Ресурсы KUMA
Ресурсы – это компоненты KUMA, которые содержат параметры для реализации различных функций: например, установления связи с заданным веб-адресом или преобразования данных по определенным правилам. Из этих компонентов, как из частей конструктора, собираются наборы ресурсов для сервисов, на основе которых в свою очередь создаются сервисы KUMA.
Ресурсы содержатся в разделе веб-интерфейса KUMA Ресурсы в блоке Ресурсы. Доступные типы ресурсов:
- Правила корреляции – в ресурсах этого типа содержатся правила определения в событиях закономерностей, указывающих на угрозы. Если условия, заданные в этих ресурсах, выполняются, создается корреляционное событие.
- Нормализаторы – в ресурсах этого типа содержатся правила для приведения поступающих событий к формату, принятому в KUMA. После обработки в нормализаторе "сырое" событие становится нормализованным и может обрабатываться другими ресурсами и сервисами KUMA.
- Коннекторы – в ресурсах этого типа содержатся параметры для установления сетевых подключений.
- Правила агрегации – в ресурсах этого типа содержатся правила для объединения нескольких однотипных базовых событий в одно агрегационное событие.
- Правила обогащения – в ресурсах этого типа содержатся правила для дополнения событий информацией из сторонних источников.
- Точки назначения – в ресурсах этого типа содержатся параметры для пересылки событий в пункт дальнейшей обработки или хранения.
- Фильтры – в ресурсах этого типа содержатся условия для отсева или выделения отдельных событий из потока событий.
- Правила реагирования – ресурсы этого типа используются в корреляторах для запуска, например, скриптов или задач Kaspersky Security Center при выполнении определенных условий.
- Шаблоны уведомлений – ресурсы этого типа используются при рассылке уведомлений о новых алертах.
- Активные листы – ресурсы этого типа используются корреляторами для динамической работы с данными при анализе событий по правилам корреляции.
- Словари – ресурсы этого типа используются для хранения ключей и их значений, которые могут потребоваться другим ресурсам и сервисам KUMA.
- Прокси-серверы – в ресурсах этого типа содержатся параметры использования прокси-серверов.
- Секреты – ресурсы этого типа используются для безопасного хранения конфиденциальной информации (например, учетных данных), которые должны использоваться KUMA для взаимодействия с внешними службами.
При нажатии на тип ресурса открывается окно, в котором отображается таблица с имеющимися ресурсами этого типа. Таблица содержит следующие столбцы:
- Название – имя ресурса. Может использоваться для поиска и сортировки ресурсов.
- Последнее обновление – дата и время последнего обновления ресурса. Может использоваться для сортировки ресурсов.
- Создал – имя пользователя, создавшего ресурс.
- Описание – описание ресурса.
Максимальный размер таблицы не ограничен. Если вы хотите выбрать все ресурсы, прокрутите таблицу до конца и установите флажок Выбрать все, таким образом все доступные в таблице ресурсы будут выбраны.
Ресурсы можно расположить по папкам. В левой части окна отображается структура папок: корневые папки соответствуют тенантам и содержат перечень всех ресурсов тенанта. Во всех остальных папках, вложенных в корневую, отображаются ресурсы отдельной папки. Когда папка выбрана, содержащиеся в ней ресурсы отображаются в таблице в правой части окна.
Ресурсы можно создавать, редактировать, копировать, перемещать между папками и удалять. Ресурсы можно также экспортировать и импортировать.
KUMA поставляется с набором предустановленных ресурсов, их можно узнать по названию [OOTB]<название_ресурса>. OOTB-ресурсы защищены от внесения изменений.
Если вы хотите адаптировать предустановленный OOTB-ресурс к инфраструктуре своей организации:
- В разделе Ресурсы-<тип ресурсов> и выберите OOTB-ресурс, который вы хотите изменить.
- В верхней части веб-интерфейса KUMA нажмите Дублировать, а затем нажмите Сохранить.
- В веб-интерфейсе появится новый ресурс с названием [OOTB]<название_ресурса> - копия.
- Внесите необходимые изменения в созданную копию предустановленного ресурса и сохраните изменения.
Адаптированный ресурс доступен для использования.
В начало