

        Параметры вложенного фильтра можно просмотреть, нажав на кнопку .

Набор ресурсов для хранилища создан и отображается в разделе Ресурсы → Хранилища. Теперь можно создать сервис хранилища.

Создание сервиса хранилища в веб-интерфейсе KUMA

Когда набор ресурсов для хранилища создан, можно перейти к созданию сервиса хранилища в KUMA.

Чтобы создать сервис хранилища в веб-интерфейсе KUMA:

1. В веб-интерфейсе KUMA в разделе Ресурсы → Активные сервисы нажмите Добавить сервис.
2. В открывшемся окне Выберите сервис выберите только что созданный набор ресурсов для хранилища и нажмите Создать сервис.

Сервис хранилища создан в веб-интерфейсе KUMA и отображается в разделе Ресурсы → Активные сервисы. Теперь сервисы хранилища необходимо установить на каждом узле кластера ClickHouse, используя идентификатор сервиса.

Установка хранилища в сетевой инфраструктуре KUMA

Чтобы создать хранилище:

1. Войдите на сервер, на котором вы хотите установить сервис.
2. Создайте директорию /opt/kaspersky/kuma/.
3. Поместите в директорию /opt/kaspersky/kuma/ файл kuma, расположенный внутри установщика в директории /kuma-ansible-installer/roles/kuma/files/.

   Убедитесь, что файл kuma имеет достаточные права для запуска.

4. Выполните следующую команду:

   sudo /opt/kaspersky/kuma/kuma storage --core https://<FQDN сервера Ядра KUMA>:<порт, используемый Ядром KUMA для внутренних коммуникаций (по умолчанию используется порт 7210)> --id <идентификатор сервиса, скопированный из веб-интерфейса KUMA> --install

   Пример: sudo /opt/kaspersky/kuma/kuma storage --core https://kuma.example.com:7210 --id XXXXX --install

   При развертывании нескольких сервисов KUMA на одном хосте в процессе установки необходимо указать уникальные порты для каждого компонента с помощью параметра --api.port <порт>. По умолчанию используется значение --api.port 7221.

5. Повторите шаги 1–2 для каждого узла хранилища.

Хранилище установлено.