Kaspersky Unified Monitoring and Analysis Platform
Русский

Содержание

Ресурсы KUMA

Ресурсы – это компоненты KUMA, которые содержат параметры для реализации различных функций: например, установления связи с заданным веб-адресом или преобразования данных по определенным правилам. Из этих компонентов, как из частей конструктора, собираются наборы ресурсов для сервисов, на основе которых в свою очередь создаются сервисы KUMA.

Ресурсы содержатся в разделе веб-интерфейса KUMA Ресурсы в блоке Ресурсы. Доступные типы ресурсов:

  • Правила корреляции – в ресурсах этого типа содержатся правила определения в событиях закономерностей, указывающих на угрозы. Если условия, заданные в этих ресурсах, выполняются, создается корреляционное событие.
  • Нормализаторы – в ресурсах этого типа содержатся правила для приведения поступающих событий к формату, принятому в KUMA. После обработки в нормализаторе "сырое" событие становится нормализованным и может обрабатываться другими ресурсами и сервисами KUMA.
  • Коннекторы – в ресурсах этого типа содержатся параметры для установления сетевых подключений.
  • Правила агрегации – в ресурсах этого типа содержатся правила для объединения нескольких однотипных базовых событий в одно агрегационное событие.
  • Правила обогащения – в ресурсах этого типа содержатся правила для дополнения событий информацией из сторонних источников.
  • Точки назначения – в ресурсах этого типа содержатся параметры для пересылки событий в пункт дальнейшей обработки или хранения.
  • Фильтры – в ресурсах этого типа содержатся условия для отсева или выделения отдельных событий из потока событий.
  • Правила реагирования – ресурсы этого типа используются в корреляторах для запуска, например, скриптов или задач Kaspersky Security Center при выполнении определенных условий.
  • Шаблоны уведомлений – ресурсы этого типа используются при рассылке уведомлений о новых алертах.
  • Активные листы – ресурсы этого типа используются корреляторами для динамической работы с данными при анализе событий по правилам корреляции.
  • Словари – ресурсы этого типа используются для хранения ключей и их значений, которые могут потребоваться другим ресурсам и сервисам KUMA.
  • Прокси-серверы – в ресурсах этого типа содержатся параметры использования прокси-серверов.
  • Секреты – ресурсы этого типа используются для безопасного хранения конфиденциальной информации (например, учетных данных), которые должны использоваться KUMA для взаимодействия с внешними службами.

При нажатии на тип ресурса открывается окно, в котором отображается таблица с имеющимися ресурсами этого типа. Таблица содержит следующие столбцы:

  • Название – имя ресурса. Может использоваться для поиска и сортировки ресурсов.
  • Последнее обновление – дата и время последнего обновления ресурса. Может использоваться для сортировки ресурсов.
  • Создал – имя пользователя, создавшего ресурс.
  • Описание – описание ресурса.

Максимальный размер таблицы не ограничен. Если вы хотите выбрать все ресурсы, прокрутите таблицу до конца и установите флажок Выбрать все, таким образом все доступные в таблице ресурсы будут выбраны.

Ресурсы можно расположить по папкам. В левой части окна отображается структура папок: корневые папки соответствуют тенантам и содержат перечень всех ресурсов тенанта. Во всех остальных папках, вложенных в корневую, отображаются ресурсы отдельной папки. Когда папка выбрана, содержащиеся в ней ресурсы отображаются в таблице в правой части окна.

Ресурсы можно создавать, редактировать, копировать, перемещать между папками и удалять. Ресурсы можно также экспортировать и импортировать.

KUMA поставляется с набором предустановленных ресурсов, их можно узнать по названию [OOTB]<название_ресурса>. OOTB-ресурсы защищены от внесения изменений.

Если вы хотите адаптировать предустановленный OOTB-ресурс к инфраструктуре своей организации:

  1. В разделе Ресурсы-<тип ресурсов> и выберите OOTB-ресурс, который вы хотите изменить.
  2. В верхней части веб-интерфейса KUMA нажмите Дублировать, а затем нажмите Сохранить.
  3. В веб-интерфейсе появится новый ресурс с названием [OOTB]<название_ресурса> - копия.
  4. Внесите необходимые изменения в созданную копию предустановленного ресурса и сохраните изменения.

Адаптированный ресурс доступен для использования.

В этом разделе справки

Операции с ресурсами

Точки назначения

Работа с событиями

Нормализаторы

Правила агрегации

Правила обогащения

Правила корреляции

Фильтры

Активные листы

Словари

Правила реагирования

Шаблоны уведомлений

Коннекторы

Секреты

Правила сегментации
В начало
[Topic 217687]

Операции с ресурсами

Вы можете управлять ресурсами KUMA: создавать, перемещать, копировать, редактировать и удалять ресурсы, а также импортировать и экспортировать их. Перечисленные операции доступны для всех ресурсов, вне зависимости от типа ресурса.

Ресурсы KUMA располагаются в папках. Вы можете добавлять, переименовывать, перемещать и удалять папки ресурсов.

В этом разделе

Создание, переименование, перемещение и удаление папок с ресурсами

Создание, дублирование, перемещение, редактирование и удаление ресурсов

Обновление ресурсов

Экспорт ресурсов

Импорт ресурсов
В начало
[Topic 217971]

Создание, переименование, перемещение и удаление папок с ресурсами

Ресурсы можно расположить по папкам. В левой части окна отображается структура папок: корневые папки соответствуют тенантам и содержат перечень всех ресурсов тенанта. Во всех остальных папках, вложенных в корневую, отображаются ресурсы отдельной папки. Когда папка выбрана, содержащиеся в ней ресурсы отображаются в таблице в правой части окна.

Папки можно создавать, переименовывать, перемещать и удалять.

Чтобы создать папку:

  1. Выберите в дереве папку, в которой требуется новая папка.
  2. Нажмите на кнопку Добавить папку.

Папка будет создана.

Чтобы переименовать папку:

  1. Найдите нужную папку в структуре папок.
  2. Наведите курсор на название папки.

    Рядом с названием папки появится значок More-DropDown.

  3. В раскрывающемся списке More-DropDown выберите Переименовать.

    Название папки станет доступным для редактирования.

  4. Введите новое название папки и нажмите ENTER.

    Название папки не может быть пустым.

Папка будет переименована.

Чтобы переместить папку,

Нажмите название папки и перетащите ее в требуемое место в структуре папок.

Папки невозможно переместить из одного тенанта в другой

Чтобы удалить папку:

  1. Найдите нужную папку в структуре папок.
  2. Наведите курсор на название папки.

    Рядом с названием папки появится значок More-DropDown.

  3. В раскрывающемся списке More-DropDown выберите Удалить.

    Появится окно подтверждения.

  4. Нажмите ОК.

Папка будет удалена.

Программа не удаляет папки, которые содержат файлы или вложенные папки.

В начало
[Topic 218051]

Создание, дублирование, перемещение, редактирование и удаление ресурсов

Вы можете создавать, перемещать, копировать, редактировать и удалять ресурсы.

Чтобы создать ресурс:

  1. В разделе Ресурсы<тип ресурса> выберите или создайте папку, в которую требуется добавить новый ресурс.

    Корневые папки соответствуют тенантам. Чтобы ресурс был доступен определенному тенанту, его следует создать в папке этого тенанта.

  2. Нажмите на кнопку Добавить <тип ресурса>.

    Откроется окно для настройки параметров выбранного типа ресурсов. Доступные параметры зависят от типа ресурса.

  3. Введите уникальное имя ресурса в поле Название.
  4. Укажите обязательные параметры (они отмечены красной звездочкой).
  5. При желании укажите дополнительные параметры (это необязательное действие).
  6. Нажмите Сохранить.

Ресурс будет создан и доступен для использования в сервисах и других ресурсах.

Чтобы переместить ресурс в новую папку:

  1. В разделе Ресурсы<тип ресурса> найдите требуемый ресурс в структуре папок.
  2. Установите флажки рядом с ресурсами, которые вы хотите переместить. Можно выбрать сразу несколько ресурсов.

    Рядом с выбранными ресурсами отобразится значок DragIcon.

  3. Перетащите ресурсы в нужную папку с помощью значка DragIcon.

Ресурсы будут перемещены в новые папки.

Вы можете перемещать ресурсы только в папки того тенанта, в рамках которого были созданы ресурсы. Перемещение ресурсов в папки другого тенанта недоступно.

Чтобы скопировать ресурс:

  1. В разделе Ресурсы<тип ресурса> найдите требуемый ресурс в структуре папок.
  2. Установите флажок рядом с ресурсом, которые вы хотите скопировать, и нажмите Дублировать.

    Отображается окно с параметрами ресурса, который вы выбрали для копирования. Доступные параметры зависят от типа ресурса.

    В поле Название отображается <название выбранного ресурса> - копия.

  3. Измените нужные параметры.
  4. Введите уникальное имя в поле Название.
  5. Нажмите Сохранить.

Копия ресурса будет создана.

Чтобы изменить ресурс:

  1. В разделе Ресурсы<тип ресурса> найдите требуемый ресурс в структуре папок.
  2. Выберите ресурс.

    Отображается окно с параметрами выбранного ресурса. Доступные параметры зависят от типа ресурса.

  3. Измените нужные параметры.
  4. Нажмите Сохранить.

Ресурс будет обновлен. Если этот ресурс используется в сервисе, перезапустите сервис, чтобы он задействовал новые параметры.

Чтобы удалить ресурс:

  1. В разделе Ресурсы<тип ресурса> найдите требуемый ресурс в структуре папок.
  2. Установите флажок рядом с ресурсом, которые вы хотите удалить, и нажмите Удалить.

    Откроется окно подтверждения.

  3. Нажмите ОК.

Ресурс будет удален.

В начало
[Topic 218050]

Обновление ресурсов

"Лаборатория Касперского" регулярно выпускает пакеты с ресурсами, доступные для импорта из репозитория. Вы можете указать адрес электронной почты в параметрах задачи Обновление репозитория и после первого выполнения задачи KUMA будет отправлять на указанный адрес уведомления о доступных для обновления пакетах. Вы можете выполнить обновление репозитория, проанализировать содержимое каждого обновления и принять решение об импорте и внедрении новых ресурсов в эксплуатируемую инфраструктуру. KUMA поддерживает обновление c серверов Лаборатории Касперского и из пользовательского источника, в том числе без прямого доступа к интернету с использованием механизма «зеркала обновления». При использовании в инфраструктуре других продуктов Лаборатории Касперского, можно подключить KUMA к уже существующим зеркалам обновления. Подсистема обновления расширяет возможности KUMA по реагированию на изменения ландшафта угроз и инфраструктуры, а возможность её использования без прямого доступа к интернету обеспечивает гарантии конфиденциальности данных, обрабатываемых системой.

Чтобы обновить ресурсы, вам необходимо выполнить следующие шаги:

  1. Обновить репозиторий, чтобы доставить в репозиторий пакеты с ресурсами. Обновление репозитория доступно в двух режимах:
    • Автоматическое обновление.
    • Обновление вручную.
  2. Импортировать пакеты с ресурсами из обновленного репозитория в тенант.

Чтобы сервис начал использовать обновленные ресурсы, после выполнения импорта убедитесь, что ресурсы привязаны. В случае необходимости привяжите ресурсы к коллекторам, корреляторам или агентам и обновите параметры.

Чтобы настроить автоматическое обновление:

  1. В разделе Параметры – Обновление репозитория настройте Интервал обновления в часах. Значение по умолчанию - 24 часа.
  2. Укажите Источник обновления. Доступны следующие варианты:
    • Серверы обновления "Лаборатории Касперского"
      .

      Вы можете посмотреть список серверов в Базе знаний, статья 15998.

    • Пользовательский источник:
      • URL к папке общего доступа на HTTP-сервере.
      • Полный путь к локальной папке на хосте с установленным ядром KUMA.

        В случае использования локальной папки у системного пользователя kuma должен быть доступ для чтения к этой папке и её содержимому.

  3. Укажите Адреса электронной почты для рассылки уведомлений, нажав на кнопку Добавить. На указанные адреса электронной почты будет поступать рассылка уведомлений о том, что в репозитории появились новые пакеты или новая версия тех пакетов, которые вы когда-либо импортировали в тенант.

    Если вы указываете электронную почту пользователя KUMA, в профиле пользователя должен быть установлен флажок Получать уведомления по почте. Для почты, которая не принадлежит ни одному пользователю KUMA, письмо будет приходит без дополнительных настроек. Параметры подключения к SMTP-серверу должны быть указаны во всех случаях.

  4. Нажмите Сохранить. Задача обновления запустится автоматически в самое ближайшее время и дальше запуск задачи будет выполнен в соответствии с расписанием.

Чтобы запустить обновление репозитория вручную:

  1. Если вы хотите отключить автоматическое обновление, в разделе Параметры – Обновление репозитория установите флажок Отключить автоматическое обновление. По умолчанию флажок снят. Также вы можете запустить обновление репозитория вручную, не отключая автоматическое обновление. Запуск обновления вручную не влияет на график выполнения автоматического обновления.
  2. Укажите Источник обновления. Доступны следующие варианты:
  3. Укажите Адреса электронной почты для рассылки уведомлений, нажав на кнопку Добавить. На указанные адреса электронной почты будет поступать рассылка уведомлений о том, что в репозитории появились новые пакеты или новая версия тех пакетов, которые вы когда-либо импортировали в тенант.

    Если вы указываете электронную почту пользователя KUMA, в профиле пользователя должен быть установлен флажок Получать уведомления по почте. Для почты, которая не принадлежит ни одному пользователю KUMA, письмо будет приходит без дополнительных настроек. Параметры подключения к SMTP-серверу должны быть указаны во всех случаях.

  4. Нажмите Запустить обновление. Таким образом, вы одновременно сохраните настройки и вручную запустите выполнение задачи Обновление репозитория.
В начало
[Topic 242817]

Настройка пользовательского источника с использованием Kaspersky Update Utility

Вы можете обновлять ресурсы без доступа к интернету через пользовательский источник обновления с помощью утилиты Kaspersky Update Utility.

Настройка состоит из следующих шагов:

  1. Настройка пользовательского источника с помощью Kaspersky Update Utility:
    1. Установка и настройка Kaspersky Update Utility на одном из компьютеров локальной сети организации.
    2. Настройка копирования обновлений в папку общего доступа в параметрах Kaspersky Update Utility.
  2. Настройка обновления репозитория KUMA из пользовательского источника.

Настройка пользовательского источника с помощью Kaspersky Update Utility:

Вы можете загрузить дистрибутив Kaspersky Update Utility с веб-сайта Службы технической поддержки "Лаборатории Касперского".

  1. В Kaspersky Update Utility включите скачивание обновлений для KUMA версии 2.1:
    • В разделе Программы - Контроль периметра установите флажок рядом с KUMA 2.1, чтобы включить возможность обновления.
    • Если вы работаете с Kaspersky Update Utility через командную строку, в конфигурационном файле updater.ini в секции [ComponentSettings] добавьте следующую строку или укажите значение true для уже существующей строки:

      KasperskyUnifiedMonitoringAndAnalysisPlatform_2_1=true

  2. В разделе Загрузки укажите источник обновлений. По умолчанию в качестве источника используются сервера обновления "Лаборатории Касперского".
  3. В разделе Загрузки в группе параметров Папки для обновлений укажите папку общего доступа, в которую Kaspersky Update Utility будет загружать обновления. Доступны следующие варианты:
    • Укажите локальную папку на хосте, где установлена Kaspersky Update Utility. Разверните HTTP-сервер, который будет отдавать обновления, и опубликуйте на нем эту локальную папку. В KUMA в разделе Параметры - Обновление репозитория - Пользовательский источник укажите URL к локальной папке, опубликованной на HTTP-сервере.
    • Укажите локальную папку на хосте, где установлена Kaspersky Update Utility. Сделайте эту локальную папку доступной по сети. Примонтируйте доступную по сети локальную папку на хосте с KUMA. В KUMA в разделе Параметры - Обновление репозитория - Пользовательский источник укажите полный путь к этой локальной папке.

Подробную информацию о работе с Kaspersky Update Utility см. в Базе знаний "Лаборатории Касперского".

В начало
[Topic 245074]

Экспорт ресурсов

Если для пользователя скрыты общие ресурсы, он не может экспортировать ни общие ресурсы, ни ресурсы, в которых используются общие ресурсы.

Чтобы экспортировать ресурсы:

  1. В разделе Ресурсы нажмите Экспортировать ресурсы.

    Откроется окно Экспортировать ресурсы с деревом всех доступных ресурсов.

  2. В поле Пароль введите пароль, который необходимо использовать для защиты экспортируемых данных.
  3. В раскрывающемся списке Тенант выберите тенанта, ресурсы которого вы хотите экспортировать.
  4. Установите флажки рядом с ресурсами, которые вы хотите экспортировать.

    Если выбранные ресурсы связаны с другими ресурсами, эти ресурсы также будут экспортированы.

  5. Нажмите на кнопку Экспортировать.

Ресурсы в защищенном паролем файле сохранятся на вашем компьютере в зависимости от настроек вашего браузера. Ресурсы секретов экспортируются пустыми.

В начало
[Topic 217870]

Импорт ресурсов

Чтобы импортировать ресурсы:

  1. В разделе Ресурсы нажмите Импорт ресурсов.

    Откроется окно Импорт ресурсов.

  2. В раскрывающемся списке Тенант выберите тенанта, которому будут принадлежать импортируемые ресурсы.
  3. В раскрывающемся списке Источник импорта выберите один из следующих вариантов:
    • Файл

      При выборе этого варианта необходимо указать пароль и нажать на кнопку Импортировать.

    • Репозиторий

      При выборе этого варианта отображается список доступных для импорта пакетов. Мы рекомендуем начать импорт с пакета "OOTB resources for KUMA 2.1" и дальше импортировать пакеты поочередно. Если при импорте пакетов получена ошибка "Ошибка базы данных", повторно импортируйте пакет, название которого указано в ошибке, выбрав для импорта только указанный пакет. Также вы можете настроить автоматическое обновление.

      Вы можете выбрать один или несколько пакетов для импорта и нажать на кнопку Импортировать.

      Импортированные ресурсы можно только удалить. Если вы хотите переименовать, отредактировать или переместить импортированный ресурс, вам следует сделать дубликат ресурса с помощью кнопки Дублировать и с дубликатом выполнить желаемые действия. При импорте следующих версий пакета дубликат не будет обновлен, поскольку он уже представляет собой отдельный объект.

  4. Разрешите конфликты между импортированными из файла и существующими ресурсами, если они возникли. Подробнее о конфликтах ресурсов см. ниже.
    1. Если имя, тип и guid импортированных ресурсов полностью совпадает с именем, типом и guid существующего ресурса, открывается окно Конфликты с таблицей, в которой отображаются тип и имя конфликтующих ресурсов. Разрешите отображаемые конфликты:
      • Если вы хотите заменить существующий ресурс новым, нажмите Заменить.

        Нажмите Заменить все, чтобы заменить все конфликтующие ресурсы.

      • Если вы хотите оставить существующий ресурс, нажмите Пропустить.

        Нажмите Пропустить все, чтобы сохранить все существующие ресурсы.

    2. Нажмите на кнопку Устранить.

    Ресурсы импортируются в KUMA. Ресурсы секретов импортируются пустыми.

О разрешении конфликтов

Когда ресурсы импортируются в KUMA из файла, программа сравнивает их с существующими ресурсами, сверяя следующие параметры:

  • Имя и тип. Если имя и тип импортируемого ресурса совпадают с параметрами существующего ресурса, имя импортированного ресурса автоматически изменяется.
  • Идентификатор. Если идентификаторы двух ресурсов совпадают, возникает конфликт, который должен разрешить пользователь. Такая ситуация может возникнуть, когда вы импортируете ресурсы на тот же сервер KUMA, с которого они были экспортированы.

При разрешении конфликта вы можете либо заменить существующий ресурс импортированным, либо оставить существующий ресурс.

Некоторые ресурсы связаны между собой: например, в некоторых типах коннекторов обязательно нужно указывать секрет коннектора. Секреты также импортируются, если они привязаны к коннектору. Такие связанные ресурсы экспортируются и импортируются вместе.

Особенности импорта:

  1. Ресурсы импортируются в выбранный тенант.
  2. Начиная с версии 2.1.3 если связанный ресурс находился в Общем тенанте, при импорте он снова будет в Общем тенанте.
  3. Начиная с версии 2.1.3 в окне Конфликты в столбце Родительский объект всегда отображается самый верхний родительский ресурс из выбранных при импорте.
  4. Начиная с версии 2.1.3 если во время импорта возникает конфликт, и вы выбираете замену существующего ресурса новым, все связанные с ним ресурсы также будут автоматически заменены импортированными ресурсами.

Известные ошибки в версии 2.1.3:

  1. Привязанный ресурс попадает в тенант, указанный при импорте, а не в Общий тенант, как указано в окне Конфликты, при следующих условиях:
    1. привязанный ресурс изначально находится в Общем тенанте;
    2. в окне Конфликты вы выбираете Пропустить для всех родительских объектов привязанного ресурса из Общего тенанта;
    3. привязанный ресурс из Общего тенанта оставляете для замены.
  2. После выполнения импорта в фильтре у категорий не указан тенант при следующих условиях:
    1. фильтр содержит привязанные категории активов из разных тенантов;
    2. имена категорий активов одинаковы;
    3. вы импортируете этот фильтр с привязанными категориями активов на новый сервер.
  3. В Тенант 1 дублируется имя категории активов при следующих условиях:
    1. в Тенант 1 у вас есть фильтр с привязанными категориями активов из Тенант 1 и Общего тенанта;
    2. имена привязанных категорий активов одинаковы;
    3. вы импортируете такой фильтр из Тенант 1 в Общий тенант.
  4. Невозможно импортировать конфликтующие ресурсы в один тенант.

    Ошибка "Невозможно импортировать конфликтующие ресурсы в один тенант" означает, что в импортируемом пакете есть конфликтующие ресурсы из разных тенантов и их нельзя импортировать в Общий тенант.

    Решение: Выберите для импорта пакета другой тенант, не Общий. Тогда при импорте ресурсы, изначально расположенные в Общем тенанте, будут импортированы в Общий тенант, а ресурсы из другого тенанта — в выбранный при импорте тенант.

  5. Только главный администратор может импортировать категории в Общий тенант.

    Ошибка "Только главный администратор может импортировать категории в Общий тенант" означает, что в импортируемом пакете есть ресурсы с привязанными общими категориями активов. Категории или ресурсы с привязанными общими категориями активов можно увидеть в журнале Ядра KUMA. Путь к журналу Ядра:

    /opt/kaspersky/kuma/core/log/core

    Решение. Выберите один из следующих вариантов:

    • Уберите из импорта ресурсы, к которым привязаны общие категории: снимите флажок рядом с соответствующими ресурсами.
    • Выполните импорт под учетной записью пользователя с правами Главного администратора.
  6. Только главный администратор может импортировать ресурсы в Общий тенант.

    Ошибка "Только главный администратор может импортировать ресурсы в Общий тенант" означает, что в импортируемом пакете есть ресурсы с привязанными общими ресурсами. Ресурсы с привязанными общими ресурсами можно увидеть в журнале Ядра KUMA. Путь к журналу Ядра:

    /opt/kaspersky/kuma/core/log/core

    Решение. Выберите один из следующих вариантов:

    • Уберите из импорта ресурсы, к которым привязаны ресурсы из Общего тенанта, и сами общие ресурсы: снимите флажок рядом с соответствующими ресурсами.
    • Выполните импорт под учетной записью пользователя с правами Главного администратора.
В начало
[Topic 242787]

Точки назначения

Точки назначения задают сетевые параметры для передачи нормализованных событий. Точки назначения используются в коллекторах и корреляторах для описания того, куда передавать обработанные события. В основном, в роли точек назначения выступают коррелятор и хранилище.

Параметры точек назначения указываются на двух закладках: Основные параметры и Дополнительные параметры. Набор доступных параметров зависит от выбранного типа точки назначения:

  • nats-jetstream – используется для коммуникации через NATS.
  • tcp – используется для связи по протоколу TCP.
  • http – используется для связи по протоколу HTTP.
  • diode – используется для передачи событий с помощью диода данных.
  • kafka – используется для коммуникаций с помощью kafka.
  • file – используется для записи в файл.
  • storage – используется для передачи данных в хранилище.
  • correlator – используется для передачи данных в коррелятор.

В этом разделе

Тип nats

Тип tcp

Тип http

Тип diode

Тип kafka

Тип file

Тип storage

Тип correlator

Предустановленные точки назначения
В начало
[Topic 217842]

Тип nats

Тип nats-jetstream используется для коммуникации через NATS.

Закладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Выключено

Используется, если события не нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, nats-jetstream.

URL

Обязательный параметр.

URL, с которым необходимо установить связь.

Топик

Обязательный параметр.

Тема сообщений NATS. Должно содержать символы в кодировке Unicode.

Разделитель

Используется для указания символа, определяющего границу между событиями. По умолчанию используется \n.

Авторизация

Тип авторизации при подключении к указанному URL Доступны следующие значения:

  • выключена – значение по умолчанию.
  • обычная – при выборе этого варианта требуется указать секрет, содержащий данные учетной записи пользователя для авторизации при подключении к коннектору.

    Добавить секрет

    1. Если вы создали секрет ранее, выберите его в раскрывающемся списке Секрет.

      Если ранее не было добавлено ни одного секрета, в раскрывающемся списке отобразится Нет данных.

    2. Если вы хотите добавить новый секрет, справа от списка Секрет нажмите на кнопку AD_plus.

      Откроется окно Секрет.

    3. В поле Название введите название, под которым секрет будет отображаться в списке доступных.
    4. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору.
    5. Если требуется, в поле Описание добавьте любую дополнительную информацию о секрете.
    6. Нажмите на кнопку Сохранить.

    Секрет будет добавлен и отобразится в списке Секрет.

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры

Параметр

Описание

Сжатие

Можно использовать сжатие Snappy. По умолчанию сжатие Выключено.

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Время ожидания

Время ожидания (в секундах) ответа другого сервиса или компонента.

Значение по умолчанию: 30.

Размер дискового буфера

Размер дискового буфера в байтах.

Значение по умолчанию: 10 ГБ.

Идентификатор кластера

Идентификатор кластера NATS.

Режим TLS

Использование шифрования TLS. Доступные значения:

  • Выключено: значение по умолчанию, не использовать шифрование TLS.
  • Включено: использовать шифрование, но без верификации сертификата.
  • С верификацией: использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
  • Нестандартный CA: использовать шифрование с верификацией сертификата, подписанного центром сертификации. Секрет с сертификатом выбирается в раскрывающемся списке Нестандартный CA, который отображается при выборе этого пункта.

    Создание сертификата, подписанного центром сертификации

    Для использования этого режима TLS необходимо выполнить следующие действия на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL):

    1. Создать ключ, который будет использоваться центром сертификации.

      Пример команды:

      openssl genrsa -out ca.key 2048

    2. Создать сертификат для только что созданного ключа.

      Пример команды:

      openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt

    3. Создать приватный ключ и запрос на его подписание в центре сертификации.

      Пример команды:

      openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr

    4. Создать сертификат, подписанный центром сертификации. Необходимо включить в subjectAltName доменные имена или IP-адреса сервера, для которого создается сертификат.

      Пример команды:

      openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

    5. Полученный сертификат server.crt следует загрузить в веб-интерфейсе KUMA в секрет типа certificate, который затем следует выбрать в раскрывающемся списке Нестандартный CA.

    При использовании TLS невозможно указать IP-адрес в качестве URL.

Разделитель

В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется \n.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: .

Рабочие процессы

Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Отладка

Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Дисковый буфер

Раскрывающийся список, с помощью которого можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен.

Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера.

Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.

Фильтр

В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 232952]

Тип tcp

Тип tcp используется для связи по протоколу TCP.

Закладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Выключено

Используется, если события не нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, tcp.

URL

Обязательный параметр.

URL, с которым необходимо установить связь. Доступные форматы: хост:порт, IPv4:порт, :порт.

Также поддерживаются адреса IPv6. При их использовании необходимо также указывать интерфейс в формате [адрес%интерфейс]:порт.

Например: [fe80::5054:ff:fe4d:ba0c%eth0]:4222).

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры

Параметр

Описание

Сжатие

Можно использовать сжатие Snappy. По умолчанию сжатие Выключено.

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Время ожидания

Время ожидания ответа (в секундах) другого сервиса или компонента.

Значение по умолчанию: 30.

Размер дискового буфера

Размер дискового буфера в байтах.

Значение по умолчанию: 10 ГБ.

Режим TLS

Использование шифрования TLS с использованием сертификатов в формате pem x509. Доступные значения:

  • Выключено: не использовать шифрование TLS. Значение по умолчанию.
  • Включено: использовать шифрование, но без верификации сертификатов.
  • С верификацией: использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.

При использовании TLS невозможно указать IP-адрес в качестве URL.

Разделитель

В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется \n.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 1 с.

Рабочие процессы

Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Отладка

Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Дисковый буфер

Раскрывающийся список, в котором можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен.

Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера.

Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.

Фильтр

В разделе можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 232960]

Тип http

Тип http используется для связи по протоколу HTTP.

Закладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Выключено

Используется, если события не нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, http.

URL

Обязательный параметр.

URL, с которым необходимо установить связь.

Доступные форматы: хост:порт, IPv4:порт, :порт.

Также поддерживаются адреса IPv6, однако при их использовании необходимо также указывать интерфейс: [адрес%интерфейс]:порт.
Пример: [fe80::5054:ff:fe4d:ba0c%eth0]:4222).

Авторизация

Тип авторизации при подключении к указанному URL Доступны следующие значения:

  • выключена – значение по умолчанию.
  • обычная  при выборе этого варианта требуется указать секрет, содержащий данные учетной записи пользователя для авторизации при подключении к коннектору.

    Добавить секрет

    1. Если вы создали секрет ранее, выберите его в раскрывающемся списке Секрет.

      Если ранее не было добавлено ни одного секрета, в раскрывающемся списке отобразится Нет данных.

    2. Если вы хотите добавить новый секрет, справа от списка Секрет нажмите на кнопку AD_plus.

      Откроется окно Секрет.

    3. В поле Название введите название, под которым секрет будет отображаться в списке доступных.
    4. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору.
    5. Если требуется, в поле Описание добавьте любую дополнительную информацию о секрете.
    6. Нажмите на кнопку Сохранить.

    Секрет будет добавлен и отобразится в списке Секрет.

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры

Параметр

Описание

Сжатие

Можно использовать сжатие Snappy. По умолчанию сжатие Выключено.

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Время ожидания

Время ожидания (в секундах) ответа другого сервиса или компонента.

Значение по умолчанию: 30.

Размер дискового буфера

Размер дискового буфера в байтах.

Значение по умолчанию: 10 ГБ.

Режим TLS

Использование шифрования TLS. Доступные значения:

  • Выключено: значение по умолчанию, не использовать шифрование TLS.
  • Включено: использовать шифрование, но без верификации сертификата.
  • С верификацией: использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
  • Нестандартный CA: использовать шифрование с верификацией сертификата, подписанного центром сертификации. Секрет с сертификатом выбирается в раскрывающемся списке Нестандартный CA, который отображается при выборе этого пункта.

    Создание сертификата, подписанного центром сертификации

    Для использования этого режима TLS необходимо выполнить следующие действия на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL):

    1. Создать ключ, который будет использоваться центром сертификации.

      Пример команды:

      openssl genrsa -out ca.key 2048

    2. Создать сертификат для только что созданного ключа.

      Пример команды:

      openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt

    3. Создать приватный ключ и запрос на его подписание в центре сертификации.

      Пример команды:

      openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr

    4. Создать сертификат, подписанный центром сертификации. Необходимо включить в subjectAltName доменные имена или IP-адреса сервера, для которого создается сертификат.

      Пример команды:

      openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

    5. Полученный сертификат server.crt следует загрузить в веб-интерфейсе KUMA в секрет типа certificate, который затем следует выбрать в раскрывающемся списке Нестандартный CA.

    При использовании TLS невозможно указать IP-адрес в качестве URL.

Политика выбора URL

В раскрывающемся списке можно выбрать способ определения, на какой URL следует отправлять события, если URL было указано несколько. Доступные значения:

  • Любой – события отправляются в один из доступных URL до тех пор, пока этот URL принимает события. При разрыве связи (например, при отключении принимающего узла) для отправки событий будет выбран другой URL.
  • Сначала первый – события отправляются в первый URL из списка добавленных адресов. Если он становится недоступен, события отправляются в следующий по очереди доступный узел. Когда первый URL снова становится доступен, события снова начинаются отправляться в него.
  • По очереди – пакеты с событиями по очереди отправляться в доступные URL из списка. Поскольку пакеты отправляются или при переполнении буфера точки назначения, или при срабатывании таймера очистки буфера, эта политика выбора URL не гарантирует равное распределение событий по точкам назначения.

Разделитель

В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется \n.

Путь

Путь, который необходимо добавить для URL-запроса. Например, если указать путь /input, а в качестве URL ввести 10.10.10.10, то от точки назначения будут исходить запросы 10.10.10.10/input.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 1 с.

Рабочие процессы

Количество служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Путь проверки работоспособности

URL для отправки запросов для получения данных о работоспособности системы, с которой устанавливает связь ресурс точки назначения.

Ожидание проверки работоспособности

Частота проверки работоспособности в секундах.

Проверка работоспособности отключена

Флажок, который отключает проверку работоспособности.

Отладка

Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Дисковый буфер

Раскрывающийся список, в котором можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен.

Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера.

Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.

Фильтр

В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 232961]

Тип diode

Тип diode используется для передачи событий с помощью диода данных.

Закладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Выключено

Используется, если события не нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, diode.

Директория, из которой диод данных получает события

Обязательный параметр.

Директория, откуда диод данных перемещает события. Путь может содержать до 255 символов в кодировке Unicode.

Ограничения при использовании префиксов к путям на серверах Windows

На серверах Windows необходимо указывать абсолютные пути к директориям. Невозможно использовать директории, названия которых соответствуют указанным ниже регулярным выражениям:

  • ^[a-zA-Z]:\\Program Files
  • ^[a-zA-Z]:\\Program Files \(x86\)
  • ^[a-zA-Z]:\\Windows
  • ^[a-zA-Z]:\\Program Files\\Kaspersky Lab\\KUMA

Ограничения при использовании префиксов к путям на серверах Linux

Префиксы, которые невозможно использовать при указании путей к файлам:

  • /*
  • /bin
  • /boot
  • /dev
  • /etc
  • /home
  • /lib
  • /lib64
  • /proc
  • /root
  • /run
  • /sys
  • /tmp
  • /usr/*
  • /usr/bin/
  • /usr/local/*
  • /usr/local/sbin/
  • /usr/local/bin/
  • /usr/sbin/
  • /usr/lib/
  • /usr/lib64/
  • /var/*
  • /var/lib/
  • /var/run/
  • /opt/kaspersky/kuma/

Файлы по указанным ниже путям доступны:

  • /opt/kaspersky/kuma/clickhouse/logs/
  • /opt/kaspersky/kuma/mongodb/log/
  • /opt/kaspersky/kuma/victoria-metrics/log/

Временная директория

Директория, в которой события готовятся для передачи диоду данных.

События собираются в файл по истечении времени ожидания (по умолчанию 10 секунд) или при переполнении буфера. Подготовленный файл перемещается в директорию, указанную в поле Директория, из которой диод данных получает события. В качестве названия файла с событиями используется хеш-сумма (SHA-256) содержимого файла.

Временная директория не должна совпадать с директорией, из которой диод данных получает события.

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры

Параметр

Описание

Сжатие

Можно использовать сжатие Snappy. По умолчанию сжатие Выключено.

Этот параметр должен совпадать для коннектора и точки назначения, используемых для передачи событий из изолированного сегмента сети с помощью диода данных.

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Разделитель

В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется \n.

Этот параметр должен совпадать для коннектора и точки назначения, используемых для передачи событий из изолированного сегмента сети с помощью диода данных.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 1 с.

Рабочие процессы

Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Отладка

Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Фильтр

В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 232967]

Тип kafka

Тип kafka используется для коммуникаций с помощью kafka.

Закладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Выключено

Используется, если события не нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, kafka.

URL

Обязательный параметр.

URL, с которым необходимо установить связь. Доступные форматы: хост:порт, IPv4:порт, :порт. Также поддерживаются адреса IPv6, однако при их использовании необходимо также указывать интерфейс: [адрес%интерфейс]:порт.
Пример: [fe80::5054:ff:fe4d:ba0c%eth0]:4222).

С помощью кнопки URL можно добавить несколько адресов.

Топик

Обязательный параметр.

Тема сообщений Kafka. Должен содержать от 1 до 255 следующих символов: a–z, A–Z, 0–9, ".", "_", "-".

Разделитель

Используется для указания символа, определяющего границу между событиями. По умолчанию используется \n.

Авторизация

Тип авторизации при подключении к указанному URL Доступны следующие значения:

  • выключена – значение по умолчанию.
  • PFX – требуется сформировать сертификат с закрытым ключом в формате PKCS#12-контейнера во внешнем центре сертификации, экспортировать сертификат из хранилища и загрузить его в веб-интерфейс KUMA в виде PFX-секрета.
  • Добавить PFX-секрет
    1. Если вы загрузили PFX-сертификат ранее, выберите его в раскрывающемся списке Секрет.

      Если ранее не было добавлено ни одного сертификата, в раскрывающемся списке отобразится Нет данных.

    2. Если вы хотите добавить новый сертификат, справа от списка Секрет нажмите на кнопку AD_plus.

      Откроется окно Секрет.

    3. В поле Название введите название, под которым секрет будет отображаться в списке доступных.
    4. По кнопке Загрузить PFX выберите файл, в который вы экспортировали сертификат с закрытым ключом, в формате PKCS#12-контейнера.
    5. В поле Пароль введите пароль для защиты сертификата, заданный в мастере экспорта сертификата.
    6. Нажмите на кнопку Сохранить.

    Сертификат будет добавлен и отобразится в списке Секрет.

  • обычная – требуется указать секрет, содержащий данные учетной записи пользователя для авторизации при подключении к коннектору.

    Добавить секрет

    1. Если вы создали секрет ранее, выберите его в раскрывающемся списке Секрет.

      Если ранее не было добавлено ни одного секрета, в раскрывающемся списке отобразится Нет данных.

    2. Если вы хотите добавить новый секрет, справа от списка Секрет нажмите на кнопку AD_plus.

      Откроется окно Секрет.

    3. В поле Название введите название, под которым секрет будет отображаться в списке доступных.
    4. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору.
    5. Если требуется, в поле Описание добавьте любую дополнительную информацию о секрете.
    6. Нажмите на кнопку Сохранить.

    Секрет будет добавлен и отобразится в списке Секрет.

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры

Параметр

Описание

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Время ожидания

Время ожидания (в секундах) ответа другого сервиса или компонента.

Значение по умолчанию: 30.

Размер дискового буфера

Размер дискового буфера в байтах.

Значение по умолчанию: 10 ГБ.

Режим TLS

Использование шифрования TLS. Доступные значения:

  • Выключено – значение по умолчанию, не использовать шифрование TLS.
  • Включено – использовать шифрование, но без верификации сертификата.
  • С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
  • Нестандартный CA – использовать шифрование с верификацией сертификата, подписанного центром сертификации. Секрет с сертификатом выбирается в раскрывающемся списке Нестандартный CA, который отображается при выборе этого пункта.

    Создание сертификата, подписанного центром сертификации

    Для использования этого режима TLS необходимо выполнить следующие действия на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL):

    1. Создать ключ, который будет использоваться центром сертификации.

      Пример команды:

      openssl genrsa -out ca.key 2048

    2. Создать сертификат для только что созданного ключа.

      Пример команды:

      openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt

    3. Создать приватный ключ и запрос на его подписание в центре сертификации.

      Пример команды:

      openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr

    4. Создать сертификат, подписанный центром сертификации. Необходимо включить в subjectAltName доменные имена или IP-адреса сервера, для которого создается сертификат.

      Пример команды:

      openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

    5. Полученный сертификат server.crt следует загрузить в веб-интерфейсе KUMA в секрет типа certificate, который затем следует выбрать в раскрывающемся списке Нестандартный CA.

    При использовании TLS невозможно указать IP-адрес в качестве URL.

Разделитель

В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется \n.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 1 с.

Рабочие процессы

Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Отладка

Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Дисковый буфер

Раскрывающийся список, с помощью которого можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен.

Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера.

Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.

Фильтр

В разделе можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 232962]

Тип file

Тип file используется для записи в файл.

При удалении точки назначения типа file, используемой в каком-либо сервисе, этот сервис необходимо перезапустить.

Закладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Выключено

Используется, если события не нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, file.

URL

Обязательный параметр.

Путь к файлу, в который необходимо записать события.

Ограничения при использовании префиксов к путям файлов

Префиксы, которые невозможно использовать при указании путей к файлам:

  • /*
  • /bin
  • /boot
  • /dev
  • /etc
  • /home
  • /lib
  • /lib64
  • /proc
  • /root
  • /run
  • /sys
  • /tmp
  • /usr/*
  • /usr/bin/
  • /usr/local/*
  • /usr/local/sbin/
  • /usr/local/bin/
  • /usr/sbin/
  • /usr/lib/
  • /usr/lib64/
  • /var/*
  • /var/lib/
  • /var/run/
  • /opt/kaspersky/kuma/

Файлы по указанным ниже путям доступны:

  • /opt/kaspersky/kuma/clickhouse/logs/
  • /opt/kaspersky/kuma/mongodb/log/
  • /opt/kaspersky/kuma/victoria-metrics/log/

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры

Параметр

Описание

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Размер дискового буфера

Размер дискового буфера в байтах.

Значение по умолчанию: 10 ГБ.

Разделитель

В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется \n.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 1 с.

Количество обработчиков

Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Отладка

Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Дисковый буфер

Раскрывающийся список, с помощью которого можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен.

Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера.

Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.

Фильтр

В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 232965]

Тип storage

Тип storage используется для передачи данных в хранилище.

Закладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Выключено

Используется, если события не нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, storage.

URL

Обязательный параметр.

URL, с которым необходимо установить связь. Доступные форматы: хост:порт, IPv4:порт, :порт. Также поддерживаются адреса IPv6, однако при их использовании необходимо также указывать интерфейс: [адрес%интерфейс]:порт.
Пример: [fe80::5054:ff:fe4d:ba0c%eth0]:4222).

С помощью кнопки URL можно добавить несколько адресов.

В поле URL поддерживается поиск сервисов по FQDN, IP-адресу и названию. Особенности поиска по указанным в поле значениям:

  • <Поисковое значение> – поиск ведется по FQDN, IP-адресам и названиям сервисов.
  • <Первое поисковое значение, оканчивающееся на одну или несколько цифр>:<второе поисковое значение> – поиск по первому значению ведется по FQDN, IP-адресам сервисов, а второе значение используется для поиска по порту.
  • :<значение> – поиск ведется по порту.

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры

Параметр

Описание

Прокси-сервер

Раскрывающийся список для выбора прокси-сервера.

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Время ожидания

Время ожидания (в секундах) ответа другого сервиса или компонента.

Значение по умолчанию: 30.

Размер дискового буфера

Размер дискового буфера в байтах.

Значение по умолчанию: 10 ГБ.

Политика выбора URL

Раскрывающийся список, в котором можно выбрать способ определения, на какой URL следует отправлять события, если URL было указано несколько:

  • Любой – события отправляются в один из доступных URL до тех пор, пока этот URL принимает события. При разрыве связи (например, при отключении принимающего узла) для отправки событий будет выбран другой URL.
  • Сначала первый – события отправляются в первый URL из списка добавленных адресов. Если он становится недоступен, события отправляются в следующий по очереди доступный узел. Когда первый URL снова становится доступен, события снова начинаются отправляться в него.
  • По очереди – пакеты с событиями по очереди отправляться в доступные URL из списка. Поскольку пакеты отправляются или при переполнении буфера точки назначения, или при срабатывании таймера очистки буфера, эта политика выбора URL не гарантирует равное распределение событий по точкам назначения.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 1 с.

Рабочие процессы

Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Ожидание проверки работоспособности

Частота проверки работоспособности в секундах.

Отладка

Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Дисковый буфер

Раскрывающийся список, с помощью которого можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен.

Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера.

Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.

Фильтр

В разделе можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 232973]

Тип correlator

Тип correlator используется для передачи данных в коррелятор.

Закладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Выключено

Используется, если события не нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, correlator.

URL

Обязательный параметр.

URL, с которым необходимо установить связь. Доступные форматы: хост:порт, IPv4:порт, :порт. Также поддерживаются адреса IPv6, однако при их использовании необходимо также указывать интерфейс: [адрес%интерфейс]:порт.
Пример: [fe80::5054:ff:fe4d:ba0c%eth0]:4222).

С помощью кнопки URL можно добавить несколько адресов.

В поле URL поддерживается поиск сервисов по FQDN, IP-адресу и названию. Особенности поиска по указанным в поле значениям:

  • <Поисковое значение> – поиск ведется по FQDN, IP-адресам и названиям сервисов.
  • <Первое поисковое значение, оканчивающееся на одну или несколько цифр>:<второе поисковое значение> – поиск по первому значению ведется по FQDN, IP-адресам сервисов, а второе значение используется для поиска по порту.
  • :<значение> – поиск ведется по порту.

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры

Параметр

Описание

Прокси-сервер

Раскрывающийся список для выбора прокси-сервера.

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Время ожидания

Время ожидания (в секундах) ответа другого сервиса или компонента.

Значение по умолчанию: 30.

Размер дискового буфера

Размер дискового буфера в байтах.

Значение по умолчанию: 10 ГБ.

Политика выбора URL

Раскрывающийся список, в котором можно выбрать способ определения, на какой URL следует отправлять события, если URL было указано несколько:

  • Любой – события отправляются в один из доступных URL до тех пор, пока этот URL принимает события. При разрыве связи (например, при отключении принимающего узла) для отправки событий будет выбран другой URL.
  • Сначала первый – события отправляются в первый URL из списка добавленных адресов. Если он становится недоступен, события отправляются в следующий по очереди доступный узел. Когда первый URL снова становится доступен, события снова начинаются отправляться в него.
  • По очереди – пакеты с событиями по очереди отправляться в доступные URL из списка. Поскольку пакеты отправляются или при переполнении буфера точки назначения, или при срабатывании таймера очистки буфера, эта политика выбора URL не гарантирует равное распределение событий по точкам назначения.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 1 с.

Рабочие процессы

Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Ожидание проверки работоспособности

Частота проверки работоспособности в секундах.

Отладка

Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Дисковый буфер

Раскрывающийся список, с помощью которого можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен.

Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера.

Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.

Фильтр

В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 232976]

Предустановленные точки назначения

В поставку KUMA включены перечисленные в таблице ниже точки назначения.

Предустановленные точки назначения

Название точки назначения

Описание

[OOTB] Correlator

Отправляет события в коррелятор.

[OOTB] Storage

Отправляет события в хранилище.

В начало
[Topic 250830]

Работа с событиями

В разделе События веб-интерфейса KUMA вы можете просматривать полученные программой события, чтобы расследовать угрозы безопасности или создавать правила корреляции. В таблице событий отображаются данные, полученные после выполнения SQL-запроса.

События можно отправлять в коррелятор для ретроспективной проверки.

Формат даты события зависит от языка локализации, выбранного в настройках программы. Возможные варианты формата даты:

  • Английская локализация: ГГГГ-ММ-ДД.
  • Русская локализация: ДД.ММ.ГГГГ.

В этом разделе справки

Фильтрация и поиск событий

См. также:

О событиях

Архитектура программы

Модель данных нормализованного события
В начало
[Topic 228267]

Фильтрация и поиск событий

По умолчанию в разделе События веб-интерфейса KUMA данные не отображаются. Для просмотра событий в поле поиска нужно задать SQL-запрос и нажать на кнопку SearchField. SQL-запрос можно ввести вручную или сформировать с помощью конструктора запросов.

В SQL-запросах поддерживается агрегирование и группировка данных.

Вы можете добавить условия фильтрации в уже сформированный SQL-запрос в окне просмотра статистики, таблицы событий и области деталей событий:

  • Изменение запроса из окна статистики

    Чтобы изменить параметры фильтрации из окна Статистика:

    1. Откройте область деталей Статистика одним из следующих способов:
      • В правом верхнем углу таблицы событий в раскрывающемся списке MoreButton выберите Статистика.
      • В таблице событий нажмите на любое значение и в открывшемся контекстном меню выберите Статистика.

      В правой части окна откроется область деталей Статистика.

    2. Откройте раскрывающийся список необходимого параметра и наведите курсор мыши на требуемое значение.
    3. С помощью значков плюса и минуса измените параметры фильтрации, выполнив одно из следующих действий:
      • Если вы хотите включить в выборку событий только события с выбранным значением, нажмите filter-plus.
      • Если вы хотите исключить из выборки событий все события с выбранным значением, нажмите filter-minus.

    В результате параметры фильтрации и таблица событий будут обновлены, а в верхней части экрана отобразится измененный поисковый запрос.

  • Изменение запроса из таблицы событий

    Чтобы изменить параметры фильтрации из таблицы событий:

    1. В разделе События веб-интерфейса KUMA нажмите на любое значение параметра события в таблице событий.
    2. В открывшемся меню выберите один из следующих вариантов:
      • Если вы хотите оставить в таблице только события с выбранным значением, выберите Искать события с этим значением.
      • Если вы хотите исключить из таблицы все события с выбранным значением, выберите Искать события без этого значения.

    В результате параметры фильтрации и таблица событий обновляются, а в верхней части экрана отображается измененный поисковый запрос.

  • Изменение запроса из области деталей события

    Чтобы изменить параметры фильтрации в области деталей события:

    1. В разделе События веб-интерфейса KUMA нажмите на нужное событие.

      В правой части окна откроется область деталей Информация о событии.

    2. Измените параметры фильтрации, используя значки плюса или минуса рядом с необходимыми параметрами:
      • Если вы хотите включить в выборку событий только события с выбранным значением, нажмите filter-plus.
      • Если вы хотите исключить из выборки событий все события с выбранным значением, нажмите filter-minus.

    В результате параметры фильтрации и таблица событий будут обновлены, а в верхней части экрана отобразится измененный поисковый запрос.

После изменения запроса все параметры запроса, включая добавленные условия фильтрации, переносятся в конструктор и строку поиска.

Параметры запроса, введенного вручную в строке поиска, при переключении на конструктор не переносятся в конструктор: вам требуется создать запрос заново. При этом запрос, созданный в конструкторе, не перезаписывает запрос, введенный в строке поиска, пока вы не нажмете на кнопку Применить в окне конструктора.

В поле ввода SQL-запроса можно включить отображение непечатаемых символов.

События можно также фильтровать по временному периоду. Результаты поиска можно автоматически обновлять.

Конфигурацию фильтра можно сохранить. Существующие конфигурации фильтров можно удалить.

Функции фильтрации доступны пользователям всех ролей.

При обращении к некоторым полям событий с идентификаторами KUMA возвращает соответствующие им названия.

Подробнее об SQL см. в справке ClickHouse. Также см. использование операторов в KUMA и поддерживаемые функции.

В этом разделе

Выбор хранилища

Формирование SQL-запроса с помощью конструктора

Создание SQL-запроса вручную

Фильтрация событий по периоду

Отображение названий вместо идентификаторов

Пресеты

Ограничение сложности запросов в режиме расследования алерта

Сохранение и выбор конфигураций фильтра событий

Удаление конфигураций фильтра событий

Поддерживаемые функции ClickHouse

Просмотр информации о событии

Экспорт событий

Настройка таблицы событий

Обновление таблицы событий

Получение статистики по событиям в таблице

Просмотр информации о корреляционном событии

См. также:

О событиях

Хранилище
В начало
[Topic 228277]

Выбор хранилища

События, которые отображаются в веб-интерфейсе KUMA в разделе События, получены из хранилища (то есть кластера ClickHouse). В зависимости от потребностей вашей компании у вас может быть более одного хранилища, однако для получения событий необходимо указывать, события из какого именно хранилища вам требуются.

Чтобы выбрать хранилище, из которого вы хотите получать события,

В разделе События веб-интерфейса KUMA откройте раскрывающийся список cluster и выберите нужный кластер хранилища.

В таблице событий отображаются события из указанного хранилища. Имя выбранного хранилища отображается в раскрывающемся списке cluster.

В раскрывающемся списке cluster отображаются только кластеры тенантов, доступных пользователю, а также кластер главного тенанта.

См. также:

Хранилище
В начало
[Topic 217994]

Формирование SQL-запроса с помощью конструктора

В KUMA вы можете сформировать SQL-запрос для фильтрации событий с помощью конструктора запросов.

Чтобы сформировать SQL-запрос с помощью конструктора:

  1. В разделе События веб-интерфейса KUMA нажмите на кнопку parent-category.

    Откроется окно конструктора запросов.

  2. Сформулируйте поисковый запрос, указав данные в следующих блоках параметров:

    SELECT – поля событий, которые следует возвращать. По умолчанию выбрано значение *, означающее, что необходимо возвращать все доступные поля события. Чтобы вам проще было просматривать результаты поиска, в раскрывающемся списке вы можете выбрать необходимые поля, тогда в таблице будут отображаться данные только для выбранных полей. Стоит учитывать, что Select * в запросе увеличивает длительность выполнения запроса, но избавляет от необходимости прописывать поля в запросе вручную.

    Выбрав поле события, вы можете в поле справа от раскрывающегося списка указать псевдоним для столбца выводимых данных, а в крайнем правом раскрывающемся списке можно выбрать операцию, которую следует произвести над данными: count, max, min, avg, sum.

    Если вы используете в запросе функции агрегации, настройка отображения таблицы событий, сортировка событий по возрастанию и убыванию, а также получение статистики недоступны.

    В режиме расследования алерта при фильтрации по событиям, связанным с алертами, невозможно производить операции над данными полей событий и присваивать названия столбцам выводимых данных.

    • FROM – источник данных. Выберите значение events.
    • WHERE – условия фильтрации событий.

      Условия и группы условий можно добавить с помощью кнопок Добавить условие и Добавить группу. По умолчанию в группе условий выбрано значение оператора AND, однако если на него нажать, оператор можно изменить. Доступные значения: AND, OR, NOT. Структуру условий и групп условий можно менять, перетаскивая выражения с помощью мыши за значок DragIcon.

      Добавление условий фильтра:

      1. В раскрывающемся списке слева выберите поле события, которое вы хотите использовать для фильтрации.
      2. В среднем раскрывающемся списке выберите нужный оператор. Доступные операторы зависят от типа значения выбранного поля события.
      3. Введите значение условия. В зависимости от выбранного типа поля вам потребуется ввести значение вручную, выбрать его в раскрывающемся списке или выбрать в календаре.

      Условия фильтра можно удалить с помощью кнопки cross. Группы условий удаляются с помощью кнопки Удалить группу.

    • GROUP BY – поля событий или псевдонимы, по которым следует группировать возвращаемые данные.

      Если вы используете в запросе группировку данных, настройка отображения таблицы событий, сортировка событий по возрастанию и убыванию, получение статистики, а также ретроспективная проверка недоступны.

      В режиме расследования алерта при фильтрации по событиям, связанным с алертами, невозможно группировать возвращаемые данные.

    • ORDER BY – столбцы, по которым следует сортировать возвращаемые данные. В раскрывающемся списке справа можно выбрать порядок: DESC – по убыванию, ASC – по возрастанию.
    • LIMIT – количество отображаемых в таблице строк.

      Значение по умолчанию – 250.

      Если при фильтрации событий по пользовательскому периоду количество строк в результатах поиска превышает заданное значение, вы можете отобразить в таблице дополнительные строки, нажав на кнопку Показать больше записей. Кнопка не отображается при фильтрации событий по стандартному периоду.

  3. Нажмите на кнопку Применить.

    Текущий SQL-запрос будет перезаписан. В поле поиска отобразится сформированный SQL-запрос.

    Если вы хотите сбросить настройки конструктора, нажмите на кнопку Запрос по умолчанию.

    Если вы хотите закрыть конструктор, не перезаписывая существующий запрос, нажмите на кнопку parent-category.

  4. Для отображения данных в таблице нажмите на кнопку SearchField.

В таблице отобразятся результаты поиска по сформированному SQL-запросу.

При переходе в другой раздел веб-интерфейса сформированный в конструкторе запрос не сохраняется. Если вы повторно вернетесь в раздел События, в конструкторе будет отображаться запрос по умолчанию.

Подробнее об SQL см. в справке ClickHouse. Также см. использование операторов в KUMA и поддерживаемые функции.

См. также:

Создание SQL-запроса вручную

О событиях

Хранилище
В начало
[Topic 228337]

Создание SQL-запроса вручную

С помощью строки поиска вы можете вручную создавать SQL-запросы любой сложности для фильтрации событий.

Чтобы сформировать SQL-запрос вручную:

  1. Перейдите в раздел События веб-интерфейса KUMA.

    Откроется форма с полем ввода.

  2. Введите SQL-запрос в поле ввода.
  3. Нажмите на кнопку SearchField.

Отобразится таблица событий, соответствующих условиям вашего запроса. При необходимости вы можете отфильтровать события по периоду.

Поддерживаемые функции и операторы

  • SELECT – поля событий, которые следует возвращать.

    Для SELECT в программе поддержаны следующие функции и операторы:

    • Функции агрегации: count, avg, max, min, sum.
    • Арифметические операторы: +, -, *, /, <, >, =, !=, >=, <=.

      Вы можете комбинировать эти функции и операторы.

      Если вы используете в запросе функции агрегации, настройка отображения таблицы событий, сортировка событий по возрастанию и убыванию, а также получение статистики недоступны.

  • DISTINCT – используется для удаления дубликатов из результирующего набора оператора SELECT. Следует использовать нотацию типа SELECT DISTINCT SourceAddress as Addressess FROM <остальная часть запроса>.
  • FROM – источник данных.

    При создании запроса в качестве источника данных вам нужно указать значение events.

  • WHERE – условия фильтрации событий.
    • AND, OR, NOT, =, !=, >, >=, <, <=
    • IN
    • BETWEEN
    • LIKE
    • ILIKE
    • inSubnet
    • match (в запросах используется синтаксис регулярных выражений re2, специальные символы требуется дополнительно экранировать с помощью обратной косой черты (\))
  • GROUP BY – поля событий или псевдонимы, по которым следует группировать возвращаемые данные.

    Если вы используете в запросе группировку данных, настройка отображения таблицы событий, сортировка событий по возрастанию и убыванию, получение статистики, а также ретроспективная проверка недоступны.

  • ORDER BY – столбцы, по которым следует сортировать возвращаемые данные.

    Возможные значения:

    • DESC – по убыванию.
    • ASC – по возрастанию.
  • OFFSET – пропуск указанного количества строк перед выводом результатов запроса.
  • LIMIT – количество отображаемых в таблице строк.

    Значение по умолчанию – 250.

    Если при фильтрации событий по пользовательскому периоду количество строк в результатах поиска превышает заданное значение, вы можете отобразить в таблице дополнительные строки, нажав на кнопку Показать больше записей. Кнопка не отображается при фильтрации событий по стандартному периоду.

    Примеры запросов:

    • SELECT * FROM `events` WHERE Type IN ('Base', 'Audit') ORDER BY Timestamp DESC LIMIT 250

      Все события таблицы events с типом Base и Audit, отсортированные по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250.

    • SELECT * FROM `events` WHERE BytesIn BETWEEN 1000 AND 2000 ORDER BY Timestamp ASC LIMIT 250

      Все события таблицы events, для которых в поле BytesIn значение полученного трафика находится в диапазоне от 1000 до 2000 байт, отсортированные по столбцу Timestamp в порядке возрастания. Количество отображаемых в таблице строк – 250.

    • SELECT * FROM `events` WHERE Message LIKE '%ssh:%' ORDER BY Timestamp DESC LIMIT 250

      Все события таблицы events, которые в поле Message содержат данные, соответствующие заданному шаблону %ssh:% в нижнем регистре, и отсортированы по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250.

    • SELECT * FROM `events` WHERE inSubnet(DeviceAddress, '00.0.0.0/00') ORDER BY Timestamp DESC LIMIT 250

      Все события таблицы events для хостов, которые входят в подсеть 00.0.0.0/00, отсортированные по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250.

    • SELECT * FROM `events` WHERE match(Message, 'ssh.*') ORDER BY Timestamp DESC LIMIT 250

      Все события таблицы events, которые в поле Message содержат текст, соответствующий шаблону ssh.*, и отсортированы по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250.

    • SELECT max(BytesOut) / 1024 FROM `events`

      Максимальный размер исходящего трафика (КБ) за выбранный период времени.

    • SELECT count(ID) AS "Count", SourcePort AS "Port" FROM `events` GROUP BY SourcePort ORDER BY Port ASC LIMIT 250

      Количество событий и номер порта. События сгруппированы по номеру порта и отсортированы по столбцу Port в порядке возрастания. Количество отображаемых в таблице строк – 250.

      Столбцу ID в таблице событий присвоено имя Count, столбцу SourcePort присвоено имя Port.

Если вы хотите указать в запросе специальный символ, вам требуется экранировать его, поместив перед ним обратную косую черту (\).

Пример:

SELECT * FROM `events` WHERE match(Message, 'ssh:\'connection.*') ORDER BY Timestamp DESC LIMIT 250

Все события таблицы events, которые в поле Message содержат текст, соответствующий шаблону ssh: 'connection', и отсортированы по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250.

При создании нормализатора для событий вы можете выбрать, сохранять ли значения полей исходного события. Данные сохраняются в поле события Extra. Поиск событий по этому полю осуществляется с помощью оператора LIKE.

Пример:

SELECT * FROM `events` WHERE DeviceAddress = '00.00.00.000' AND Extra LIKE '%"app":"example"%' ORDER BY Timestamp DESC LIMIT 250

Все события таблицы events для хостов с IP-адресом 00.00.00.000, на которых запущен процесс example, отсортированные по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250.

При переключении на конструктор параметры запроса, введенного вручную в строке поиска, не переносятся в конструктор: вам требуется создать запрос заново. При этом запрос, созданный в конструкторе, не перезаписывает запрос, введенный в строке поиска, пока вы не нажмете на кнопку Применить в окне конструктора.

Используемые в поисковых запросах псевдонимы не должны содержать пробелов.

Подробнее об SQL см. в справке ClickHouse. Также см. поддерживаемые функции ClickHouse.

См. также:

Формирование SQL-запроса с помощью конструктора

Ограничение сложности запросов в режиме расследования алерта

О событиях

Хранилище
В начало
[Topic 228356]

Фильтрация событий по периоду

В KUMA вы можете настроить отображение событий, относящихся к определенному временному периоду.

Чтобы отфильтровать события по периоду:

  1. В разделе События веб-интерфейса KUMA в верхней части окна откройте раскрывающийся список Период.
  2. Если вы хотите выполнить фильтрацию по стандартному периоду, выберите один из следующих вариантов:
    • 5 минут
    • 15 минут
    • 1 час
    • 24 часа
    • В течение периода

      При выборе этого варианта в открывшемся календаре выберите дату начала и окончания периода и нажмите Применить фильтр. Формат даты и времени зависит от настроек вашей операционной системы. При необходимости вы также можете изменить значения даты вручную.

  3. Нажмите на кнопку SearchField.

Если установлен фильтр по периоду, отобразятся только события, зарегистрированные в течение указанного интервала времени. Период отобразится в верхней части окна.

Вы также можете настроить отображение событий с помощью гистограммы событий, которая отображается при нажатии на кнопку Иконка гистограммы в верхней части раздела События. События отобразятся, если нажать на нужный ряд данных или выделить требуемый период времени и нажать на кнопку Показать события.

В начало
[Topic 217877]

Отображение названий вместо идентификаторов

При обращении к некоторым полям событий, содержащих идентификаторы, KUMA возвращает не идентификаторы, а соответствующие им названия. Это сделано для удобства восприятия информации. Например, если вы обратитесь к полю события TenantID (в который записывается идентификатор тенанта), вы получите значение из поля событий TenantName (в которое записывается название тенанта).

При экспорте событий в файл записываются значения из обоих полей: и с идентификатором, и с названием.

В таблице ниже перечислены поля, при обращении к которым происходит замена:

Запрашиваемое поле

Поле, из которого возвращается значение

TenantID

TenantName

SeriviceID

ServiceName

DeviceAssetID

DeviceAssetName

SourceAssetID

SourceAssetName

DestinationAssetID

DestinationAssetName

SourceAccountID

SourceAccountName

DestinationAccountID

DestinationAccountName

Замена не происходит, если в SQL-запросе полю присвоен псевдоним. Примеры:

  • SELECT TenantID FROM `events` LIMIT 250 – в результате поиска в поле TenantID будет отображаться название тенанта.
  • SELECT TenantID AS Tenant_name FROM `events` LIMIT 250 – в результате поиска в поле Tenant_name будет отображаться идентификатор тенанта.
В начало
[Topic 255487]

Пресеты

Вы можете использовать

пресеты
для упрощения работы с запросами, если вы регулярно хотите просматривать данные по определенному набору полей событий. В строке с SQL-запросом можно ввести Select * и выбрать сохраненный пресет - выдача будет ограничена только указанными в пресете полями. Такой способ снижает производительность, но при этом избавляет от необходимости каждый раз писать запрос вручную.
Пресеты сохраняются на сервере Ядра KUMA и доступны всем пользователям KUMA для указанного тенанта.

Чтобы создать пресет:

  1. В разделе События нажмите на значок .
  2. В открывшемся окне на вкладке Столбцы полей событий выберите необходимые поля.

    Для упрощения поиска можно начать набирать название поля в области Поиск

  3. Чтобы сохранить выбранные поля, нажмите Сохранить текущий пресет.

    Откроется окно Новый пресет.

  4. В открывшемся окне укажите Название пресета и выберите Тенанта в выпадающем списке.
  5. Нажмите Сохранить.

    Пресет создан и сохранен.

Чтобы применить пресет:

  1. В поле ввода запроса введите Select *.
  2. В разделе События веб-интерфейса KUMA нажмите на значок   .
  3. В открывшемся окне на вкладке Пресеты выберите нужный пресет и нажмите на кнопку .

    Поля из выбранного пресета будут добавлены в поле с SQL-запросом, а столбцы будут добавлены в таблицу. В конструкторе запросов изменений не произойдет.

  4. Нажмите на кнопку SearchField, чтобы выполнить запрос.

    После выполнения запроса столбцы будут заполнены.

В начало
[Topic 242466]

Ограничение сложности запросов в режиме расследования алерта

При расследовании алерта сложность SQL-запросов для фильтрации событий ограничена, если при расследовании алерта в раскрывающемся списке EventSelector выбран пункт События алерта. В этом случае для фильтрации событий доступны только перечисленные ниже функции и операторы.

При выборе в раскрывающемся списке EventSelector пункта Все события эти ограничения не действуют.

  • SELECT
    • В качестве символа подстановки используется *.
  • WHERE
    • AND, OR, NOT, =, !=, >, >=, <, <=
    • IN
    • BETWEEN
    • LIKE
    • inSubnet

    Примеры:

    • WHERE Type IN ('Base', 'Correlated')
    • WHERE BytesIn BETWEEN 1000 AND 2000
    • WHERE Message LIKE '%ssh:%'
    • WHERE inSubnet(DeviceAddress, '10.0.0.1/24')
  • ORDER BY

    Сортировка возможна по столбцам.

  • OFFSET

    Пропуск указанного количества строк перед выводом результатов запроса.

  • LIMIT

    Значение по умолчанию – 250.

    Если при фильтрации событий по пользовательскому периоду количество строк в результатах поиска превышает заданное значение, вы можете отобразить в таблице дополнительные строки, нажав на кнопку Показать больше записей. Кнопка не отображается при фильтрации событий по стандартному периоду.

В режиме расследования алерта при фильтрации по событиям, связанным с алертами, невозможно группировать возвращаемые данные. В режиме расследования алерта при фильтрации по событиям, связанным с алертами, невозможно производить операции над данными полей событий и присваивать названия столбцам выводимых данных.

В начало
[Topic 230248]

Сохранение и выбор конфигураций фильтра событий

В KUMA вы можете сохранять конфигурации фильтров для использования в будущем. Другие пользователи также могут использовать сохраненные фильтры при условии, что у них есть соответствующие права доступа. При сохранении фильтра вы сохраняете настроенные параметры сразу всех активных фильтров: фильтр по периоду, конструктору запросов и параметры таблицы событий. Поисковые запросы сохраняются на сервере Ядра KUMA и доступны всем пользователям KUMA выбранного тенанта.

Чтобы сохранить текущие настройки фильтра, запроса и периода:

  1. В разделе События веб-интерфейса KUMA нажмите на значок SaveButton рядом с выражением фильтра и выберите Сохранить текущий фильтр.
  2. В открывшемся окне в поле Название введите название конфигурации фильтра. Название должно содержать до 128 символов в кодировке Unicode.
  3. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать создаваемый фильтр.
  4. Нажмите Сохранить.

Конфигурация фильтра сохранена.

Чтобы выбрать ранее сохраненную конфигурацию фильтра:

в разделе События веб-интерфейса KUMA нажмите на значок SaveButton рядом с выражением фильтра и выберите нужный фильтр.

Выбранная конфигурация активна: в поле поиска отображается поисковый запрос, в верхней части окна настроенные параметры периода и частоты обновления результатов поиска. Для отправки поискового запроса нажмите на кнопку SearchField.

Если нажать на значок StarOffIcon рядом с названием конфигурации фильтра, она станет использоваться в качестве конфигурации по умолчанию.

В начало
[Topic 228358]

Удаление конфигураций фильтра событий

Чтобы удалить ранее сохраненную конфигурацию фильтра:

  1. В разделе События веб-интерфейса KUMA нажмите на значок SaveButton рядом с поисковым запросом фильтра и нажмите значок delete-icon рядом с конфигурацией, которую требуется удалить.
  2. Нажмите ОК.

Конфигурация фильтра удалена для всех пользователей KUMA.

В начало
[Topic 228359]

Поддерживаемые функции ClickHouse

В KUMA поддерживаются следующие функции ClickHouse:

  • Арифметические функции.
  • Массивы – все функции, кроме:
    • has;
    • range;
    • функций, в которых обязательны к использованию функции высшего порядка (стрелочные лямбда-выражения (->)).
  • Функции сравнения: все операторы, кроме == и less.
  • Логические функции: только функция not.
  • Функции преобразования типов.
  • Функции для работы с датами и временем: все функции, кроме date_add и date_sub.
  • Функции для работы со строками.
  • Функции поиска в строках – все функции, кроме:
    • position;
    • multiSearchAllPositions, multiSearchAllPositionsUTF8, multiSearchFirstPosition, multiSearchFirstIndex, multiSearchAny;
    • like и ilike;
  • Условные функции: только обычный оператор if (тернарный оператор и оператор miltif не поддерживаются).
  • Математические функции.
  • Функции округления.
  • Функции разбиения и слияния строк и массивов.
  • Битовые функции.
  • Функции для работы с UUID.
  • Функции для работы с URL.
  • Функции для работы с IP-адресами.
  • Функции для работы с Nullable-аргументами.
  • Функции для работы с географическими координатами.

В KUMA 2.1.3 исправлены ошибки с работой оператора DISTINCT. При этом необходимо использовать нотацию типа SELECT DISTINCT SourceAddress as Addressess FROM <остальная часть запроса>.

В KUMA 2.1.1 операторы SELECT DISTINCT SourceAddress или SELECT DISTINCT(SourceAddress), или SELECT DISTINCT ON (SourceAddress) работают некорректно.

Функции поиска и замены в строках, а также функции из остальных разделов не поддерживаются.

Подробнее об SQL см. в справке ClickHouse.

В начало
[Topic 235093]

Просмотр информации о событии

Чтобы просмотреть информацию о событии:

  1. В окне веб-интерфейса программы выберите раздел События.
  2. Выполните поиск событий с помощью конструктора запросов или введя запрос в строке поиска.

    Отобразится таблица событий.

  3. Выберите событие, информацию о котором вы хотите просмотреть.

    Откроется окно с информацией о событии.

В правой части окна отображается область деталей Информация о событии со списком параметров события и их значений. В этой области деталей можно:

  • Включить выбранное поле в поиск или исключить его из поиска, нажав на filter-plus и filter-minus рядом со значением параметра.
  • По хешу файла в поле FileHash раскрывается список, в котором вы можете выбрать одно из следующих действий:
  • Открыть окно со сведениями об активе, если он упоминается в полях события и зарегистрирован в приложении.
  • По ссылке с именем коллектора в поле Service вы можете просмотреть параметры сервиса, зарегистрировавшего событие.

    Вы также можете привязать событие к алерту, если программа находится в режиме расследования алерта, и открыть окно Информация о корреляционном событии, если выбранное событие является корреляционным.

В области деталей Информация о событии в качестве значений перечисленных ниже параметров вместо идентификатора показывается название описываемого объекта. При этом, если изменить фильтрацию событий по этому параметру (например, нажать на значок filter-minus, чтобы исключить из результатов поиска события с определенной комбинацией параметр-значение), в SQL-запрос будет добавлен идентификатор объекта, а не его название:

  • TenantID
  • SeriviceID
  • DeviceAssetID
  • SourceAssetID
  • DestinationAssetID
  • SourceAccountID
  • DestinationAccountID
В начало
[Topic 218039]

Экспорт событий

Из KUMA можно экспортировать информацию о событиях в TSV-файл. Выборка событий, которые будут экспортированы в TSV-файл, зависит от настроек фильтра. Информация экспортируется из столбцов, которые в данный момент отображаются в таблице событий, при этом столбцы в файле наполняются доступными данными, даже если в таблице событий в веб-интерфейсе KUMA они не отображались из-за особенностей SQL-запроса.

Чтобы экспортировать информацию о событиях:

  1. В разделе События веб-интерфейса KUMA откройте раскрывающийся список MoreButton и выберите Экспортировать в формат TSV.

    Новая задача экспорта TSV-файла создается в разделе Диспетчер задач.

  2. Найдите созданную вами задачу в разделе Диспетчер задач.

    Когда файл будет готов к загрузке, в строке задачи в столбце Статус отобразится значок DoneIcon.

  3. Нажмите на название типа задачи и в раскрывающемся списке выберите Загрузить.

    TSV-файл с информацией о событиях будет загружен с использованием настроек вашего браузера. Имя файла по умолчанию: event-export-<date>_<time>.tsv.

Файл сохраняется в соответствии с настройками вашего веб-браузера.

В начало
[Topic 217871]

Настройка таблицы событий

В разделе События отображаются ответы на SQL-запросы пользователя, представленные в виде таблицы. Поля, выбранные в пользовательском запросе, отображаются в конце таблицы, после столбцов по умолчанию. Таблицу можно обновлять.

Следующие столбцы в таблице событий отображаются по умолчанию:

  • Тенант.
  • Timestamp.
  • Name.
  • DeviceProduct.
  • DeviceVendor.
  • DestinationAddress.
  • DestinationUserName.

В KUMA можно настроить отображаемый набор полей событий и порядок их отображения. Выбранную конфигурацию можно сохранить.

При использовании для фильтрации событий SQL-запросов с группировкой и агрегацией данных статистика недоступна, а состав и порядок столбцов зависит от SQL-запроса.

В таблице событий, в области деталей событий, в окне алертов, а также в виджетах в качестве значений полей SourceAssetID, DestinationAssetID, DeviceAssetID, SourceAccountID, DestinationAccountID и ServiceID вместо идентификаторов отображаются названия активов, учетных записей или сервисов. При экспорте событий в файл идентификаторы сохраняются, однако в файл добавляются столбцы с названиями. Идентификаторы также отображаются при наведении указателя мыши на названия активов, учетных записей или сервисов.

Поиск по полям с идентификаторами возможен только с помощью идентификаторов.

Чтобы настроить поля, отображаемые в таблице событий:

  1. В правом верхнем углу таблицы событий нажмите значок gear.

    Откроется окно для выбора полей событий, которые требуется отображать в таблице событий.

  2. Установите флажки напротив полей, которые требуется отображать в таблице. С помощью поля Поиск можно найти нужные поля.

    Вы можете отобразить в таблице любое поле события из модели данных событий KUMA. Параметры Timestamp (Время) и Name (Название) всегда отображаются в таблице. С помощью кнопки По умолчанию можно вернуть исходные настройки отображения таблицы событий.

    Когда вы устанавливаете флажок, таблица событий обновляется и добавляется новый столбец. При снятии флажка столбец исчезает.

    Столбец можно удалить из таблицы событий, если нажать на его заголовок и в раскрывающемся списке выбрать Скрыть столбец.

  3. При необходимости измените порядок отображения столбцов, перетаскивая заголовки столбцов в таблице событий.
  4. Если вы хотите сортировать события по определенному столбцу, нажмите на его заголовок и в раскрывающемся списке выберите один из вариантов: По возрастанию или По убыванию.

Выбранные поля событий отобразятся в таблице раздела События в качестве столбцов в указанном вами порядке.

В начало
[Topic 228361]

Обновление таблицы событий

Таблицу событий можно обновлять, перегружая страницу веб-браузера. Можно также настроить автоматическое обновление таблицы событий, установив частоту обновления. По умолчанию автоматическое обновление отключено.

Чтобы включить автоматическое обновление,

Выберите частоту обновления в раскрывающемся списке refresh:

  • 5 секунд
  • 15 секунд
  • 30 секунд
  • 1 минута
  • 5 минут
  • 15 минут

Таблица событий обновляется автоматически.

Чтобы выключить автоматические обновление,

Выберите Не обновлять в раскрывающемся списке refresh.

В начало
[Topic 217961]

Получение статистики по событиям в таблице

Вы можете получить статистику по текущей выборке событий, отображаемой в таблице событий. Выборка событий зависит от параметров фильтрации.

Чтобы получить статистику:

в правом верхнем углу таблицы событий в раскрывающемся списке MoreButton выберите Статистика или в таблице событий нажмите на любое значение и в открывшемся контекстном меню выберите Статистика.

Появится область деталей Статистика со списком параметров текущей выборки событий. Числа возле каждого параметра указывают количество событий в выборке, для которых задан этот параметр. Если параметр раскрыть, отображается его пять наиболее частых значений. С помощью поля Поиск можно найти нужные параметры.

В отказоустойчивой конфигурации для всех полей событий, которые содержат FQDN Ядра, в разделе Статистика будет отображаться не FQDN, а "core".

В окне Статистика можно менять фильтр событий.

При использовании для фильтрации событий SQL-запросов с группировкой и агрегацией данных статистика недоступна.

В начало
[Topic 228360]

Просмотр информации о корреляционном событии

Вы можете просматривать подробные сведения о корреляционном событии в окне Информация о корреляционном событии.

Чтобы просмотреть информацию о корреляционном событии:

  1. В разделе События веб-интерфейса KUMA нажмите на корреляционное событие.

    Вы можете использовать фильтры для поиска корреляционных событий, присвоив значение correlated параметру Type.

    Откроется область деталей выбранного события. Если выбранное событие является корреляционным, в нижней части области деталей будет отображаться кнопка Подробные сведения.

  2. Нажмите на кнопку Подробные сведения.

Откроется окно корреляционного события. Название события отображается в левом верхнем углу окна.

В разделе Информация о корреляционном событии окна корреляционного события отображаются следующие данные:

  • Уровень важности корреляционного события  – важность корреляционного события.
  • Правило корреляции – название правила корреляции, которое породило корреляционное событие. Название правила представлено в виде ссылки, по которой можно перейти к настройкам этого правила корреляции.
  • Уровень важности правила корреляции  – важность правила корреляции, вызвавшего корреляционное событие.
  • Идентификатор правила корреляции – идентификатор правила корреляции, которое породило корреляционное событие.
  • Тенант – название тенанта, которому принадлежит корреляционное событие.

Раздел Связанные события окна корреляционного события содержит таблицу событий, относящихся к корреляционному событию. Это базовые события, в результате обработки которых было создано корреляционное событие. При выборе события в правой части окна веб-интерфейса открывается область деталей.

Ссылка Найти в событиях справа от заголовка раздела используется для расследования алерта.

Раздел Связанные активы окна корреляционного события содержит таблицу узлов, относящихся к корреляционному событию. Эта информация поступает из базовых событий, связанных с корреляционным событием. При нажатии на название актива открывается окно Информация об активе.

Раздел Связанные пользователи окна корреляционного события содержит таблицу пользователей, относящихся к корреляционному событию. Эта информация поступает из базовых событий, связанных с корреляционным событием.

См. также:

Об обнаружениях

Коррелятор

Расследование алерта
В начало
[Topic 217946]

Нормализаторы

Нормализаторы предназначены для приведения исходных событий, которые поступают из разных источников в различных форматах, к модели данных событий KUMA. Нормализованные события становятся доступны для обработки другими ресурсами и сервисами KUMA.

Нормализатор состоит из основного и необязательных дополнительных правил парсинга событий. С помощью создания основного и множества дополнительных правил парсинга можно реализовать сложную логику обработки событий. Данные передаются по древовидной структуре правил парсинга в зависимости от условий, заданных в параметре

Условия дополнительной нормализации. Последовательность создания правил парсинга имеет значение: событие обрабатывается последовательно и последовательность обработки обозначена стрелками.

Нормализатор создается в несколько этапов:

  1. Подготовка к созданию нормализатора

    Нормализатор можно создать в веб-интерфейсе KUMA:

    Затем в нормализаторе необходимо создать правила парсинга.

  2. Создание основного правила парсинга событий

    Основное правило парсинга создается с помощью кнопки Добавить парсинг событий. При этом открывается окно Парсинг событий, в котором вы можете задать параметры основного правила парсинга:

    Основное правило парсинга событий отображается в нормализаторе в виде темного кружка. Параметры основного правила парсинга можно просмотреть или изменить, нажав на его кружок. При наведении на кружок отображается значок плюса: при нажатии на него можно добавить дополнительные правила парсинга.

    Название основного правила парсинга используется в KUMA в качестве названия нормализатора.

  3. Создание дополнительных правил парсинга событий

    При нажатии на значок плюса, который отображается при наведении указателя мыши на кружок или блок, обозначающей нормализатор событий, откроется окно Дополнительный парсинг событий, в котором вы можете задать параметры дополнительного правила парсинга:

    Дополнительное правило парсинга событий отображается в нормализаторе виде темного блока. На блоке указаны условия, при котором дополнительное правило парсинга будет задействовано, название дополнительного правила парсинга, а также поле события, при наличии которого данные передаются в нормализатор. Параметры дополнительного правила парсинга можно просмотреть или изменить, нажав его блок.

    Если навести указатель мыши на дополнительный нормализатор, отобразится кнопка со значком плюса, с помощью которой можно создать новое дополнительное правило парсинга событий. С помощью кнопки со значком корзины нормализатор можно удалить.

  4. Завершение создания нормализатора

    Создание нормализатора завершается нажатием кнопки Сохранить.

В верхнем правом углу в поле поиска можно искать дополнительные правила парсинга по названию.

Для ресурсов нормализатора в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов.

Если вы, меняя параметры набора ресурсов коллектора, измените или удалите преобразования в подключенном к нему нормализаторе, правки не сохранятся, а сам нормализатор может быть поврежден. При необходимости изменить преобразования в нормализаторе, который уже является частью сервиса, вносите правки непосредственно в нормализатор в разделе веб-интерфейса РесурсыНормализаторы.

См. также:

Требования к переменным
В начало
[Topic 217942]

Параметры парсинга событий

При создании правил парсинга событий в окне параметров нормализатора в закладке Схема нормализации вы можете настроить правила приведения поступающих событий к формату KUMA.

Доступные параметры:

  • Название (обязательно) – название правил парсинга. Должно содержать от 1 до 128 символов в кодировке Unicode. Название основного правила парсинга будет использоваться в качестве названия нормализатора.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.

    Этот параметр недоступен для дополнительных правил парсинга.

  • Метод парсинга (обязательно) – выпадающий список для выбора типа входящих событий. В зависимости от выбора можно будет воспользоваться преднастроенными правилами сопоставления полей событий или же задать свои собственные правила. При выборе некоторых методов парсинга могут стать доступны дополнительные параметры, требуемые для заполнения.

    Доступные методы парсинга:

    • json

      Этот метод парсинга используется для обработки данных в формате JSON, в которых каждый объект, включая его вложенные объекты, занимает одну строку файла.

      При обработке файлов с иерархически выстроенными данными можно обращаться к полям вложенных объектов, поочередно через точку указывая названия параметров. Например, к параметру username из строки "user":{"username":"system:node:example-01"} можно обратиться с помощью запроса user.username.

      Файлы обрабатываются построчно. Многострочные объекты с вложенными структурами могут быть нормализованны некорректно.

      В сложных схемах нормализации, где используются дополнительные нормализаторы, все вложенные объекты обрабатываются на первом уровне нормализации за исключением случаев, когда условия дополнительной нормализации не заданы и, следовательно, в дополнительный нормализатор передается обрабатываемое событие целиком.

      В качестве разделителя строк могут выступать символы \n и \r\n. Строки должны быть в кодировке UTF-8.

    • cef

      Этот метод парсинга используется для обработки данных в формате CEF.

      При выборе этого метода можно воспользоваться преднастроенными правилами преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию.

    • regexp

      Этот метод парсинга используется для создания собственных правил обработки данных в формате с использованием регулярных выражений.

      В поле блока параметров Нормализация необходимо добавить регулярное выражение (синтаксис RE2) c именованными группами захвата: имя группы и ее значение будут считаться полем и значением "сырого" события, которое можно будет преобразовать в поле события формата KUMA.

      Чтобы добавить правила обработки событий:

      1. Скопируйте в поле Примеры событий пример данных, которые вы хотите обработать. Это необязательный, но рекомендуемый шаг.
      2. В поле блока параметров Нормализация добавьте регулярное выражение c именованными группами захвата в синтаксисе RE2, например "(?P<name>regexp)". Регулярное выражение, добавленное в параметр Нормализация, должно полностью совпадать с событием. Также при разработке регулярного выражения рекомендуется использовать специальные символы, обозначающие начало и конец текста: ^, $.

        Можно добавить несколько регулярных выражений с помощью кнопки Добавить регулярное выражение. При необходимости удалить регулярное выражение, воспользуйтесь кнопкой cross.

      3. Нажмите на кнопку Перенести названия полей в таблицу.

        Имена групп захвата отображаются в столбце Поле KUMA таблицы Сопоставление. Теперь в столбце напротив каждой группы захвата можно выбрать соответствующее ей поле KUMA или, если вы именовали группы захвата в соответствии с форматом CEF, можно воспользоваться автоматическим сопоставлением CEF, поставив флажок Использовать синтаксис CEF при нормализации.

      Правила обработки событий добавлены.

    • syslog

      Этот метод парсинга используется для обработки данных в формате syslog.

      При выборе этого метода можно воспользоваться преднастроенными правилами преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию.

    • csv

      Этот метод парсинга используется для создания собственных правил обработки данных в формате CSV.

      При выборе этого метода необходимо в поле Разделитель указать разделитель значений в строке. В качестве разделителя допускается использовать любой однобайтовый символ ASCII.

    • kv

      Этот метод парсинга используется для обработки данных в формате ключ-значение.

      При выборе этого метода необходимо указать значения в следующих обязательных полях:

      • Разделитель пар – укажите символ, которые будет служит разделителем пар ключ-значение. Допускается указать любое односимвольное (1 байт) значение при условии, что символ не будет совпадать с разделителем значений.
      • Разделитель значений – укажите символ, который будет служить разделителем между ключом и значением. Допускается указать любое односимвольное (1 байт) значение при условии, что символ не будет совпадать с разделителем пар ключ-значение.
    • xml

      Этот метод парсинга используется для обработки данных в формате XML, в которых каждый объект, включая его вложенные объекты, занимает одну строку файла. Файлы обрабатываются построчно.

      При выборе этого метода в блоке параметров Атрибуты XML можно указать ключевые атрибуты, которые следует извлекать из тегов. Если в структуре XML в одном тэге есть атрибуты с разными значениями, можно определить нужное значение, указав ключ к нему в столбце Исходные данные таблицы Сопоставление.

      Чтобы добавить ключевые атрибуты XML,

      Нажмите на кнопку Добавить поле и в появившемся окне укажите путь к нужному атрибуту.

      Можно добавить несколько атрибутов. Атрибуты можно удалить по одному с помощью значка с крестиком или все сразу с помощью кнопки Сбросить.

      Если ключевые атрибуты XML не указаны, при сопоставлении полей уникальный путь к значению XML будет представлен последовательностью тегов.

      Нумерация тегов

      Начиная с версии KUMA 2.1.3 доступна Нумерация тегов. Опция предназначена для выполнения автоматической нумерации тегов в событиях в формате XML, чтобы можно было распарсить событие с одинаковыми тэгами или неименованными тэгами, такими как <Data>.

      В качестве примера мы используем функцию Нумерация тегов для нумерации тегов атрибута EventData события Microsoft Windows PowerShell event ID 800.

      PowerShell Event ID 800

      Чтобы выполнить парсинг таких событий необходимо:

      • Настроить нумерацию тегов.
      • Настроить мапинг данных для пронумерованных тегов с полями события KUMA.

      Одновременное применение функций Атрибуты XML и Нумерация тегов приведёт к некорректной работе нормализатора. Если атрибут содержит неименованные тэги или одинаковые тэги, мы рекомендуем использовать функцию Нумерация тегов. Если атрибут содержит только именованные тэги, используйте Атрибуты XML.

      Чтобы настроить парсинг событий с тэгами, содержащими одинаковое название или тэги без названия:

      1. Создайте новый нормализатор или откройте существующий нормализатор для редактирования.
      2. В окне нормализатора Основной парсинг событий в раскрывающемся списке Метод парсинга выберите значение xml и в поле Нумерация тегов нажмите Добавить поле.

        В появившемся поле укажите полный путь к тэгу, элементам которого следует присвоить порядковый номер. Например, Event.EventData.Data. Первый номер, который будет присвоен тэгу – 0. Если тэг пустой, например, <Data />, ему также будет присвоен порядковый номер.

      3. Чтобы настроить мапинг данных, в группе параметров Сопоставление нажмите Добавить строку и выполните следующие действия:
        1. В появившейся строке в поле Исходные данные укажите полный путь к тэгу и его индекс. Для события Microsoft Windows из примера выше полный путь с индексами будет выглядеть следующим образом:
          • Event.EventData.Data.0
          • Event.EventData.Data.1
          • Event.EventData.Data.2 и так далее
        2. В раскрывающемся списке Поле KUMA выберите поле в событии KUMA, в которое попадет значение из пронумерованного тэга после выполнения парсинга.
      4. Чтобы сохранить изменения:
        • Если вы создали новый нормализатор, нажмите Сохранить.
        • Если вы редактировали существующий нормализатор, нажмите Обновить параметры в коллекторе, к которому привязан нормализатор.

      Настройка парсинга завершена.

    • netflow5

      Этот метод парсинга используется для обработки данных в формате NetFlow v5.

      При выборе этого метода можно воспользоваться преднастроенными правилами преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию.

      В правилах сопоставления по умолчанию для типа netflow5 тип протокола не указывается в полях событий KUMA. При парсинге данных в формате NetFlow в закладке нормализатора Обогащение следует создать правило обогащения данных типа constant, добавляющее значение netflow в целевое поле DeviceProduct.

    • netflow9

      Этот метод парсинга используется для обработки данных в формате NetFlow v9.

      При выборе этого метода можно воспользоваться преднастроенными правилами преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию.

      В правилах сопоставления по умолчанию для типа netflow9 тип протокола не указывается в полях событий KUMA. При парсинге данных в формате NetFlow в закладке нормализатора Обогащение следует создать правило обогащения данных типа constant, добавляющее значение netflow в целевое поле DeviceProduct.

    • sflow5

      Этот метод парсинга используется для обработки данных в формате sFlow5.

      При выборе этого метода можно воспользоваться преднастроенными правилами преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию.

    • ipfix

      Этот метод парсинга используется для обработки данных в формате IPFIX.

      При выборе этого метода можно воспользоваться преднастроенными правилами преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию.

      В правилах сопоставления по умолчанию для типа ipfix тип протокола не указывается в полях событий KUMA. При парсинге данных в формате NetFlow в закладке нормализатора Обогащение следует создать правило обогащения данных типа constant, добавляющее значение netflow в целевое поле DeviceProduct.

    • sql

      Нормализатор использует этот метод для обработки данных, полученных с помощью выборки из базы данных.

  • Сохранить исходное событие (обязательно) – с помощью этого раскрывающегося списка можно указать, надо ли сохранять исходное событие во вновь созданном нормализованном событии. Доступные значения:
    • Не сохранять – не сохранять исходное событие. Это значение используется по умолчанию.
    • При возникновении ошибок – сохранять исходное событие в поле Raw нормализованного события, если в процессе парсинга возникли ошибки. Это значение удобно использовать при отладке сервиса: в этом случае появление у событий непустого поля Raw будет являться признаком неполадок.

      Если поля с названиями *Address или *Date* не соответствуют правилам нормализации, такие поля игнорируются. При этом не возникает ошибка нормализации и значения полей не попадают в поле Raw нормализованного события, даже если был указан параметр Сохранить исходное событиеПри возникновении ошибок.

    • Всегда – сохранять сырое событие в поле Raw нормализованного события.

    Этот параметр недоступен для дополнительных правил парсинга.

  • Сохранить дополнительные поля (обязательно) – в этом раскрывающемся списке можно выбрать, хотите ли вы сохранять поля и их значения, для которых не настроены правила сопоставления (см. ниже). Эти данные сохраняются в поле события Extra в виде массива. Нормализованные события можно искать и фильтровать по данным, хранящимся в поле Extra.

    Фильтрация по данным из поля события Extra

    Условия для фильтров по данным из поля события Extra:

    • Условие – Если.
    • Левый операнд – поле события.
    • В поле события вы можете указать одно из следующих значений:
      • Поле Extra.
      • Значение из поля Extra в следующем формате:

        Extra.<название поля>

        Например, Extra.app.

        Значение этого типа указывается вручную.

      • Значение из массива, записанного в поле Extra, в следующем формате:

        Extra.<название поля>.<элемент массива>

        Например, Extra.array.0.

        Нумерация значений в массиве начинается с 0.

        Значение этого типа указывается вручную.

        Чтобы работать со значением из поля Extra на глубине 3 и ниже, следует использовать кавычки ``. Например, `Extra.lev1.lev2.lev3`.

    • Оператор – =.
    • Правый операнд – константа.
    • Значение – значение, по которому требуется фильтровать события.

    По умолчанию дополнительные поля не сохраняются.

  • Описание – описание ресурса: до 4000 символов в кодировке Unicode.

    Этот параметр недоступен для дополнительных правил парсинга.

  • Примеры событий – в это поле можно поместить пример данных, которые вы хотите обработать.

    Этот параметр недоступен для методов парсинга netflow5, netflow9, sflow5, ipfix, sql.

    Поле Примеры событий заполняется данными, полученными из сырого события, если парсинг события был выполнен успешно и тип полученных из сырого события данных совпадает с типом поля KUMA.

    Например, значение "192.168.0.1", заключенное в кавычки не будет отображено в поле SourceAddress, при этом значение 192.168.0.1 будет отображено в поле Примеры событий.

  • Блок параметров Сопоставление – здесь можно настроить сопоставление полей исходного события с полями события в формате KUMA:
    • Исходные данные – столбец для названий полей исходного события, которые вы хотите преобразовать в поля события KUMA.

      Если рядом с названиями полей в столбце Исходные данные нажать на кнопку wrench-new, откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA. В окне Преобразования добавленные правила можно менять местами, перетягивая их за значок DragIcon, а также удалять с помощью значка cross-black.

      Доступные преобразования

      Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

      Доступные преобразования:

      • lower – используется для перевода всех символов значения в нижний регистр
      • upper – используется для перевода всех символов значения в верхний регистр
      • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
      • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
      • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
        • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
        • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
      • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
      • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
      • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
      • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
        • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
        • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
      • Конвертация закодированных строк в текст:
        • decodeHexString – используется для конвертации HEX-строки в текст.
        • decodeBase64String – используется для конвертации Base64-строки в текст.
        • decodeBase64URLString – используется для конвертации Base64url-строки в текст.

        При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.

        При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, такая строка будет обрезана и не будет раскодирована.

        Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, такая строка будет обрезана до размера этого поля события.

    • Поле KUMA – раскрывающийся список для выбора требуемых полей событий KUMA. Поля можно искать, вводя в поле их названия.
    • Подпись – в этом столбце можно добавить уникальную пользовательскую метку полям событий, которые начинаются с DeviceCustom* и Flex*.

    Новые строки таблицы можно добавлять с помощью кнопки Добавить строку. Строки можно удалять по отдельности с помощью кнопки cross или все сразу с помощью кнопки Очистить все.

    Если вы загрузили данные в поле Примеры событий, в таблице отобразится столбец Примеры с примерами значений, переносимых из поля исходного события в поле события KUMA.

    Если размер поля события KUMA оказывается меньше длины помещаемого в него значения, значение обрезается до размера поля события.

В начало
[Topic 221932]

Обогащение в нормализаторе

При создании правил парсинга событий в окне параметров нормализатора в закладке Обогащение вы можете настроить правила дополнения полей нормализованного события другими данными с помощью правил обогащения. Эти правила хранятся в параметрах нормализатора, в котором они были созданы.

Обогащения создаются с помощью кнопки Добавить обогащение. Правил обогащения может быть несколько. Правила обогащения можно удалять с помощью кнопки cross-black.

Параметры, доступные в блоке параметров правила обогащения:

  • Тип источника (обязательно) – раскрывающийся список для выбора типа обогащения. В зависимости от выбранного типа отобразятся дополнительные параметры, которые также потребуется заполнить.

    Доступные типы источников обогащения:

    • константа

      Этот тип обогащения используется, если в поле события необходимо добавить константу. Параметры этого типа обогащения:

      • В поле Константа укажите значение, которое следует добавить в поле события. Значение должно состоять не более чем из 255 символов в кодировке Unicode. Если оставить это поле пустым, существующее значение поля события будет удалено.
      • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.

    • словарь

      Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Словарь.

      При выборе этого типа в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.

    • таблица

      Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Таблица.

      При выборе этого типа обогащения в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.

      Также в таблице Сопоставление необходимо настроить, из каких полей словаря и в какие поля события будут передаваться данные:

      • В столбце Поле словаря необходимо выбрать поле словаря. Доступные поля зависят от выбранного ресурса словаря.
      • В столбце Поле KUMA необходимо выбрать поле события, в которое следует записать значение. Для некоторых выбранных полей (*custom* и *flex*) в столбце Подпись можно задать название для помещаемых в них данных.

      Новые строки в таблицу можно добавлять с помощью кнопки Добавить элемент. Столбцы можно удалить с помощью кнопки cross.

    • событие

      Этот тип обогащения используется, если в поле события необходимо записать значение другого поля события. Параметры этого типа обогащения:

      • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
      • В раскрывающемся списке Исходное поле выберите поле события, значение которого будет записано в целевое поле.
      • Если нажать на кнопку wrench-new, откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA.

        Доступные преобразования

        Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

        Доступные преобразования:

        • lower – используется для перевода всех символов значения в нижний регистр
        • upper – используется для перевода всех символов значения в верхний регистр
        • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
        • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
        • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
          • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
          • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
        • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
        • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
        • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
        • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
          • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
          • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
        • Конвертация закодированных строк в текст:
          • decodeHexString – используется для конвертации HEX-строки в текст.
          • decodeBase64String – используется для конвертации Base64-строки в текст.
          • decodeBase64URLString – используется для конвертации Base64url-строки в текст.

          При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.

          При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, такая строка будет обрезана и не будет раскодирована.

          Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, такая строка будет обрезана до размера этого поля события.

    • шаблон

      Этот тип обогащения используется, если в поле события необходимо записать значение, полученное при обработке шаблонов Go. Параметры этого типа обогащения:

      • В поле Шаблон поместите шаблон Go.

        Имена полей событий передаются в формате {{.EventField}}, где EventField – это название поля события, значение которого должно быть передано в скрипт.

        Пример: Атака на {{.DestinationAddress}} со стороны {{.SourceAddress}}.

      • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
  • Целевое поле (обязательно) – раскрывающийся список для выбора поля события KUMA, в которое следует поместить данные.

    Этот параметр недоступен для типа источника обогащения таблица.

В начало
[Topic 242993]

Условия передачи данных в дополнительный нормализатор

При создании дополнительных правил парсинга событий вы можете задать условия, при выполнении которых события будут поступать на обработку в это правило парсинга. Условия можно задать в окне Дополнительное правило парсинга в закладке Условия дополнительной нормализации. В основных правилах парсинга эта закладка отсутствует.

Доступные параметры:

  • Поле, которое следует передать в нормализатор – используется для указания поля события в том случае, если вы хотите отправлять на дополнительный парсинг только события с заданными в параметрах нормализатора полями.

    Если оставить это поле пустым, в дополнительный нормализатор будет передано событие целиком.

  • Блок фильтров – используется для формулирования сложных условий, которым должны удовлетворять события, поступающие в нормализатор.

    С помощью кнопки Добавить условие можно добавить строку с полями для определения условия (см. ниже).

    С помощью кнопки Добавить группу можно добавить группу фильтров. Можно переключать групповые операторы между И, ИЛИ, НЕ. В группы фильтров можно добавить другие группы условий и отдельные условия.

    Условия и группы можно менять местами, перетягивая их за значок DragIcon, а также удалять с помощью значка cross.

Параметры условий фильтра:

  • Левый операнд и Правый операнд – используются для указания значений, которые будет обрабатывать оператор.

    В левом операнде следует указывать исходное поле событий, поступающих в нормализатор. Например, если в окне Основной парсинг событий настроено сопоставление eventType - DeviceEventClass, то в окне Дополнительный парсинг событий на вкладке Условия дополнительной нормализации в поле левого операнда для фильтра следует указать eventType. Данные обрабатываются только как текстовые строки.

  • Операторы:
    • = – полное совпадение левого и правого операндов.
    • startsWith – левый операнд начинается с символов, указанных в правом операнде.
    • endsWith – левый операнд заканчивается символами, указанными в правом операнде.
    • match – левые операнд соответствует регулярному выражению (RE2), указанному в правом операнде.
    • in – левый операнд соответствует одному из значений, указанных в правом операнде.

Поступающие данные можно предварительно преобразовать, если нажать на кнопку wrench-new: откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как над ними будут совершены какие-либо действия. В окне Преобразования добавленные правила можно менять местами, перетягивая их за значок DragIcon, а также удалять с помощью значка cross-black.

Доступные преобразования

Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

Доступные преобразования:

  • lower – используется для перевода всех символов значения в нижний регистр
  • upper – используется для перевода всех символов значения в верхний регистр
  • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
  • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
  • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
    • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
    • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
  • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
  • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
  • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
  • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
    • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
    • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
  • Конвертация закодированных строк в текст:
    • decodeHexString – используется для конвертации HEX-строки в текст.
    • decodeBase64String – используется для конвертации Base64-строки в текст.
    • decodeBase64URLString – используется для конвертации Base64url-строки в текст.

    При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.

    При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, такая строка будет обрезана и не будет раскодирована.

    Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, такая строка будет обрезана до размера этого поля события.

В начало
[Topic 221934]

Поддерживаемые источники событий

KUMA поддерживает нормализацию событий, которые поступают от систем, перечисленных в таблице "Поддерживаемые источники событий". Нормализаторы для указанных систем включены в поставку.

Поддерживаемые источники событий

Название системы

Название нормализатора

Тип

Описание нормализатора

1C EventJournal

[OOTB] 1C EventJournal Normalizer

xml

Предназначен для обработки журнала событий системы 1С. Источник событий — журнал регистрации 1C.

1C TechJournal

[OOTB] 1C TechJournal Normalizer

regexp

Предназначен для обработки технологического журнала событий. Источник событий — технологический журнал 1С.

Absolute Data and Device Security (DDS)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

AhnLab Malware Defense System (MDS)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Ahnlab UTM

[OOTB] Ahnlab UTM

regexp

Предназначен для обработки событий от системы Ahnlab. Источник событий - системные, операционные журналы, подключения, модуль IPS.

AhnLabs MDS

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Apache Cassandra

[OOTB] Apache Cassandra file

regexp

Предназначен для обработки событий в журналах СУБД Apache Cassandra версии 4.0.

Aruba ClearPass

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Avigilon Access Control Manager (ACM)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Ayehu eyeShare

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Barracuda Networks NG Firewall

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

BeyondTrust Privilege Management Console

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

BeyondTrust’s BeyondInsight

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Bifit Mitigator

[OOTB] Bifit Mitigator Syslog

Syslog

Предназначен для обработки событий от системы защиты от DDOS Mitigator, поступающих по Syslog.

Bloombase StoreSafe

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

BMC CorreLog

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Bricata ProAccel

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Brinqa Risk Analytics

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Broadcom Symantec Advanced Threat Protection (ATP)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Broadcom Symantec Endpoint Protection

[OOTB] Broadcom Symantec Endpoint Protection

regexp

Предназначен для обработки событий от системы Symantec Endpoint Protection.

Broadcom Symantec Endpoint Protection Mobile

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Broadcom Symantec Threat Hunting Center

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Canonical LXD

[OOTB] Canonical LXD syslog

Syslog

Предназначен для обработки событий, поступающих по syslog от системы Canonical LXD версии 5.18.

Checkpoint

[OOTB] Checkpoint Syslog CEF by CheckPoint

Syslog

Предназначен для обработки событий, поступающих от источника событий Checkpoint по протоколу Syslog в формате CEF.

Cisco Access Control Server (ACS)

[OOTB] Cisco ACS syslog

regexp

Предназначен для обработки событий системы Cisco Access Control Server (ACS), поступающих по Syslog.

Cisco ASA

[OOTB] Cisco ASA Extended v 0.1

Syslog

Предназначен для обработки событий устройств Cisco ASA. Cisco ASA базовый расширенный набор событий.

Cisco Email Security Appliance (WSA)

[OOTB] Cisco WSA AccessFile

regexp

Предназначен для обработки журнала событий прокси-сервера Cisco Email Security Appliance (WSA), файл access.log.

Cisco Identity Services Engine (ISE)

[OOTB] Cisco ISE syslog

regexp

Предназначен для обработки событий системы Cisco Identity Services Engine (ISE), поступающих по Syslog.

Cisco Netflow v5

[OOTB] NetFlow v5

netflow5

Предназначен для обработки событий, поступающих Cisco Netflow версии 5.

Cisco NetFlow v9

[OOTB] NetFlow v9

netflow9

Предназначен для обработки событий, поступающих Cisco Netflow версии 9.

Cisco Prime

[OOTB] Cisco Prime syslog

Syslog

Предназначен для обработки событий системы системы Cisco Prime версии 3.10, поступающих по syslog.

Cisco Secure Email Gateway (SEG)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Cisco Secure Firewall Management Center

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Citrix NetScaler

[OOTB] Citrix NetScaler

regexp

Предназначен для обработки событий, поступающих от балансировщика нагрузки Citrix Netscaller версии 13.7.

Claroty Continuous Threat Detection

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

CloudPassage Halo

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Сodemaster Mirada

[OOTB] Сodemaster Mirada syslog

Syslog

Предназначен для обработки событий системы Сodemaster Mirada, поступающих по syslog.

Corvil Network Analytics

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Cribl Stream

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

CrowdStrike Falcon Host

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

CyberArk Privileged Threat Analytics (PTA)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

CyberPeak Spektr

[OOTB] CyberPeak Spektr syslog

Syslog

Предназначен для обработки событий системы CyberPeak Spektr версии 3, поступающих по syslog.

DeepInstinct

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Delinea Secret Server

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Digital Guardian Endpoint Threat Detection

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

DNS сервер BIND

[OOTB] BIND Syslog

[OOTB] BIND file

Syslog

regexp

[OOTB] BIND Syslog предназначен для обработки событий DNS-сервера BIND, поступающих по Syslog. [OOTB] BIND file предназначен для обработки журналов событий DNS-сервера BIND.

Dovecot

[OOTB] Dovecot Syslog

Syslog

Предназначен для обработки событий почтового сервера Dovecot, поступающих по Syslog. Источник событий — журналы POP3/IMAP.

Dragos Platform

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

EclecticIQ Intelligence Center

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Edge Technologies AppBoard and enPortal

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Eltex MES Switches

[OOTB] Eltex MES Switches

regexp

Предназначен для обработки событий от сетевых устройств Eltex.

Eset Protect

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

F5 Big­IP Advanced Firewall Manager (AFM)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

FFRI FFR yarai

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

FireEye CM Series

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

FireEye Malware Protection System

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Forcepoint NGFW

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Forcepoint SMC

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Fortinet FortiGate

[OOTB] Syslog-CEF

regexp

Предназначен для обработки событий в формате CEF.

Fortinet FortiGate

[OOTB] FortiGate syslog KV

Syslog

Предназначен для обработки событий, поступающих от межсетевых экранов FortiGate по syslog. Источник событий - журналы FortiGate в формате key-value.

Fortinet Fortimail

[OOTB] Fortimail

regexp

Предназначен для обработки событий системы защиты электронной почты FortiMail. Источник событий — журналы почтовой системы Fortimail.

Fortinet FortiSOAR

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

FreeIPA

[OOTB] FreeIPA

json

Предназначен для обработки событий, поступающих от системы FreeIPA. Источник событий — журналы службы каталогов Free IPA.

FreeRADIUS

[OOTB] FreeRADIUS syslog

Syslog

Предназначен для обработки событий системы FreeRADIUS, поступающих по Syslog. Нормализатор поддерживает события от FreeRADIUS версии 3.0.

Gardatech GardaDB

[OOTB] Gardatech GardaDB syslog

Syslog

Предназначен для обработки событий системы Gardatech GardaDB, поступающих по syslog в формате, схожим с CEF.

Gardatech Perimeter

[OOTB] Gardatech Perimeter syslog

Syslog

Предназначен для обработки событий системы Gardatech Perimeter версии 5.3, поступающих по syslog.

Gigamon GigaVUE

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

HAProxy

[OOTB] HAProxy syslog

Syslog

Предназначен для обработки журналов системы HAProxy. Нормализатор поддерживает события типа HTTP log, TCP log, Error log от HAProxy версии 2.8.

Huawei Eudemon

[OOTB] Huawei Eudemon

regexp

Предназначен для обработки событий, поступающих от межсетевых экранов Huawei Eudemon. Источник событий — журналы межсетевых экранов Huawei Eudemon.

Huawei USG

[OOTB] Huawei USG Basic

Syslog

Предназначен для обработки событий, поступающих от шлюзов безопасности Huawei USG по Syslog.

IBM InfoSphere Guardium

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Ideco UTM

[OOTB] Ideco UTM Syslog

Syslog

Предназначен для обработки событий, поступающих от Ideco UTM по Syslog. Нормализатор поддерживает обработку событий Ideco UTM версии 14.7, 14.10.

Illumio Policy Compute Engine (PCE)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Imperva Incapsula

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Imperva SecureSphere

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Orion Soft

[OOTB] Orion Soft zVirt syslog

regexp

Предназначен для обработки событий системы виртуализации Orion Soft версии 3.1.  

Indeed PAM

[OOTB] Indeed PAM syslog

Syslog

Предназначен для обработки событий Indeed PAM (Privileged Access Manager) версии 2.6.

Indeed SSO

[OOTB] Indeed SSO

xml

Предназначен для обработки событий системы Indeed SSO (Single Sign-On).

InfoWatch Traffic Monitor

[OOTB] InfoWatch Traffic Monitor SQL

sql

Предназначен для обработки событий, полученных коннектором из базы данных системы InfoWatch Traffic Monitor.

Intralinks VIA

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

IPFIX

[OOTB] IPFIX

ipfix

Предназначен для обработки событий в формате IP Flow Information Export (IPFIX).

Juniper JUNOS

[OOTB] Juniper - JUNOS

regexp

Предназначен для обработки событий аудита, поступающих от сетевых устройств Juniper.

Kaspersky Anti Targeted Attack (KATA)

[OOTB] KATA

cef

Предназначен для обработки алертов или событий из журнала активности Kaspersky Anti Targeted Attack.

Kaspersky CyberTrace

[OOTB] CyberTrace

regexp

Предназначен для обработки событий Kaspersky CyberTrace.

Kaspersky Endpoint Detection and Response (KEDR)

[OOTB] KEDR telemetry

json

Предназначен для обработки телеметрии Kaspersky EDR, размеченных KATA. Источник событий — kafka, EnrichedEventTopic

Kaspersky Industrial CyberSecurity for Networks

[OOTB] KICS4Net v2.x

cef

Предназначен для обработки событий Kaspersky Industrial CyberSecurity for Networks версии 2.х.

Kaspersky Industrial CyberSecurity for Networks

[OOTB] KICS4Net v3.x

Syslog

Предназначен для обработки событий Kaspersky Industrial CyberSecurity for Networks версии 3.х.

Kaspersky Security Center

[OOTB] KSC

cef

Предназначен для обработки событий Kaspersky Security Center по Syslog.

Kaspersky Security Center

[OOTB] KSC from SQL

sql

Предназначен для обработки событий, полученных коннектором из базы данных системы Kaspersky Security Center.

Kaspersky Security for Linux Mail Server (KLMS)

[OOTB] KLMS Syslog CEF

Syslog

Предназначен для обработки событий, поступающих от Kaspersky Security for Linux Mail Server в формате CEF по Syslog.

Kaspersky Security Mail Gateway (KSMG)

[OOTB] KSMG Syslog CEF

Syslog

Предназначен для обработки событий Kaspersky Security Mail Gateway версии 2.0 в формате CEF по Syslog.

Kaspersky Web Traffic Security (KWTS)

[OOTB] KWTS Syslog CEF

Syslog

Предназначен для обработки событий, поступающих от Kaspersky Web Traffic Security в формате CEF по Syslog.

Kaspersky Web Traffic Security (KWTS)

[OOTB] KWTS (KV)

Syslog

Предназначен для обработки событий Kaspersky Web Traffic Security для формата Key-Value.

Kemptechnologies LoadMaster

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Kerio Control

[OOTB] Kerio Control

Syslog

Предназначен для обработки событий межсетевых экранов Kerio Control.

KUMA

[OOTB] KUMA forwarding

json

Предназначен для обработки событий, перенаправленных из KUMA.

Libvirt

[OOTB] Libvirt syslog

Syslog

Предназначен для обработки событий Libvirt версии 8.0.0, поступающих по syslog.

Lieberman Software ERPM

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Linux

[OOTB] Linux audit and iptables Syslog

Syslog

Предназначен для обработки событий операционной системы Linux. Этот нормализатор будет удалён из набора OOTB через релиз. Если вы используете этот нормализатор, вам необходимо перейти на использование нормализатора [OOTB] Linux audit and iptables Syslog v1.

Linux

[OOTB] Linux audit and iptables Syslog v1

Syslog

Предназначен для обработки событий операционной системы Linux.

Linux

[OOTB] Linux audit.log file

regexp

Предназначен для обработки журналов безопасности операционных систем семейства Linux, поступающих по Syslog.

MariaDB

[OOTB] MariaDB Audit Plugin Syslog

Syslog

Предназачен для обработки событий, поступающих от плагина аудита MariaDB Audit по Syslog.

Microsoft DHCP

[OOTB] MS DHCP file

regexp

Предназначен для обработки событий от DHCP-сервера Microsoft. Источник событий — журналы DHCP сервера Windows.

Microsoft DNS

[OOTB] DNS Windows

regexp

Предназначен для обработки событий DNS сервера Microsoft. Источник событий — журналы DNS сервера Windows.

Microsoft Exchange

[OOTB] Exchange CSV

csv

Предназначен для обработки журнала событий системы Microsoft Exchange. Источник событий — журналы MTA сервера Exchange.

Microsoft IIS

[OOTB] IIS Log File Format

regexp

Нормализатор обрабатывает события в формате, описанном по ссылке: https://learn.microsoft.com/en-us/windows/win32/http/iis-logging. Источник событий — журналы Microsoft IIS.

Microsoft Network Policy Server (NPS)

[OOTB] Microsoft Products

xml

Нормализатор предназначен для обработки событий операционной системы Microsoft Windows. Источник событий — события Network Policy Server.

Microsoft Sysmon

[OOTB] Microsoft Products

xml

Нормализатор предназначен для обработки событий модуля Microsoft Sysmon.

Microsoft Windows

[OOTB] Microsoft Products

xml

Нормализатор предназначен для обработки событий операционной системы Microsoft Windows.

Microsoft PowerShell

[OOTB] Microsoft Products

xml

Нормализатор предназначен для обработки событий операционной системы Microsoft Windows.

Microsoft SQL Server

[OOTB] Microsoft SQL Server xml

xml

Предназначен для обработки событий MS SQL Server версии 2008, 2012, 2014, 2016.

Microsoft Windows Remote Desktop Services

[OOTB] Microsoft Products

xml

Нормализатор предназначен для обработки событий операционной системы Microsoft Windows. Источник событий — журнал Applications and Services Logs - Microsoft - Windows - TerminalServices-LocalSessionManager - Operational

Microsoft Windows XP/2003

[OOTB] SNMP. Windows {XP/2003}

json

Предназначен для обработки событий, поступающих от рабочих станций и серверов под управлением операционных систем Microsoft Windows XP, Microsoft Windows 2003 с использованием протокола SNMP.

MikroTik

[OOTB] MikroTik syslog

regexp

Предназначен для событий, поступающих от устройств MikroTik по Syslog.

Minerva Labs Minerva EDR

[OOTB] Minerva EDR

regexp

Предназначен для обработки событий от EDR системы Minerva.

MySQL 5.7

[OOTB] MariaDB Audit Plugin Syslog

Syslog

Предназачен для обработки событий, поступающих от плагина аудита MariaDB Audit по Syslog.

NetIQ Identity Manager

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

NetScout Systems nGenius Performance Manager

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Netskope Cloud Access Security Broker

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Netwrix Auditor

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Nextcloud

[OOTB] Nextcloud syslog

Syslog

Предназначен для событий Nextcloud версии 26.0.4, поступающих по syslog. Нормализатор не сохраняет информацию из поля Trace.

Nexthink Engine

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Nginx

[OOTB] Nginx regexp

regexp

Предназначен для обработки событий журнала веб-сервера Nginx.

NIKSUN NetDetector

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

One Identity Privileged Session Management

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Open VPN

[OOTB] OpenVPN file

regexp

Предназначен для обработки журнала системы OpenVPN.

Oracle

[OOTB] Oracle Audit Trail

sql

Предназначен для обработки событий аудита БД, полученных коннектором непосредственно из базы данных Oracle.

PagerDuty

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Palo Alto Cortex Data Lake

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Palo Alto Networks NGFW

[OOTB] PA-NGFW (Syslog-CSV)

Syslog

Предназначен для обработки событий от межсетевых экранов Palo Alto Networks, поступающих по Syslog в формате CSV.

Palo Alto Networks PAN­OS

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Penta Security WAPPLES

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Positive Technologies ISIM

[OOTB] PTsecurity ISIM

regexp

Предназначен для обработки событий от системы PT Industrial Security Incident Manager.

Positive Technologies Network Attack Discovery (NAD)

[OOTB] PTsecurity NAD

Syslog

Предназначен для обработки событий от PT Network Attack Discovery (NAD), поступающих по Syslog.

Positive Technologies Sandbox

[OOTB] PTsecurity Sandbox

regexp

Предназначен для обработки событий системы PT Sandbox.

Positive Technologies Web Application Firewall

[OOTB] PTsecurity WAF

Syslog

Предназначен для обработки событий, поступающих от системы PTsecurity (Web Application Firewall).

PostgreSQL pgAudit

[OOTB] PostgreSQL pgAudit Syslog

Syslog

Предназначен для обработки событий плагина аудита pgAudit для базы данных PostgreSQL, поступающих по Syslog.

Proofpoint Insider Threat Management

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Proxmox

[OOTB] Proxmox file

regexp

Предназначен для событий системы Proxmox версии 7.2-3, хранящихся в файле. Нормализатор поддерживает обработку событий в журналах access и pveam.

PT NAD

[OOTB] PT NAD json

json

Предназначен для обработки событий, поступающий от PT NAD в формате json. Нормализатор поддерживает обработку событий PT NAD версий 11.1, 11.0.

QEMU - журналы гипервизора

[OOTB] QEMU - Hypervisor file

regexp

Предназначен для обработки событий гипервизора QEMU, хранящихся в файле. Поддерживаются версии QEMU 6.2.0, Libvirt 8.0.0.

QEMU - журналы виртуальных машин

[OOTB] QEMU - Virtual Machine file

regexp

Предназначен для обработки событий из журналов виртуальных машин гипервизора QEMU версии 6.2.0, хранящихся в файле.

Radware DefensePro AntiDDoS

[OOTB] Radware DefensePro AntiDDoS

Syslog

Предназначен для обработки событий от системы защиты от DDOS Mitigator, поступающих по Syslog.

Reak Soft Blitz Identity Provider

[OOTB] Reak Soft Blitz Identity Provider file

regexp

Предназначен для обработки событий системы Reak Soft Blitz Identity Provider версии 5.16, хранящихся в файле.

Recorded Future Threat Intelligence Platform

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

ReversingLabs N1000 Appliance

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Rubicon Communications pfSense

[OOTB] pfSense Syslog

Syslog

Предназначен для обработки событий, поступающих от межсетевого экрана pfSense, поступающих по Syslog.

Rubicon Communications pfSense

[OOTB] pfSense w/o hostname

Syslog

Предназначен для обработки событий, поступающих от межсетевого экрана pfSense. Syslog-заголовок этих событий не содержит имени хоста.

SailPoint IdentityIQ

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Sendmail

[OOTB] Sendmail syslog

Syslog

Предназначен для обработки событий Sendmail версии 8.15.2, поступающих по syslog.

SentinelOne

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Snort

[OOTB] Snort 3 json file

json

Предназначен для обработки cобытий Snort версии 3 в формате JSON.

Sonicwall TZ

[OOTB] Sonicwall TZ Firewall

Syslog

Предназначен для обработки событий, поступающих по Syslog от межсетевого экрана Sonicwall TZ.

Sophos XG

[OOTB] Sophos XG

regexp

Предназначен для обработки событий от межсетевого экрана Sophos XG.

Squid

[OOTB] Squid access Syslog

Syslog

Предназначен для обработки событий прокси-сервера Squid, поступающих по протоколу Syslog.

Squid

[OOTB] Squid access.log file

regexp

Предназначен для обработки событий журнала Squid прокси-сервера Squid. Источник событий — журналы access.log

S-Terra VPN Gate

[OOTB] S-Terra

Syslog

Предназначен для обработки событий от устройств S-Terra VPN Gate.

Suricata

[OOTB] Suricata json file

json

Пакет содержит нормализатор для событий Suricata версии 7.0.1, хранящихся в файле в формате JSON.

Нормализатор поддерживает обработку следующих типов событий: flow, anomaly, alert, dns, http, ssl, tls, ftp, ftp_data, ftp, smb, rdp, pgsql, modbus, quic, dhcp, bittorrent_dht, rfb.

ThreatConnect Threat Intelligence Platform

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

ThreatQuotient

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

TrapX DeceptionGrid

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Trend Micro Control Manager

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Trend Micro Deep Security

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Trend Micro NGFW

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Trustwave Application Security DbProtect

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Unbound

[OOTB] Unbound Syslog

Syslog

Предназначен для обработки событий, поступающих по Syslog от DNS-сервера Unbound.

UserGate

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF, поступающих от системы UserGate по Syslog.

Varonis DatAdvantage

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Veriato 360

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

VipNet TIAS

[OOTB] Vipnet TIAS syslog

Syslog

Предназначен для обработки событий системы VipNet TIAS версии 3.8, поступающих по Syslog.

VMware ESXi

[OOTB] VMware ESXi syslog

regexp

Предназначен для обработки событий VMware ESXi (поддержка ограниченного количества событий от ESXi с версиями 5.5, 6.0, 6.5, 7.0), поступающих по Syslog.

VMWare Horizon

[OOTB] VMWare Horizon - Syslog

Syslog

Предназначен для обработки событий, поступающих от системы VMWare Horizon версии 2106 по Syslog.

VMwareCarbon Black EDR

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Vormetric Data Security Manager

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Votiro Disarmer for Windows

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Wallix AdminBastion

[OOTB] Wallix AdminBastion syslog

regexp

Предназначен для событий, поступающих от системы Wallix AdminBastion по Syslog.

WatchGuard - Firebox

[OOTB] WatchGuard Firebox

Syslog

Предназначен для обработки событий межсетевых экранов WatchGuard Firebox, поступающих по Syslog.

Webroot BrightCloud

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Winchill Fracas

[OOTB] PTC Winchill Fracas

regexp

Предназначен для обработки событий системы регистрации сбоев Winchill Fracas.

Zabbix

[OOTB] Zabbix SQL

sql

Предназначен для обработки событий Zabbix версии 6.4.

ZEEK IDS

[OOTB] ZEEK IDS json file

json

Предназначен для обработки журналов системы ZEEK IDS в формате JSON. Нормализатор поддерживает события от ZEEK IDS версии 1.8.

Zettaset BDEncrypt

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Zscaler Nanolog Streaming Service (NSS)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

АйТи Бастион – СКДПУ

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF, поступающих от системы АйТи Бастион - СКДПУ по Syslog.

А-реал Интернет Контроль Сервер (ИКС)

[OOTB] A-real IKS syslog

regexp

Предназначен для обработки событий системы А-реал Интернет Контроль Сервер (ИКС), поступающих по Syslog. Нормализатор поддерживает события от A-real IKS версии 7.0 и выше.

Веб-сервер Apache

[OOTB] Apache HTTP Server file

regexp

Предназначен для обработки событий Apache HTTP Server версии 2.4, хранящихся в файле. Нормализатор поддерживает обработку событий журнала Application в форматах Common или Combined Log, и журнала Error.

Ожидаемый формат журнала Error:

"[%t] [%-m:%l] [pid %P:tid %T] [server\ %v] [client\ %a] %E: %M;\ referer\ %-{Referer}i"

Веб-сервер Apache

[OOTB] Apache HTTP Server syslog

Syslog

Предназначен для обработки событий системы Apache HTTP Server, поступающих по syslog. Нормализатор поддерживает обработку событий Apache HTTP Server версии 2.4 журнала Access в формате Common или Combined Log, и журнала Error.

Ожидаемый формат событий журнала Error:

"[%t] [%-m:%l] [pid %P:tid %T] [server\ %v] [client\ %a] %E: %M;\ referer\ %-{Referer}i"

Веб-сервер Lighttpd

[OOTB] Lighttpd syslog

Syslog

Предназначен для обработки событий Access системы Lighttpd, поступающих по syslog. Нормализатор поддерживает обработку событий Lighttpd версии 1.4.

Ожидаемый формат событий журнала Access:

$remote_addr $http_request_host_name $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent"

ИВК Кольчуга-К

[OOTB] Kolchuga-K Syslog

Syslog

Предназначен для обработки событий, поступающих от системы ИВК Кольчуга-К, версии ЛКНВ.466217.002 по Syslog.

ИнфоТеКС ViPNet IDS

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF, поступающих от системы ИнфоТеКС ViPNet IDS по Syslog.

ИнфоТеКС ViPNet Coordinator

[OOTB] VipNet Coordinator Syslog

Syslog

Предназначен для обработки событий от системы ViPNet Coordinator, поступающих по Syslog.

Код безопасности - Континент

[OOTB][regexp] Continent IPS/IDS & TLS

regexp

Предназначен для обработки журнала событий устройств Континент IPS/IDS.

Код безопасности - Континент

[OOTB] Continent SQL

sql

Предназначен для колучения событий системы Континент из базы данных.

Код Безопасности SecretNet 7

[OOTB] SecretNet SQL

sql

Предназначен для обработки событий, полученных коннектором из базы данных системы SecretNet.

Конфидент - Dallas Lock

[OOTB] Конфидент Dallas Lock

regexp

Предназначен для обработки событий, поступающих от системы защиты информации Dallas Lock версии 8.

КриптПро Ngate

[OOTB] Ngate Syslog

Syslog

Предназначен для обработки событий, поступающих от системы КриптПро Ngate по Syslog.

НТ Мониторинг и аналитика

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF, поступающих от системы НТ Мониторинг и аналитика по Syslog.

Прокси-сервер BlueCoat

[OOTB] BlueCoat Proxy v0.2

regexp

Предназначен для обработки событий прокси-сервера BlueCoat. Источник событий — журнал событий прокси-сервера BlueCoat.

СКДПУ НТ Шлюз доступа

[OOTB] Bastion SKDPU-GW 

Syslog

Предназначен для обработки событий системы СКДПУ НТ Шлюз доступа, поступающих по Syslog.

Солар Дозор

[OOTB] Solar Dozor Syslog

Syslog

Предназначен для обработки событий, поступающийх от системы Солар Дозор версии 7.9 по Syslog. Нормализатор поддерживает обработку событий в пользовательском формате и не поддерживает обработку событий в формате CEF.

-

[OOTB] Syslog header

Syslog

Предназначен для обработки событий, поступающих по Syslog. Нормализатор выполняет парсинг Syslog-заголовка события, поле message события не затрагивается. В случае необходимости вы можете выполнить парсинг поля message другими нормализаторами.

В начало
[Topic 255782]

Правила агрегации

Правила агрегации позволяют объединить однотипные повторяющиеся события и заменить их одним общим событием. Таким образом можно уменьшить количество схожих событий, передаваемых в хранилище и/или коррелятор, снизить нагрузку на сервисы, сэкономить место для хранения данных и сэкономить лицензионную квоту (EPS). Агрегационное событие создается по достижении порога по времени или порога по числу событий, смотря что произойдет раньше.

Для правил агрегации можно настроить фильтр и применять его только к событиям, которые соответствуют заданным условиям.

Можно настроить правила агрегации в разделе Ресурсы - Правила агрегации, а затем выбрать созданное правило агрегации в раскрывающемся списке в настройках коллектора. Также можно настроить правила агрегации прямо в настройках коллектора.

Доступные параметры правил агрегации

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Предел событий

Ограничение по количеству событий. После накопления заданного количества событий с идентичными полями коллектор создает агрегационное событие и начинает накопление событий для следующего агрегированного события. Значение по умолчанию: 100.

Время ожидания событий

Обязательный параметр.

Ограничение по времени в секундах. По истечении указанного срока накопление базовых событий прекращается, коллектор создает агрегированное событие и начинает сбор событий для следующего агрегированного события. Значение по умолчанию: 60.

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Группирующие поля

Обязательный параметр.

В раскрывающемся списке перечислены поля нормализованных событий, значения которых должны совпадать. Например, для сетевых событий это могут быть SourceAddress, DestinationAddress, DestinationPort. В итоговом агрегационном событии эти поля будут заполнены значениями базовых событий.

Уникальные поля

В раскрывающемся списке перечислены поля, спектр значений которых нужно сохранить в агрегированном событии. Например, если поле DestinationPort указать не в Группирующие поля, а в Уникальные поля, то агрегированное событие объединит базовые события подключения к разным портам, а поле DestinationPort агрегированного события будет содержать список всех портов, к которым выполнялись подключения.

Поля суммы

В раскрывающемся списке можно выбрать поля, значения которых при агрегации будут просуммированы и записаны в одноименные поля агрегированного события.

Фильтр

Блок параметров, в котором можно задать условия определения событий, которые будут обрабатываться этим ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Не используйте в правилах агрегации фильтры с операндом TI или операторами TIDetect, inActiveDirectoryGroup и hasVulnerability. Поля Active Directory, для которых используется оператор inActiveDirectoryGroup, появляются на этапе обогащения, то есть после выполнения правил агрегации.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В поставку KUMA включены перечисленные в таблице ниже правила агрегации.

Предустановленные правила агрегации

Название правила агрегации

Описание

[OOTB] Netflow 9

Правило сработает при достижении 100 событий или по истечении 10 секунд.

Агрегация событий выполняется по полям:

  • DestinationAddress
  • DestinationPort
  • SourceAddress
  • TransportProtocol
  • DeviceVendor
  • DeviceProduct

Поля DeviceCustomString1 и BytesIn суммируются.

В начало
[Topic 217722]

Правила обогащения

Обогащение событий – это дополнение событий информацией, которая может быть использована для выявления инцидента и при проведении расследования.

Правила обогащения позволяют добавлять в поля события дополнительную информацию путем преобразования данных, уже размещённых в полях, или с помощью запроса данных из внешних систем. Например, в событии есть имя учётной записи пользователя. С помощью правила обогащения вы можете добавить сведения об отделе, должности и руководителе этого пользователя в поля события.

Правила обогащения можно использовать в следующих сервисах и функциях KUMA:

Доступные параметры правил обогащения перечислены в таблице ниже.

Закладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Тип источника данных

Обязательный параметр.

Выпадающий список для выбора типа входящих событий. В зависимости от выбранного типа отображаются дополнительные параметры:

  • константа

    Этот тип обогащения используется, если в поле события необходимо добавить константу. Параметры этого типа обогащения:

    • В поле Константа укажите значение, которое следует добавить в поле события. Значение должно состоять не более чем из 255 символов в кодировке Unicode. Если оставить это поле пустым, существующее значение поля события будет удалено.
    • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.

     

  • словарь

    Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Словарь.

    При выборе этого типа в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.

  • таблица

    Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Таблица.

    При выборе этого типа обогащения в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.

    Также в таблице Сопоставление необходимо настроить, из каких полей словаря и в какие поля события будут передаваться данные:

    • В столбце Поле словаря необходимо выбрать поле словаря. Доступные поля зависят от выбранного ресурса словаря.
    • В столбце Поле KUMA необходимо выбрать поле события, в которое следует записать значение. Для некоторых выбранных полей (*custom* и *flex*) в столбце Подпись можно задать название для помещаемых в них данных.

    Новые строки в таблицу можно добавлять с помощью кнопки Добавить элемент. Столбцы можно удалить с помощью кнопки cross.

  • событие

    Этот тип обогащения используется, если в поле события необходимо записать значение другого поля события. Параметры этого типа обогащения:

    • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
    • В раскрывающемся списке Исходное поле выберите поле события, значение которого будет записано в целевое поле.
    • В блоке параметров Преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA. Тип преобразования можно выбрать в раскрывающемся списке. С помощью кнопок Добавить преобразование и Удалить можно добавить или удалить преобразование. Порядок преобразований имеет значение.

      Доступные преобразования

      Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

      Доступные преобразования:

      • lower – используется для перевода всех символов значения в нижний регистр
      • upper – используется для перевода всех символов значения в верхний регистр
      • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
      • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
      • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
        • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
        • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
      • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
      • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
      • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
      • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
        • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
        • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
      • Конвертация закодированных строк в текст:
        • decodeHexString – используется для конвертации HEX-строки в текст.
        • decodeBase64String – используется для конвертации Base64-строки в текст.
        • decodeBase64URLString – используется для конвертации Base64url-строки в текст.

        При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.

        При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, такая строка будет обрезана и не будет раскодирована.

        Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, такая строка будет обрезана до размера этого поля события.

  • шаблон

    Этот тип обогащения используется, если в поле события необходимо записать значение, полученное при обработке шаблонов Go. Параметры этого типа обогащения:

    • В поле Шаблон поместите шаблон Go.

      Имена полей событий передаются в формате {{.EventField}}, где EventField – это название поля события, значение которого должно быть передано в скрипт.

      Пример: Атака на {{.DestinationAddress}} со стороны {{.SourceAddress}}.

    • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
  • dns

    Этот тип обогащения используется для отправки запросов на DNS-сервер частной сети для преобразования IP-адресов в доменные имена или наоборот. Преобразование IP-адресов в DNS-имена происходит только для частных адресов: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 100.64.0.0/10.

    Доступные параметры:

    • URL – в этом поле можно указать URL DNS-сервера, которому вы хотите отправлять запросы. С помощью кнопки Добавить URL можно указать несколько URL.
    • Запросов в секунду – максимальное количество запросов к серверу в секунду. Значение по умолчанию: 1000.
    • Рабочие процессы – максимальное количество запросов в один момент времени. Значение по умолчанию: 1.
    • Количество задач – максимальное количество одновременно выполняемых запросов. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
    • Срок жизни кеша – время жизни значений, хранящихся в кеше. Значение по умолчанию: 60.
    • Кеш отключен – с помощью этого раскрывающегося списка можно включить или отключить кеширование. По умолчанию кеширование включено.
  • cybertrace

    Этот тип обогащения используется для добавления в поля события сведений из потоков данных CyberTrace.

    Доступные параметры:

    • URL (обязательно) – в этом поле можно указать URL сервера CyberTrace, которому вы хотите отправлять запросы.
    • Количество подключений – максимальное количество подключений к серверу CyberTrace, которые может одновременно установить KUMA. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
    • Запросов в секунду – максимальное количество запросов к серверу в секунду. Значение по умолчанию: 1000.
    • Время ожидания – время ожидания отклика от сервера CyberTrace в секундах. Значение по умолчанию: 30.
    • Сопоставление (обязательно) – этот блок параметров содержит таблицу сопоставления полей событий KUMA с типами индикаторов CyberTrace. В столбце Поле KUMA указаны названия полей событий KUMA, а в столбце Индикатор CyberTrace указаны типы индикаторов CyberTrace.

      Доступные типы индикаторов CyberTrace:

      • ip
      • url
      • hash

      В таблице сопоставления требуется указать как минимум одну строку. С помощью кнопки Добавить строку можно добавить строку, а с помощью кнопки cross – удалить.

  • часовой пояс

    Этот тип обогащения используется в коллекторах и корреляторах для присваивания событию определенного часового пояса. Сведения о часовом поясе могут пригодиться при поиске событий, случившихся в нетипичное время, например ночью.

    При выборе этого типа обогащения в раскрывающемся списке Часовой пояс необходимо выбрать требуемую временную зону.

    Убедитесь, что требуемый часовой пояс установлен на сервере сервиса, использующего обогащение. Например, это можно сделать с помощью команды timedatectl list-timezones, которая показывает все установленные на сервере часовые пояса. Подробнее об установке часовых поясов смотрите в документации используемой вами операционной системы.

    При обогащении события в поле события DeviceTimeZone записывается смещение времени выбранного часового пояса относительно всемирного координированного времени (UTC) в формате +-чч:мм. Например, если выбрать временную зону Asia/Yekaterinburg в поле DeviceTimeZone будет записано значение +05:00. Если в обогащаемом событии есть значение поля DeviceTimeZone, оно будет перезаписано.

    По умолчанию, если в обрабатываемом событии не указан часовой пояс и не настроены правила обогащения по часовому поясу, событию присваивается часовой пояс сервера, на котором установлен сервис (коллектор или коррелятор), обрабатывающий событие. При изменении времени сервера сервис необходимо перезапустить.

    Допустимые форматы времени при обогащении поля DeviceTimeZone

    При обработке в коллекторе поступающих "сырых" событий следующие форматы времени могут быть автоматически приведены к формату +-чч:мм:

    Формат времени в обрабатываемом событии

    Пример

    +-чч:мм

    -07:00

    +-ччмм

    -0700

    +-чч

    -07

    Если формат даты в поле DeviceTimeZone отличается от указанных выше, при обогащении события сведениями о часовом поясе в поле записывается часовой пояс серверного времени коллектора. Вы можете создать особые правила нормализации для нестандартных форматов времени.

  • геоданные

    Этот тип обогащения используется для добавления в поля событий сведений о географическом расположении IP-адресов. Подробнее о привязке IP-адресов к географическим данным.

    При выборе этого типа в блоке параметров Сопоставление геоданных с полями события необходимо указать, из какого поля события будет считан IP-адрес, а также выбрать требуемые атрибуты геоданных и определить поля событий, в которые геоданные будут записаны:

    1. В раскрывающемся списке Поле события с IP-адресом выберите поле события, из которого считывается IP-адрес. По этому IP-адресу будет произведен поиск соответствий по загруженным в KUMA геоданным.

      С помощью кнопки Добавить поле события с IP-адресом можно указать несколько полей события с IP-адресами, по которым требуется обогащение геоданными. Удалить добавленные таким образом поля событий можно с помощью кнопки Удалить поле события с IP-адресом.

      При выборе полей события SourceAddress, DestinationAddress и DeviceAddress становится доступна кнопка Применить сопоставление по умолчанию. С ее помощью можно добавить преднастроенные пары соответствий атрибутов геоданных и полей события.

    2. Для каждого поля события, откуда требуется считать IP-адрес, выберите тип геоданных и поле события, в которое следует записать геоданные.

      С помощью кнопки Добавить атрибут геоданных вы можете добавить пары полей Атрибут геоданныхПоле события для записи. Так вы можете настроить запись разных типов геоданных одного IP-адреса в разные поля события. Пары полей можно удалить с помощью значка cross-red.

      • В поле Атрибут геоданных выберите, какие географические сведения, соответствующие считанному IP-адресу, необходимо записать в событие. Доступные атрибуты геоданных: Страна, Регион, Город, Долгота, Широта.
      • В поле Поле события для записи выберите поле события, в которое необходимо записать выбранный атрибут геоданных.

      Вы можете записать одинаковые атрибуты геоданных в разные поля событий. Если вы настроите запись нескольких атрибутов геоданных в одно поле события, событие будет обогащено последним по очереди сопоставлением.

     

     

Отладка

Раскрывающийся список, в котором можно включить логирование операций сервиса. По умолчанию логирование выключено.

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Фильтр

Блок параметров, в котором можно задать условия определения событий, которые будут обрабатываться этим ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

Предустановленные правила обогащения

В поставку KUMA включены перечисленные в таблице ниже правила обогащения.

Предустановленные правила обогащения

Название правила обогащения

Описание

[OOTB] KATA alert

Используется для обогащения событий, поступивших от KATA в виде гиперссылки на алерт.

Гиперссылка размещается в поле DeviceExternalId.

В начало
[Topic 217863]

Правила корреляции

Правила корреляции используются для распознавания определенных последовательностей обрабатываемых событий и выполнения определенных действий после распознавания: например, создание корреляционных событий или алертов, взаимодействие с активным листом.

Правила корреляции можно использовать в следующих сервисах и функциях KUMA:

Доступные параметры правила корреляции зависят от выбранного типа. Типы правил корреляции:

  • standard – используется для поиска корреляций между несколькими событиями. Правила этого типа могут создавать корреляционные события.

    Этот тип правил используется для определения сложных закономерностей в последовательности событий. Для более простых комбинаций следует использовать другие типы правил корреляции, которые требуют меньше ресурсов.

  • simple – используется для создания корреляционных событий при обнаружении определенного события.
  • operational – используется для операций с активными листами. Этот тип правил не может создавать корреляционные события.

Для этих ресурсов в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов.

Если правило корреляции используется в корреляторе и по нему был создан алерт, то при изменении правила корреляции существующий алерт не будет изменен, даже если перезапустить сервис коррелятора. Например, если у правила корреляции было изменено название, название алерта останется прежним. Если существующий алерт закрыть, то новый алерт будет создан уже с учетом изменений правила корреляции.

В этом разделе

Правила корреляции типа standard

Правила корреляции типа simple

Правила корреляции типа operational

Переменные в корреляторах

Предустановленные правила корреляции
В начало
[Topic 217783]

Правила корреляции типа standard

Правила корреляции типа standard используются для определения сложных закономерностей в обрабатываемых событиях.

Поиск закономерностей происходит с помощью контейнеров

Контейнеры правила корреляции – это временные хранилища данных, которые используются ресурсами правила корреляции при определении необходимости создания корреляционных событий. Эти контейнеры выполняет следующие функции:

  • Группируют события, которые были отобраны фильтрами в группе настроек Селекторы ресурса правила корреляции. События группируются по полям, которые указываются пользователем в поле Группирующие поля.
  • Определяют момент, когда должно сработать правило корреляции, меняя соответствующим образом события, сгруппированные в контейнере.
  • Выполняют действия, указанные в группе настроек Действия.
  • Создают корреляционные события.

Доступные состояния контейнера:

  • Пусто – в контейнере нет событий. Это может произойти только в момент своего создания при срабатывании правила корреляции.
  • Частичное совпадение – в контейнере есть некоторые из ожидаемых событий (события восстановления не учитываются).
  • Полное совпадение – в корзине есть все ожидаемые события (события восстановления не учитываются). При достижении этого состояния:
    • Срабатывает правило корреляции
    • События удаляются из контейнера
    • Счетчик срабатываний контейнера обновляется
    • Контейнера переводится в состояние Пусто
  • Ложное совпадение – такое состояние контейнера возможно в следующих случаях:
    • когда было достигнуто состояние Полное совпадение, но объединяющий фильтр возвратил значение false.
    • когда при установленном флажке Обнуление были получены события восстановления.

    Когда это условие достигается, правило корреляции не срабатывает. События удаляются из контейнера, счетчик срабатываний обновляется, контейнер переводится в состояния Пусто.

Окно правила корреляции содержит следующие закладки параметров:

  • Общие – используется для указания основных параметров правила корреляции. На этой закладке можно выбрать тип правила корреляции.
  • Селекторы – используется для определения условий, которым должны удовлетворять обрабатываемые события для срабатывания правила корреляции. Доступные параметры зависят от выбранного типа правил.
  • Действия – используется для установки триггеров, срабатывающих при выполнении условий, заданных в группе настроек Селекторы. У ресурса правила корреляции должен быть хотя бы один триггер. Доступные параметры зависят от выбранного типа правил.

Закладка Общие

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – тенант, которому принадлежит правило корреляции.
  • Тип (обязательно) – раскрывающийся список для выбора типа правила корреляции. Выберите standard, если хотите создать правило корреляции типа standard.
  • Группирующие поля (обязательно) – поля событий, которые должны быть сгруппированы в контейнере. Хеш-код значений выбранных полей используется в качестве ключа контейнера. Если срабатывает селектор (см. ниже), отобранные поля копируются в корреляционное событие.

    Если в разных селекторах корреляционного правила используются поля, которые имеют разные значения в событиях, эти поля не нужно указывать в разделе Группирующие поля.

  • Уникальные поля – поля событий, которые должны быть отправлены в контейнер. Если задан этот параметр, в контейнер будут отправляться только уникальные поля. Хеш-код значений отобранных полей используется в качестве ключа контейнера.

    Вы можете использовать локальные переменные в разделах Группирующие поля и Уникальные поля. Для обращения к переменной необходимо перед ее именем указать символ "$".
    Для ознакомления с примерами использования локальных переменных в этих разделах используйте правило, поставляемое с KUMA: R403_Обращение на вредоносные ресурсы с хоста с отключенной защитой или устаревшей антивирусной базой.

  • Частота срабатываний – максимальное количество срабатываний правила корреляции в секунду. Значение по умолчанию: 100.

    Если правила корреляции, в которых реализована сложная логика обнаружения закономерностей, не срабатывают, причиной могут быть особенности подсчета срабатываний правила в KUMA. Попробуйте увеличить значение Частота срабатываний, например, до 1000000.

  • Время жизни контейнера, сек. (обязательно) – время жизни контейнера в секундах. Значение по умолчанию: 86400 секунд (24 часа). Этот таймер запускается при создании контейнера (когда он получает первое событие). Время жизни не обновляется, и когда оно истекает, срабатывает триггер По истечении времени жизни контейнера из группы настроек Действия, а контейнер удаляется. Триггеры На каждом срабатывании правила и На последующих срабатываниях правила могут срабатывать более одного раза в течение времени жизни контейнера.
  • Политика хранения базовых событий – этот раскрывающийся список используется, чтобы определить, какие базовые события должны быть сохранены в корреляционном событии:
    • first (значение по умолчанию) – поместить в корреляционное событие первое базовое событие из коллекции событий, инициировавшей создание корреляционного события.
    • last – поместить в корреляционное событие последнее базовое событие из коллекции событий, инициировавшей создание корреляционного события.
    • all – поместить в корреляционное событие все базовые события из коллекции событий, инициировавшей создание корреляционного события.
  • Уровень важности – базовый коэффициент, используемый для определения уровня важности правила корреляции. Значение по умолчанию: Низкий.
  • Сортировать по – в этом раскрывающемся списке можно выбрать поле события, по которому селекторы правила корреляции будут отслеживать изменение ситуации. Это может пригодиться, если, например, вы захотите настроить правило корреляции на срабатывание при последовательном возникновении нескольких типов событий.
  • Описание – описание ресурса. До 4000 символов в кодировке Unicode.

Закладка Селекторы

В правиле типа standard может быть несколько селекторов. Селекторы можно добавлять с помощью кнопки Добавить селектор и удалять с помощью кнопки Удалить селектор. Селекторы можно перемещать с помощью кнопки DragIcon.

Последовательность условий, заданных в селекторе корреляционного правила, имеет значение и влияет на производительность системы. Мы рекомендуем на первое место в селекторе ставить наиболее уникальный критерий отбора.

Рассмотрим два примера селекторов, осуществляющих выборку событий успешной аутентификации в Microsoft Windows.

Селектор 1:

Условие 1. DeviceProduct = Microsoft Windows

Условие 2. DeviceEventClassID =  4624

Селектор 2:

Условие 1. DeviceEventClassID = 4624

Условие 2.  DeviceProduct = Microsoft Windows

Последовательность условий, заданная в Селекторе 2, более предпочтительна, поскольку оказывает меньшую нагрузку на систему.

В селекторе корреляционного правила могут быть использованы регулярные выражения, соответствующие стандарту RE2.

Применение регулярных выражений в корреляционных правилах создаёт большую нагрузку в сравнении с другими операциями. Поэтому при разработке корреляционных правил мы рекомендуем ограничить использование регулярных выражений до необходимого минимума и применять другие доступные операции.

Для использования регулярного выражения необходимо применить оператор сравнения match. Регулярное выражение должно быть размещено в константе. Применение capture-групп в регулярных выражениях не обязательно. Для срабатывания корреляционного правила текст поля, сопоставляемый с regexp, должен полностью совпасть с регулярным выражением.

Для ознакомления с синтаксисом и примерами корреляционных правил, в селекторах которых есть регулярные выражения, используйте следующие правила, поставляемые с KUMA:

  • R105_04_Подозрительные PowerShell команды. Подозрение на обфускацию.
  • R333_Подозрительное создание файлов в директории автозапуска.

Для каждого селектора доступны две закладки Параметры и Локальные переменные.

Закладка Параметры содержит следующие параметры:

  • Название (обязательно) – уникальное имя группы событий, удовлетворяющих условиям селектора. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Порог срабатывания селектора (количество событий) (обязательно) – количество событий, которое необходимо получить для срабатывания селектора.
  • Фильтр (обязательно) – используется для установки критериев определения событий, из-за которых будет срабатывать селектор. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

    Создание фильтра в ресурсах

    1. В раскрывающемся списке Фильтр выберите Создать.
    2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

      В этом случае вы сможете использовать созданный фильтр в разных сервисах.

      По умолчанию флажок снят.

    3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
    4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
      1. Нажмите на кнопку Добавить условие.
      2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

        В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

      3. В раскрывающемся списке оператор выберите нужный вам оператор.

        Операторы фильтров

        • = – левый операнд равен правому операнду.
        • < – левый операнд меньше правого операнда.
        • <= – левый операнд меньше или равен правому операнду.
        • > – левый операнд больше правого операнда.
        • >= – левый операнд больше или равен правому операнду.
        • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
        • contains – левый операнд содержит значения правого операнда.
        • startsWith – левый операнд начинается с одного из значений правого операнда.
        • endsWith – левый операнд заканчивается одним из значений правого операнда.
        • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
        • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

          Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

          Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

        • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

          Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

        • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
        • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
        • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
        • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
        • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
        • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

        Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

        По умолчанию флажок снят.

      5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
      6. Вы можете добавить несколько условий или группу условий.
    5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
    6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

      Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

    Фильтрация по данным из поля события Extra

    Условия для фильтров по данным из поля события Extra:

    • Условие – Если.
    • Левый операнд – поле события.
    • В поле события вы можете указать одно из следующих значений:
      • Поле Extra.
      • Значение из поля Extra в следующем формате:

        Extra.<название поля>

        Например, Extra.app.

        Значение этого типа указывается вручную.

      • Значение из массива, записанного в поле Extra, в следующем формате:

        Extra.<название поля>.<элемент массива>

        Например, Extra.array.0.

        Нумерация значений в массиве начинается с 0.

        Значение этого типа указывается вручную.

        Чтобы работать со значением из поля Extra на глубине 3 и ниже, следует использовать кавычки ``. Например, `Extra.lev1.lev2.lev3`.

    • Оператор – =.
    • Правый операнд – константа.
    • Значение – значение, по которому требуется фильтровать события.
  • Обнуление – этот флажок должен быть установлен, если правило корреляции НЕ должно срабатывать при получении селектором определенного количества событий. По умолчанию этот флажок снят.

На закладке Локальные переменные с помощью кнопки Добавить переменную можно объявлять переменные, которые будут действовать в пределах этого правила корреляции.

Закладка Действия

В правиле типа standard может быть несколько триггеров.

  • На первом срабатывании правила – этот триггер срабатывает, когда контейнер регистрирует первое в течение срока своей жизни срабатывание селектора.
  • На последующих срабатываниях правила – этот триггер срабатывает, когда контейнер регистрирует в течение срока своей жизни второе и последующие срабатывания селектора.
  • На каждом срабатывании правила – этот триггер срабатывает каждый раз, когда контейнер регистрирует срабатывание селектора.
  • По истечении времени жизни контейнера – этот триггер срабатывает по истечении времени жизни контейнера и используется в связке с селектором с установленным флажком Обнуление. То есть триггер срабатывает, если в течение заданного времени ситуация, обнаруженная правилом корреляции, не разрешается.

Каждый триггер представлен в виде группы настроек со следующими доступными параметрами:

  • Отправить событие на дальнейшую обработку – если этот флажок установлен, корреляционное событие будет отправлено на пост-обработку: на внешнее обогащение вне корреляционного правила, для реагирования и в точки назначения.
  • Отправить событие снова в коррелятор – если этот флажок установлен, созданное корреляционное событие будет обрабатываться цепочкой правил текущего коррелятора. Это позволяет достичь иерархической корреляции.

    Если установлены оба флажка, правило корреляции будет отправлено сначала на пост-обработку, а затем в селекторы текущего правила корреляции.

  • Не создавать алерт – если этот флажок установлен, алерт не будет создаваться при срабатывании этого правила корреляции.
  • Группа параметров Обновление активных листов – используется для назначения триггера на одну или несколько операций с активными листами. С помощью кнопок Добавить действие с активным листом и Удалить действие с активным листом можно добавлять и удалять операции с активными листами.

    Доступные параметры:

    • Название (обязательно) – этот раскрывающийся список используется для выбора ресурсов активного листа.
    • Операция (обязательно) – этот раскрывающийся список используется для выбора операции, которую необходимо выполнить:
      • Получить – получить запись активного листа и записать значения указанных полей в корреляционное событие.
      • Установить – записать значения указанных полей корреляционного события в активный лист, создав новую или обновив существующую запись активного листа. При обновлении записи активного листа данные объединяются, и только указанные поля перезаписываются.
      • Удалить – удалить запись из активного листа.
    • Ключевые поля (обязательно) – это список полей события, используемых для создания записи активного листа. Этот список также используется в качестве ключа записи активного листа.

      Ключ записи активного листа зависит только от состава полей и не зависит от порядка их отображения в веб-интерфейсе KUMA.

    • Сопоставление (требуется для операций Получить и Установить) – используется для сопоставления полей активного листа с полями событий. Можно установить более одного правила сопоставления.
      • Левое поле используется для указания поля активного листа.

        Поле не должно содержать специальные символы или только цифры.

      • Средний раскрывающийся список используется для выбора полей событий.
      • Правое поле можно использовать для назначения константы полю активного листа, если была выбрана операция Установить.
  • Группа параметров Обогащение – вы можете менять значения полей корреляционных событий, используя правила обогащения. Эти правила обогащения хранятся в правиле корреляции, в котором они были созданы. Можно создать несколько правил обогащения. Правила обогащения можно добавлять или удалять с помощью кнопок Добавить обогащение и Удалить обогащение.
    • Тип источника – в этом раскрывающемся списке можно выбрать тип обогащения. В зависимости от выбранного типа отобразятся дополнительные параметры, которые также потребуется заполнить.

      Доступные типы обогащения:

      • константа

        Этот тип обогащения используется, если в поле события необходимо добавить константу. Параметры этого типа обогащения:

        • В поле Константа укажите значение, которое следует добавить в поле события. Значение должно состоять не более чем из 255 символов в кодировке Unicode. Если оставить это поле пустым, существующее значение поля события будет удалено.
        • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.

      • словарь

        Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Словарь.

        При выборе этого типа в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.

      • таблица

        Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Таблица.

        При выборе этого типа обогащения в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.

        Также в таблице Сопоставление необходимо настроить, из каких полей словаря и в какие поля события будут передаваться данные:

        • В столбце Поле словаря необходимо выбрать поле словаря. Доступные поля зависят от выбранного ресурса словаря.
        • В столбце Поле KUMA необходимо выбрать поле события, в которое следует записать значение. Для некоторых выбранных полей (*custom* и *flex*) в столбце Подпись можно задать название для помещаемых в них данных.

        Новые строки в таблицу можно добавлять с помощью кнопки Добавить элемент. Столбцы можно удалить с помощью кнопки cross.

      • событие

        Этот тип обогащения используется, если в поле события необходимо записать значение другого поля события. Параметры этого типа обогащения:

        • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
        • В раскрывающемся списке Исходное поле выберите поле события, значение которого будет записано в целевое поле.
        • Если нажать на кнопку wrench-new, откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA.

          Доступные преобразования

          Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

          Доступные преобразования:

          • lower – используется для перевода всех символов значения в нижний регистр
          • upper – используется для перевода всех символов значения в верхний регистр
          • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
          • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
          • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
            • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
            • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
          • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
          • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
          • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
          • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
            • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
            • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
          • Конвертация закодированных строк в текст:
            • decodeHexString – используется для конвертации HEX-строки в текст.
            • decodeBase64String – используется для конвертации Base64-строки в текст.
            • decodeBase64URLString – используется для конвертации Base64url-строки в текст.

            При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.

            При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, такая строка будет обрезана и не будет раскодирована.

            Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, такая строка будет обрезана до размера этого поля события.

      • шаблон

        Этот тип обогащения используется, если в поле события необходимо записать значение, полученное при обработке шаблонов Go. Параметры этого типа обогащения:

        • В поле Шаблон поместите шаблон Go.

          Имена полей событий передаются в формате {{.EventField}}, где EventField – это название поля события, значение которого должно быть передано в скрипт.

          Пример: Атака на {{.DestinationAddress}} со стороны {{.SourceAddress}}.

        • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
    • Отладка – с помощью этого раскрывающегося списка можно включить логирование операций сервиса.
    • Описание – описание ресурса. До 4000 символов в кодировке Unicode.
  • Группа параметров Изменение категорий – используется для изменения категорий активов, указанных в событии. Правил категоризации может быть несколько: их можно добавить или удалить с помощью кнопок Добавить категоризацию или Удалить категоризацию. Активам можно добавлять или удалять только реактивные категории.
    • Действие – этот раскрывающийся список используется для выбора операции над категорией:
      • Добавить – присвоить категорию активу.
      • Удалить – отвязать актив от категории.
    • Поле события – поле события, в котором указан актив, над которым будет совершена операция.
    • Идентификатор категории – с помощью кнопки parent-category можно выбрать категорию, над которой будет совершена операция. При нажатии на нее открывается окно Выбор категорий, где отображается дерево категорий. Можно выбрать только категорию со способом наполнения Реактивно.
В начало
[Topic 221197]

Правила корреляции типа simple

Правила корреляции типа simple используются для определения простых последовательностей событий.

Окно правила корреляции содержит следующие закладки параметров:

  • Общие – используется для указания основных параметров правила корреляции. На этой закладке можно выбрать тип правила корреляции.
  • Селекторы – используется для определения условий, которым должны удовлетворять обрабатываемые события для срабатывания правила корреляции. Доступные параметры зависят от выбранного типа правила.
  • Действия – используется для установки триггеров, срабатывающих при выполнении условий, заданных в группе настроек Селекторы. У правила корреляции должен быть хотя бы один триггер. Доступные параметры зависят от выбранного типа правил.

Закладка Общие

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – тенант, которому принадлежит правило корреляции.
  • Тип (обязательно) – раскрывающийся список для выбора типа правила корреляции. Выберите simple, если хотите создать правило корреляции типа simple.
  • Наследуемые поля (обязательно) – поля событий, по которым отбираются события. При срабатывания селектора (см. ниже) эти поля будут записаны в корреляционное событие.
  • Частота срабатываний – максимальное количество срабатываний правила корреляции в секунду. Значение по умолчанию: 100.

    Если правила корреляции, в которых реализована сложная логика обнаружения закономерностей, не срабатывают, причиной могут быть особенности подсчета срабатываний правила в KUMA. Попробуйте увеличить значение Частота срабатываний, например, до 1000000.

  • Уровень важности – базовый коэффициент, используемый для определения уровня важности правила корреляции. Значение по умолчанию: Низкий.
  • Описание – описание ресурса. До 4000 символов в кодировке Unicode.

Закладка Селекторы

В правиле типа simple может быть только один селектор, для которого доступны закладки Параметры и Локальные переменные.

Закладка Параметры содержит параметры с блоком параметров Фильтр:

  • Фильтр (обязательно) – используется для установки критериев определения событий, из-за которых будет срабатывать селектор. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

    Создание фильтра в ресурсах

    1. В раскрывающемся списке Фильтр выберите Создать.
    2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

      В этом случае вы сможете использовать созданный фильтр в разных сервисах.

      По умолчанию флажок снят.

    3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
    4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
      1. Нажмите на кнопку Добавить условие.
      2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

        В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

      3. В раскрывающемся списке оператор выберите нужный вам оператор.

        Операторы фильтров

        • = – левый операнд равен правому операнду.
        • < – левый операнд меньше правого операнда.
        • <= – левый операнд меньше или равен правому операнду.
        • > – левый операнд больше правого операнда.
        • >= – левый операнд больше или равен правому операнду.
        • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
        • contains – левый операнд содержит значения правого операнда.
        • startsWith – левый операнд начинается с одного из значений правого операнда.
        • endsWith – левый операнд заканчивается одним из значений правого операнда.
        • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
        • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

          Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

          Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

        • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

          Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

        • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
        • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
        • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
        • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
        • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
        • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

        Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

        По умолчанию флажок снят.

      5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
      6. Вы можете добавить несколько условий или группу условий.
    5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
    6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

      Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

    Фильтрация по данным из поля события Extra

    Условия для фильтров по данным из поля события Extra:

    • Условие – Если.
    • Левый операнд – поле события.
    • В поле события вы можете указать одно из следующих значений:
      • Поле Extra.
      • Значение из поля Extra в следующем формате:

        Extra.<название поля>

        Например, Extra.app.

        Значение этого типа указывается вручную.

      • Значение из массива, записанного в поле Extra, в следующем формате:

        Extra.<название поля>.<элемент массива>

        Например, Extra.array.0.

        Нумерация значений в массиве начинается с 0.

        Значение этого типа указывается вручную.

        Чтобы работать со значением из поля Extra на глубине 3 и ниже, следует использовать кавычки ``. Например, `Extra.lev1.lev2.lev3`.

    • Оператор – =.
    • Правый операнд – константа.
    • Значение – значение, по которому требуется фильтровать события.

На закладке Локальные переменные с помощью кнопки Добавить переменную можно объявлять переменные, которые будут действовать в пределах этого правила корреляции.

Последовательность условий, заданных в селекторе корреляционного правила, имеет значение и влияет на производительность системы. Мы рекомендуем на первое место в селекторе ставить наиболее уникальный критерий отбора.

Рассмотрим два примера селекторов, осуществляющих выборку событий успешной аутентификации в Microsoft Windows.

Селектор 1:

Условие 1. DeviceProduct = Microsoft Windows

Условие 2. DeviceEventClassID =  4624

Селектор 2:

Условие 1. DeviceEventClassID = 4624

Условие 2.  DeviceProduct = Microsoft Windows

Последовательность условий, заданная в Селекторе 2, более предпочтительна, поскольку оказывает меньшую нагрузку на систему.

Закладка Действия

В правиле типа simple может быть только один триггер: На каждом событии. Он активируется каждый раз, когда срабатывает селектор.

Доступные параметры триггера:

  • Отправить событие на дальнейшую обработку – если этот флажок установлен, корреляционное событие будет отправлено на пост-обработку: на обогащение, для реагирования и в точки назначения.
  • Отправить событие снова в коррелятор – если этот флажок установлен, созданное корреляционное событие будет обрабатываться текущим правилом корреляции. Это позволяет достичь иерархической корреляции.

    Если установлены оба флажка, правило корреляции будет отправлено сначала на пост-обработку, а затем в селекторы текущего правила корреляции.

  • Не создавать алерт – если этот флажок установлен, алерт не будет создаваться при срабатывании этого правила корреляции.
  • Группа параметров Обновление активных листов – используется для назначения триггера на одну или несколько операций с активными листами. С помощью кнопок Добавить действие с активным листом и Удалить действие с активным листом можно добавлять и удалять операции с активными листами.

    Доступные параметры:

    • Название (обязательно) – этот раскрывающийся список используется для выбора активного листа.
    • Операция (обязательно) – этот раскрывающийся список используется для выбора операции, которую необходимо выполнить:
      • Получить – получить запись активного листа и записать значения указанных полей в корреляционное событие.
      • Установить – записать значения указанных полей корреляционного события в активный лист, создав новую или обновив существующую запись активного листа. При обновлении записи активного листа данные объединяются, и только указанные поля перезаписываются.
      • Удалить – удалить запись из активного листа.
    • Ключевые поля (обязательно) – это список полей события, используемые для создания записи активного листа. Этот список также используется в качестве ключа записи активного листа.

      Ключ записи активного листа зависит только от состава полей и не зависит от порядка их отображения в веб-интерфейсе KUMA.

    • Сопоставление (требуется для операций Получить и Установить) – используется для сопоставления полей активного листа с полями событий. Можно установить более одного правила сопоставления.
      • Левое поле используется для указания поля активного листа.

        Поле не должно содержать специальные символы или только цифры.

      • Средний раскрывающийся список используется для выбора полей событий.
      • Правое поле можно использовать для назначения константы полю активного листа, если была выбрана операция Установить.
  • Группа параметров Обогащение – вы можете менять значения полей корреляционных событий, используя правила обогащения. Эти правила обогащения хранятся в правиле корреляции, в котором они были созданы. Можно создать несколько правил обогащения. Правила обогащения можно добавлять или удалять с помощью кнопок Добавить обогащение и Удалить обогащение.
    • Тип источника – в этом раскрывающемся списке можно выбрать тип обогащения. В зависимости от выбранного типа отобразятся дополнительные параметры, которые также потребуется заполнить.

      Доступные типы обогащения:

      • константа

        Этот тип обогащения используется, если в поле события необходимо добавить константу. Параметры этого типа обогащения:

        • В поле Константа укажите значение, которое следует добавить в поле события. Значение должно состоять не более чем из 255 символов в кодировке Unicode. Если оставить это поле пустым, существующее значение поля события будет удалено.
        • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.

      • словарь

        Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Словарь.

        При выборе этого типа в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.

      • таблица

        Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Таблица.

        При выборе этого типа обогащения в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.

        Также в таблице Сопоставление необходимо настроить, из каких полей словаря и в какие поля события будут передаваться данные:

        • В столбце Поле словаря необходимо выбрать поле словаря. Доступные поля зависят от выбранного ресурса словаря.
        • В столбце Поле KUMA необходимо выбрать поле события, в которое следует записать значение. Для некоторых выбранных полей (*custom* и *flex*) в столбце Подпись можно задать название для помещаемых в них данных.

        Новые строки в таблицу можно добавлять с помощью кнопки Добавить элемент. Столбцы можно удалить с помощью кнопки cross.

      • событие

        Этот тип обогащения используется, если в поле события необходимо записать значение другого поля события. Параметры этого типа обогащения:

        • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
        • В раскрывающемся списке Исходное поле выберите поле события, значение которого будет записано в целевое поле.
        • Если нажать на кнопку wrench-new, откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA.

          Доступные преобразования

          Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

          Доступные преобразования:

          • lower – используется для перевода всех символов значения в нижний регистр
          • upper – используется для перевода всех символов значения в верхний регистр
          • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
          • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
          • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
            • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
            • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
          • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
          • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
          • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
          • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
            • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
            • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
          • Конвертация закодированных строк в текст:
            • decodeHexString – используется для конвертации HEX-строки в текст.
            • decodeBase64String – используется для конвертации Base64-строки в текст.
            • decodeBase64URLString – используется для конвертации Base64url-строки в текст.

            При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.

            При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, такая строка будет обрезана и не будет раскодирована.

            Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, такая строка будет обрезана до размера этого поля события.

      • шаблон

        Этот тип обогащения используется, если в поле события необходимо записать значение, полученное при обработке шаблонов Go. Параметры этого типа обогащения:

        • В поле Шаблон поместите шаблон Go.

          Имена полей событий передаются в формате {{.EventField}}, где EventField – это название поля события, значение которого должно быть передано в скрипт.

          Пример: Атака на {{.DestinationAddress}} со стороны {{.SourceAddress}}.

        • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
    • Отладка – с помощью этого раскрывающегося списка можно включить логирование операций сервиса.
    • Описание – описание ресурса. До 4000 символов в кодировке Unicode.
    • Блок параметров Фильтр – позволяет выбрать, какие события будут отправляться на обогащение. Настройка происходит, как описано выше.
  • Группа параметров Изменение категорий – используется для изменения категорий активов, указанных в событии. Правил категоризации может быть несколько: их можно добавить или удалить с помощью кнопок Добавить категоризацию или Удалить категоризацию. Активам можно добавлять или удалять только реактивные категории.
    • Действие – этот раскрывающийся список используется для выбора операции над категорией:
      • Добавить – присвоить категорию активу.
      • Удалить – отвязать актив от категории.
    • Поле события – поле события, в котором указан актив, над которым будет совершена операция.
    • Идентификатор категории – с помощью кнопки parent-category можно выбрать категорию, над которой будет совершена операция. При нажатии на нее открывается окно Выбор категорий, где отображается дерево категорий.

В начало
[Topic 221199]

Правила корреляции типа operational

Правила корреляции типа operational используются для работы с активными листами.

Окно правила корреляции содержит следующие закладки:

  • Общие – используется для указания основных параметров правила корреляции. На этой закладке можно выбрать тип правила корреляции.
  • Селекторы – используется для определения условий, которым должны удовлетворять обрабатываемые события для срабатывания правила корреляции. Доступные параметры зависят от выбранного типа правил.
  • Действия – используется для установки триггеров, срабатывающих при выполнении условий, заданных в группе настроек Селекторы. У правила корреляции должен быть хотя бы один триггер. Доступные параметры зависят от выбранного типа правил.

Закладка Общие

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – тенант, которому принадлежит правило корреляции.
  • Тип (обязательно) – раскрывающийся список для выбора типа правила корреляции. Выберите operational, если хотите создать правило корреляции типа operational.
  • Частота срабатываний – максимальное количество срабатываний правила корреляции в секунду. Значение по умолчанию: 100.

    Если правила корреляции, в которых реализована сложная логика обнаружения закономерностей, не срабатывают, причиной могут быть особенности подсчета срабатываний правила в KUMA. Попробуйте увеличить значение Частота срабатываний, например, до 1000000.

  • Описание – описание ресурса. До 4000 символов в кодировке Unicode.

Закладка Селекторы

В правиле типа operational может быть только один селектор, для которого доступны закладки Параметры и Локальные переменные.

Закладка Параметры содержит параметры с блоком параметров Фильтр:

  • Фильтр (обязательно) – используется для установки критериев определения событий, из-за которых будет срабатывать селектор. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

    Создание фильтра в ресурсах

    1. В раскрывающемся списке Фильтр выберите Создать.
    2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

      В этом случае вы сможете использовать созданный фильтр в разных сервисах.

      По умолчанию флажок снят.

    3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
    4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
      1. Нажмите на кнопку Добавить условие.
      2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

        В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

      3. В раскрывающемся списке оператор выберите нужный вам оператор.

        Операторы фильтров

        • = – левый операнд равен правому операнду.
        • < – левый операнд меньше правого операнда.
        • <= – левый операнд меньше или равен правому операнду.
        • > – левый операнд больше правого операнда.
        • >= – левый операнд больше или равен правому операнду.
        • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
        • contains – левый операнд содержит значения правого операнда.
        • startsWith – левый операнд начинается с одного из значений правого операнда.
        • endsWith – левый операнд заканчивается одним из значений правого операнда.
        • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
        • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

          Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

          Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

        • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

          Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

        • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
        • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
        • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
        • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
        • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
        • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

        Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

        По умолчанию флажок снят.

      5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
      6. Вы можете добавить несколько условий или группу условий.
    5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
    6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

      Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

    Фильтрация по данным из поля события Extra

    Условия для фильтров по данным из поля события Extra:

    • Условие – Если.
    • Левый операнд – поле события.
    • В поле события вы можете указать одно из следующих значений:
      • Поле Extra.
      • Значение из поля Extra в следующем формате:

        Extra.<название поля>

        Например, Extra.app.

        Значение этого типа указывается вручную.

      • Значение из массива, записанного в поле Extra, в следующем формате:

        Extra.<название поля>.<элемент массива>

        Например, Extra.array.0.

        Нумерация значений в массиве начинается с 0.

        Значение этого типа указывается вручную.

        Чтобы работать со значением из поля Extra на глубине 3 и ниже, следует использовать кавычки ``. Например, `Extra.lev1.lev2.lev3`.

    • Оператор – =.
    • Правый операнд – константа.
    • Значение – значение, по которому требуется фильтровать события.

На закладке Локальные переменные с помощью кнопки Добавить переменную можно объявлять переменные, которые будут действовать в пределах этого правила корреляции.

Закладка Действия

В правиле типа operational может быть только один триггер: На каждом событии. Он активируется каждый раз, когда срабатывает селектор.

Доступные параметры триггера:

  • Группа параметров Обновление активных листов – используется для назначения триггера на одну или несколько операций с активными листами. С помощью кнопок Добавить действие с активным листом и Удалить действие с активным листом можно добавлять и удалять операции с активными листами.

    Доступные параметры:

    • Название (обязательно) – этот раскрывающийся список используется для выбора активного листа.
    • Операция (обязательно) – этот раскрывающийся список используется для выбора операции, которую необходимо выполнить:
      • Получить – получить запись активного листа и записать значения указанных полей в корреляционное событие.
      • Установить – записать значения указанных полей корреляционного события в активный лист, создав новую или обновив существующую запись активного листа. При обновлении записи активного листа данные объединяются, и только указанные поля перезаписываются.
      • Удалить – удалить запись из активного листа.
    • Ключевые поля (обязательно) – это список полей события, используемые для создания записи активного листа. Этот список также используется в качестве ключа записи активного листа.

      Ключ записи активного листа зависит только от состава полей и не зависит от порядка их отображения в веб-интерфейсе KUMA.

    • Сопоставление (требуется для операций Получить и Установить) – используется для сопоставления полей активного листа с полями событий. Можно установить более одного правила сопоставления.
      • Левое поле используется для указания поля активного листа.

        Поле не должно содержать специальные символы или только цифры.

      • Средний раскрывающийся список используется для выбора полей событий.
      • Правое поле можно использовать для назначения константы полю активного листа, если была выбрана операция Установить.
В начало
[Topic 221203]

Переменные в корреляторах

Если для покрытия каких-то сценариев обеспечения безопасности недостаточно отслеживания значений в полях событий, активных листах или словарях, вы можете воспользоваться глобальными и локальными переменными. С их помощью можно выполнять различные действия над поступающими в корреляторы значениями, реализуя сложную логику выявления угроз. Переменные можно объявить в корреляторе (глобальные переменные) или в правиле корреляции (локальные переменные), присвоив им какую-либо функцию, а затем обращаться к ним из правил корреляции, как к обычным полям событий, получая в ответ результат срабатывания функции.

Область применения переменных:

К переменным можно обращаться так же, как к полям события, предваряя их название символом $.

В этом разделе

Локальные переменные в группирующих и уникальных полях

Локальные переменные в селекторе

Локальные переменные в обогащении событий

Локальные переменные в обогащении активных листов

Свойства переменных

Требования к переменным

Функции переменных

Объявление переменных
В начало
[Topic 234114]

Локальные переменные в группирующих и уникальных полях

Вы можете использовать локальные переменных в разделах Группирующие поля и Уникальные поля правил корреляции типа standard. Для использования локальной переменной необходимо перед ее именем указывать символ "$".

Вы можете ознакомиться с примером использования локальных переменных в разделах Группирующие поля и Уникальные поля в правиле, поставляемом в KUMA: R403_Обращение на вредоносные ресурсы с хоста с отключенной защитой или устаревшей антивирусной базой.

В начало
[Topic 260640]

Локальные переменные в селекторе

Чтобы использовать локальную переменную в селекторе:

  1. Добавьте локальную переменную в правило.
  2. В окне Правила корреляции перейдите на вкладку Общие и добавьте созданную локальную переменную в раздел Группирующие поля. Перед именем локальной переменной укажите символ "$".
  3. В окне Правила корреляции перейдите на вкладку Селекторы, выберите существующий фильтр или создайте новый и нажмите на кнопку Добавить условие.
  4. В качестве операнда выберите поле события.
  5. В качестве значения поля события укажите локальную переменную и укажите символ "$" перед именем переменной.
  6. Укажите остальные параметры фильтра.
  7. Нажмите Сохранить.

Вы можете ознакомиться с примером использования локальных переменных в правиле, поставляемом с KUMA: R403_Обращение на вредоносные ресурсы с хоста с отключенной защитой или устаревшей антивирусной базой.

В начало
[Topic 260641]

Локальные переменные в обогащении событий

Вы можете использовать правила корреляции типа standard и simple для обогащения событий с помощью локальных переменных.

Обогащение текстом и числами

Обогащение событий можно выполнять с помощью текста (строк). Для этого могут быть использованы функции, позволяющие модифицировать строки: to_lower, to_upper, str_join, append, prepend, substring, tr, replace, str_join.

Обогащение событий можно выполнять с помощью чисел. Для этого могут быть использованы функции: сложение (оператор "+"), вычитание (оператор "-"), умножение (оператор "*"), деление (оператор "/"), round, ceil, floor, abs, pow.

Также для работы с данными в локальных переменных могут быть использованы регулярные выражения.

Применение регулярных выражений в правилах корреляции создаёт большую нагрузку в сравнении с другими операциями. Поэтому при разработке правил корреляции мы рекомендуем ограничить использование регулярных выражений до необходимого минимума и применять другие доступные операции.

Обогащение временных отметок

Обогащение событий можно выполнять с помощью временных отметок (даты и времени). Для этого могут быть использованы функции, позволяющие получать или модифицировать временные метки: now, extract_from_timestamp, parse_timestamp, format_timestamp, truncate_timestamp, time_diff.

Операции с активными списками и таблицами

Вы можете выполнять обогащение событий с помощью локальных переменных и данных, находящихся в активных списках и таблицах.

Для обогащения событий данными из активного списка необходимо воспользоваться функциями active_list, active_list_dyn.

Для обогащения событий данными из таблицы необходимо воспользоваться функциями table_dict, dict.

Вы можете создавать условные операторы при помощи функции conditional в локальных переменных. Таким образом переменная может вернуть одно из значений в зависимости от того, какие данные поступили для обработки.

Использование локальной переменной для обогащения событий

Чтобы использовать локальную переменную для обогащения событий:

  1. Добавьте локальную переменную в правило.
  2. В окне Правила корреляции перейдите на вкладку Общие и добавьте созданную локальную переменную в раздел Группирующие поля. Перед именем локальной переменной укажите символ "$".
  3. В окне Правила корреляции перейдите на вкладку Действия и в группе параметров Обогащение в раскрывающемся списке Тип источника данных выберите событие.
  4. В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое необходимо передать значение локальной переменной.
  5. В раскрывающемся списке Исходное поле выберите локальную переменную. Перед именем локальной переменной укажите символ "$".
  6. Укажите остальные параметры правила.
  7. Нажмите Сохранить.
В начало
[Topic 260642]

Локальные переменные в обогащении активных листов

Вы можете использовать локальные переменные для обогащения активных листов.

Чтобы выполнить обогащение активного списка при помощи локальной переменной:

  1. Добавьте локальную переменную в правило.
  2. В окне Правила корреляции перейдите на вкладку Общие и добавьте созданную локальную переменную в раздел Группирующие поля. Перед именем локальной переменной укажите символ "$".
  3. В окне Правила корреляции перейдите на вкладку Действия и в группе параметров Обновление активных листов добавьте локальную переменную в поле Ключевые поля. Перед именем локальной переменной укажите символ "$".
  4. В группе параметров Сопоставление укажите соответствие между полями события и полями активного списка.
  5. Нажмите на кнопку Сохранить.
В начало
[Topic 260644]

Свойства переменных

Локальные и глобальные переменные

Свойства глобальных и локальных переменных различаются.

Глобальные переменные:

  • Глобальные переменные объявляются на уровне коррелятора и действуют только в пределах этого коррелятора.
  • К глобальным переменным коррелятора можно обращаться из всех правил корреляции, которые в нем указаны.
  • В правилах корреляции типа standard одна и та же глобальная переменная в каждом селекторе может принимать разные значения.
  • Невозможно переносить глобальные переменные между разными корреляторами.

Локальные переменные:

  • Локальные переменные объявляются на уровне правила корреляции и действуют только в пределах этого правила.
  • В правилах корреляции типа standard областью действия локальной переменной является только тот селектор, в котором переменная была объявлена.
  • Локальные переменные можно объявлять в любых типах правил корреляции.
  • Невозможно переносить локальные переменные между правилами или селекторами.
  • Локальная переменная не может быть использована в качестве глобальной переменной.

Переменные в разных типах правил корреляции

  • В правилах корреляции типа operational в закладке Действия можно указывать все доступные или объявленные в этом правиле переменные.
  • В правилах корреляции типа standard в закладке Действия можно указывать только переменные, указанные в этих правилах на закладке Общие в поле Группирующие поля.
  • В правилах корреляции типа simple в закладке Действия можно указывать только переменные, указанные в этих правилах на закладке Общие в поле Наследуемые поля.

В начало
[Topic 234737]

Требования к переменным

Добавляя функцию переменной необходимо сначала указать название функции, а затем в круглых скобках перечислить ее параметры. Исключением являются простейшие математические операции (сложение, вычитание, умножение, деление), при их использовании скобками обозначается приоритет выполнения операций.

Требования к названиям функций:

  • Должно быть уникально в рамках коррелятора.
  • Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Не может начинаться с символа $.
  • Должно быть написано в camelCase или CamelCase.

Особенности указания функций переменных:

  • Последовательность указания параметров имеет значение.
  • Параметры передаются через запятую: ,.
  • Строковые параметры передаются в одинарных кавычках: '.
  • Наименования полей событий и переменные указываются без кавычек.
  • При обращении к переменной как параметру перед ее названием необходимо добавлять символ $.
  • Ставить пробел между параметрами необязательно.
  • Во всех функциях, где в качестве параметров допускается использование переменной, допускается создавать вложенные функции.
В начало
[Topic 234739]

Функции переменных

Операции с активными листами и словарями

Функции "active_list" и "active_list_dyn"

Функции позволяют получать информацию из активного листа и динамически формировать имя поля активного листа и ключа.

Необходимо указать параметры в следующей последовательности:

  1. название активного листа;
  2. выражение, возвращающее название поля активного листа;
  3. одно или несколько выражений, из результатов которых будет составлен ключ.

    Пример использования

    Результат выполнения

    active_list('Test', to_lower('DeviceHostName'), to_lower(DeviceCustomString2), to_lower(DeviceCustomString1))

    Получение значения поля активного листа.

С помощью этих функций из переменной можно обратиться к активному листу общего тенанта. Для этого после названия активного листа необходимо добавить суффикс @Shared (регистр имеет значение). Например, active_list('exampleActiveList@Shared', 'score', SourceAddress,SourceUserName).

Функция "table_dict"

Получение информации о значении в указанном столбце словаря типа таблица.

Необходимо указать параметры в следующей последовательности:

  1. название словаря;
  2. название столбца словаря;
  3. одно или несколько выражений, из результатов которых будет составлен ключ строки словаря.

    Пример использования

    Результат выполнения

    table_dict('exampleTableDict', 'office', SourceUserName)

    Получение данных из словаря exampleTableDict из строки с ключом SourceUserName из столбца office.

    table_dict('exampleTableDict', 'office', SourceAddress, to_lower(SourceUserName))

    Получение данных из словаря exampleTableDict из строки с составным ключом из значения поля SourceAddress и значения поля SourceUserName в нижнем регистре из столбца office.

С помощью этой функции из переменной можно обратиться к словарю общего тенанта. Для этого после названия активного листа необходимо добавить суффикс @Shared (регистр имеет значение). Например, table_dict('exampleTableDict@Shared', 'office', SourceUserName).

Функция "dict"

Получение информации о значении в указанном столбце словаря типа словарь.

Необходимо указать параметры в следующей последовательности:

  1. название словаря;
  2. одно или несколько выражений, из результатов которых будет составлен ключ строки словаря.

    Пример использования

    Результат выполнения

    dict('exampleDictionary', SourceAddress)

    Получение данных из словаря exampleDictionary из строки с ключом SourceAddress.

    dict('exampleDictionary', SourceAddress, to_lower(SourceUserName))

    Получение данных из словаря exampleDictionary из строки с составным ключом из значения поля SourceAddress и значения поля SourceUserName в нижнем регистре.

С помощью этой функции из переменной можно обратиться к словарю общего тенанта. Для этого после названия активного листа необходимо добавить суффикс @Shared (регистр имеет значение). Например, dict('exampleDictionary@Shared', SourceAddress).

Операции со строками

Функция "len"

Возвращает число символов в строке.

Строку можно передать строкой, названием поля или переменной.

Примеры использования

len('SomeText')

len(Message)

len($otherVariable)

Функция "to_lower"

Перевод символов в строке в нижний регистр.

Строку можно передать строкой, названием поля или переменной.

Примеры использования

to_lower(SourceUserName)

to_lower('SomeText')

to_lower($otherVariable)

Функция "to_upper"

Перевод символов в строке в верхний регистр. Строку можно передать строкой, названием поля или переменной.

Примеры использования

to_upper(SourceUserName)

to_upper('SomeText')

to_upper($otherVariable)

Функция "append"

Добавление символов в конец строки.

Необходимо указать параметры в следующей последовательности:

  1. исходная строка;
  2. добавляемая строка.

Строки можно передать строкой, названием поля или переменной.

Примеры использования

Результат использования

append(Message, '123')

Строка из поля Message, в конце которой добавлена строка 123.

append($otherVariable, 'text')

Строка из переменной otherVariable, в конце которой добавлена строка text.

append(Message, $otherVariable)

Строка из поля Message, в конце которой добавлена строка из переменной otherVariable.

Функция "prepend"

Добавление символов в начало строки.

Необходимо указать параметры в следующей последовательности:

  1. исходная строка;
  2. добавляемая строка.

Строки можно передать строкой, названием поля или переменной.

Примеры использования

Результат использования

prepend(Message, '123')

Строка из поля Message, в начало которой добавлена строка 123.

prepend($otherVariable, 'text')

Строка из переменной otherVariable, в начало которой добавлена строка text.

prepend(Message, $otherVariable)

Строка из поля Message, в начало которой добавлена строка из переменной otherVariable.

Функция "substring"

Возвращает подстроку из строки. 

Необходимо указать параметры в следующей последовательности:

  1. исходная строка;
  2. позиция начала подстроки (натуральное число или 0);
  3. (необязательно) позиция конца подстроки.

Строки можно передать строкой, названием поля или переменной. Если номер позиции больше, чем длина строки исходных данных, возвращается пустая строка.

Примеры использования

Результат использования

substring(Message, 2)

Возвращает часть строки из поля Message: от 3 символа до конца.

substring($otherVariable, 2, 5)

Возвращает часть строки из переменной otherVariable: от 3 до 6 символа.

substring(Message, 0, len(Message) - 1)

Возвращает всю строку из поля Message, кроме последнего символа.

Функция "tr"

Убирает из начала и конца строки указанные символы.

Необходимо указать параметры в следующей последовательности:

  1. исходная строка;
  2. (необязательно) строка, которую следует удалить из начала и конца исходной строки.

Строки можно передать строкой, названием поля или переменной. Если строку на удаление не указать, в начале и в конце исходной строки будут удалены пробелы.

Примеры использования

Результат использования

tr(Message)

В начале и в конце строки из поля Message удалены пробелы.

tr($otherVariable, '_')

Если переменной otherVariable соответствует значение _test_, будет возвращена строка test.

tr(Message, '@example.com')

Если в поле события Message находится строка user@example.com, будет возвращена строка user.

Функция "replace"

Замена в строке всех вхождений последовательности символов А на последовательность символов B.

Необходимо указать параметры в следующей последовательности:

  1. исходная строка;
  2. строка поиска: последовательность символов, подлежащая замене;
  3. строка замены: последовательность символов, на которую необходимо заменить строку поиска.

Строки можно передать выражением.

Примеры использования

Результат использования

replace(Name, 'UserA', 'UserB')

Возвращается строка из поля события Name, в которой все вхождения UserA заменены на UserB.

replace($otherVariable, ' text ', '_text_')

Возвращается строка из переменной otherVariable, в которой все вхождения ' text ' заменены на '_text_'.

Функция "regexp_replace"

Замена в строке последовательности символов, удовлетворяющих регулярному выражению, на последовательность символов и группы захвата регулярного выражения.

Необходимо указать параметры в следующей последовательности:

  1. исходная строка;
  2. строка поиска: регулярное выражение;
  3. строка замены: последовательность символов, на которую необходимо заменить строку поиска, и идентификаторы групп захвата регулярного выражения. Строку можно передать выражением.

Строки можно передать строкой, названием поля или переменной. Допускается использовать неименованные группы захвата.

В регулярных выражениях, используемых в функциях переменных, каждый символ обратной косой черты необходимо дополнительно экранировать. Например, вместо регулярного выражения ^example\\ необходимо указывать выражение ^example\\\\.

Примеры использования

Результат использования

regexp_replace(SourceAddress, '([0-9]{1,3}).([0-9]{1,3}).([0-9]{1,3}).([0-9]{1,3})', 'newIP: $1.$2.$3.10')

Возвращается строка из поля события SourceAddress, в которой перед IP-адресами вставлен текст newIP. Также последние цифры адреса заменены на 10.

Функция "regexp_capture"

Получение из исходной строки результата, удовлетворяющего условию регулярного выражения.

Необходимо указать параметры в следующей последовательности:

  1. исходная строка;
  2. строка поиска: регулярное выражение.

Строки можно передать строкой, названием поля или переменной. Допускается использовать неименованные группы захвата.

В регулярных выражениях, используемых в функциях переменных, каждый символ обратной косой черты необходимо дополнительно экранировать. Например, вместо регулярного выражения ^example\\ необходимо указывать выражение ^example\\\\.

Примеры использования

Примеры значений

Результат использования

regexp_capture(Message, '(\\\\d{1,3}\\\\.\\\\d{1,3}\\\\.\\\\d{1,3}\\\\.\\\\d{1,3})')

Message = 'Access from 192.168.1.1 session 1'

Message = 'Access from 45.45.45.45 translated address 192.168.1.1 session 1'

'192.168.1.1'

'45.45.45.45'

Операции с метками времени

Функция now

Получение временной метки в формате epoch. Запускается без аргументов.

Примеры использования

now()

Функция "extract_from_timestamp"

Получение атомарных представлений времени (в виде год, месяц, день, час, минута, секунда, день недели) из полей и переменных с временем в формате epoch.

Параметры необходимо указать в следующей последовательности:

  1. Поле события, имеющего тип timestamp, или переменная.
  2. Обозначение атомарного представления времени. Параметр регистрозависимый.

    Возможные варианты обозначения атомарного времени:

    • y – год в виде числа.
    • M – месяц, числовое обозначение.
    • d – число месяца.
    • wd – день недели: Monday, Tuesday, Wednesday, Thursday, Friday, Saturday, Sunday.
    • h – часы в 24-часовом формате.
    • m – минуты.
    • s – секунды.
  3. (необязательно) Обозначение часового пояса. Если параметр не указан, время высчитывается в формате UTC.

    Примеры использования

    extract_from_timestamp(Timestamp, 'wd')

    extract_from_timestamp(Timestamp, 'h')

    extract_from_timestamp($otherVariable, 'h')

    extract_from_timestamp(Timestamp, 'h', 'Europe/Moscow')

Функция "parse_timestamp"

Представление времени из формата RFC3339 (например, "2022-05-24 00:00:00", "2022-05-24 00:00:00+0300) в формат epoch.

Примеры использования

parse_timestamp(Message)

parse_timestamp($otherVariable)

Функция "format_timestamp"

Представление времени из формата epoch в формат RFC3339.

Параметры необходимо указать в следующей последовательности:

  1. Поле события, имеющего тип timestamp, или переменная.
  2. Обозначение формата времени: RFC3339.
  3. (необязательно) Обозначение часового пояса. Если параметр не указан, время высчитывается в формате UTC.

    Примеры использования

    format_timestamp(Timestamp, 'RFC3339')

    format_timestamp($otherVariable, 'RFC3339')

    format_timestamp(Timestamp, 'RFC3339', 'Europe/Moscow')

Функция "truncate_timestamp"

Округление времени в формате epoch. После округления время возвращается в формате epoch. Время округляется в меньшую сторону.

Параметры необходимо указать в следующей последовательности:

  1. Поле события, имеющего тип timestamp, или переменная.
  2. Параметр округления:
    • 1s – округление до секунд;
    • 1m – округление до минут;
    • 1h – округление до часов;
    • 24h – округление до суток.
  3. (необязательно) Обозначение часового пояса. Если параметр не указан, время высчитывается в формате UTC.

    Примеры использования

    Примеры округляемых значений

    Результат использования

    truncate_timestamp(Timestamp, '1m')

    1654631774175 (7 June 2022 г., 19:56:14.175)

    1654631760000 (7 June 2022 г., 19:56:00)

    truncate_timestamp($otherVariable, '1h')

    1654631774175 (7 June 2022 г., 19:56:14.175)

    1654628400000 (7 June 2022 г., 19:00:00)

    truncate_timestamp(Timestamp, '24h', 'Europe/Moscow')

    1654631774175 (7 June 2022 г., 19:56:14.175)

    1654560000000 (7 June 2022 г., 0:00:00)

Функция "time_diff"

Получение интервала времени между двумя метками времени в формате epoch.

Параметры необходимо указать в следующей последовательности:

  1. Время конца отрезка. Поле события, имеющего тип timestamp, или переменная.
  2. Время начала отрезка. Поле события, имеющего тип timestamp, или переменная.
  3. Представление временного интервала:
    • ms – в миллисекундах;
    • s – в секундах;
    • m – в минутах;
    • h – в часах;
    • d – в днях.

    Примеры использования

    time_diff(EndTime, StartTime, 's')  

    time_diff($otherVariable, Timestamp, 'h')

    time_diff(Timestamp, DeviceReceiptTime, 'd')

Математические операции

Представлены как простейшими математическими операциями, так и функциями.

Простейшие математические операции

Операции:

  • сложение;
  • вычитание;
  • умножение;
  • деление;
  • деление по модулю.

Использование круглых скобок определяет последовательность действий

Доступные аргументы:

  • числовые поля события;
  • числовые переменные;
  • вещественные числа.

    При делении по модулю в качестве аргументов можно использовать только натуральные числа.

Ограничения использования:

  • деление на ноль возвращает ноль;
  • математические операции между числами и строками возвращают ноль;
  • целые числа, полученные в результате операций, возвращаются без точки.

    Примеры использования

    (Type=3; otherVariable=2; Message=text)

    Результат использования

    Type + 1

    4

    $otherVariable - Type

    -1

    2 * 2.5

    5

    2 / 0

    0

    Type * Message

    0

    (Type + 2) * 2

    10

    Type % $otherVariable

    1

Функция "round"

Округление чисел. 

Доступные аргументы:

  • числовые поля события;
  • числовые переменные;
  • числовые константы.

    Примеры использования

    (DeviceCustomFloatingPoint1=7.75; DeviceCustomFloatingPoint2=7.5 otherVariable=7.2)

    Результат использования

    round(DeviceCustomFloatingPoint1)

    8

    round(DeviceCustomFloatingPoint2)

    8

    round($otherVariable)

    7

Функция "ceil"

Округление чисел в большую сторону.

Доступные аргументы:

  • числовые поля события;
  • числовые переменные;
  • числовые константы.

    Примеры использования

    (DeviceCustomFloatingPoint1=7.15; otherVariable=8.2)

    Результат использования

    ceil(DeviceCustomFloatingPoint1)

    8

    ceil($otherVariable)

    9

Функция "floor"

Округление чисел в меньшую сторону.

Доступные аргументы:

  • числовые поля события;
  • числовые переменные;
  • числовые константы.

    Примеры использования

    (DeviceCustomFloatingPoint1=7.15; otherVariable=8.2)

    Результат использования

    floor(DeviceCustomFloatingPoint1)

    7

    floor($otherVariable)

    8

Функция "abs"

Получение числа по модулю.

Доступные аргументы:

  • числовые поля события;
  • числовые переменные;
  • числовые константы.

    Примеры использования

    (DeviceCustomNumber1=-7; otherVariable=-2)

    Результат использования

    abs(DeviceCustomFloatingPoint1)

    7

    abs($otherVariable)

    2

Функция "pow"

Возведение числа в степень.

Параметры необходимо указать в следующей последовательности:

  1. База – вещественные числа.
  2. Степень – натуральные числа.

Доступные аргументы:

  • числовые поля события;
  • числовые переменные;
  • числовые константы.

    Примеры использования

    pow(DeviceCustomNumber1, DeviceCustomNumber2)

    pow($otherVariable, DeviceCustomNumber1)

Функция "str_join"

Позволяет объединить несколько строк в одну с использованием разделителя.

Параметры необходимо указать в следующей последовательности:

  1. Разделитель. Строка.
  2. Строка1, строка2, строкаN. Минимум 2 выражения.

    Примеры использования

    Результат использования

    str_join('|', to_lower(Name), to_upper(Name), Name)

    Строка.

Функция "conditional"

Позволяет получить одно значения в случае выполнения условия и другое значение, если условие не выполнится.

Параметры необходимо указать в следующей последовательности:

  1. Условие. Строка. Синтаксис аналогичен условиям в SQL Where. В условии можно использовать функции переменных KUMA и ссылаться на другие переменные.
  2. Значение при выполнении условия. Выражение.
  3. Значение при невыполнении условия. Выражение.

Поддерживаемые операторы:

  • AND
  • OR
  • NOT
  • =
  • !=
  • <
  • <=
  • >
  • >=
  • LIKE (передается регулярное выражение RE2, а не SQL-выражение)
  • ILIKE (передается регулярное выражение RE2, а не SQL-выражение)
  • BETWEEN
  • IN
  • IS NULL (проверка на пустое значение, например 0 или пустую строку)

    Примеры использования (значение зависит от аргументов 2 и 3)

    conditional('SourceUserName = \\'root\\' AND DestinationUserName = SourceUserName', 'match', 'no match')

    conditional(`DestinationUserName ILIKE 'svc_.*'`, 'match', 'no match')

    conditional(`DestinationUserName NOT LIKE 'svc_.*'`, 'match', 'no match')

В начало
[Topic 234740]

Объявление переменных

Для объявления переменных их необходимо добавить в коррелятор или правило корреляции.

Чтобы добавить глобальную переменную в существующий коррелятор:

  1. В веб-интерфейсе KUMA в разделе РесурсыКорреляторы выберите набор ресурсов нужного коррелятора.

    Откроется мастер установки коррелятора.

  2. Выберите шаг мастера установки Глобальные переменные.
  3. Нажмите на кнопку Добавить переменную и укажите следующие параметры:

    Переменных можно добавить несколько. Добавленные переменные можно изменить или удалить с помощью значка cross.

  4. Выберите шаг мастера установки Проверка параметров и нажмите Сохранить.

Глобальная переменная добавлена в коррелятор. К ней можно обращаться, как к полю события, указывая перед названием переменной символ $. Переменная будет использоваться при корреляции после перезапуска сервиса коррелятора.

Чтобы добавить локальную переменную в существующее правило корреляции:

  1. В веб-интерфейсе KUMA в разделе РесурсыПравила корреляции выберите нужное правило корреляции.

    Откроется окно параметров правила корреляции. Параметры правила корреляции можно также открыть из коррелятора, в которое оно было добавлено, перейдя на шаг мастера установки Корреляция.

  2. Откройте закладку Селекторы.
  3. В селекторе откройте закладку Локальные переменные, нажмите на кнопку Добавить переменную и укажите следующие параметры:

    Переменных можно добавить несколько. Добавленные переменные можно изменить или удалить с помощью значка cross.

    Для правил корреляции типа standard повторите этот шаг для каждого селектора, в которым вы хотите объявить переменные.

  4. Нажмите Сохранить.

Локальная переменная добавлена в правило корреляции. К ней можно обращаться, как к полю события, указывая перед названием переменной символ $. Переменная будет использоваться при корреляции после перезапуска сервиса коррелятора.

Добавленные переменные можно изменить или удалить. Если правило корреляции обращается к необъявленной переменной (например, если ее название было изменено), в качестве результата возвращается пустая строка.

Если вы измените название переменной, вам потребуется вручную изменить название этой переменной во всех правилах корреляции, где вы ее использовали.

В начало
[Topic 234738]

Предустановленные правила корреляции

В поставку KUMA включены перечисленные в таблице ниже правила корреляции.

Предустановленные правила корреляции

Название правила корреляции

Описание

[OOTB] KATA alert

Используется для обогащения событий KATA.

[OOTB] Successful Bruteforce

Срабатывает после выявления успешной попытки аутентификации после множества неуспешных попыток аутентификации. Правило работает на основе событий демона sshd.

[OOTB][AD] Account created and deleted within a short period of time

Выявляет факты создания и последующего удаления учётных записей на хостах на базе ОС Microsoft Windows.

[OOTB][AD] An account failed to log on from different hosts

Выявляет множественные неуспешные попытки аутентификации на различных хостах.

[OOTB][AD] Granted TGS without TGT (Golden Ticket)

Выявляет подозрения на атаку типа "Golden Ticket". Правило работает на основе событий ОС Microsoft Windows.

[OOTB][AD][Technical] 4768. TGT Requested

Техническое правило, используется для формирования активного списка – [OOTB][AD] List of requested TGT. EventID 4768. Правило работает на основе событий ОС Microsoft Windows.

[OOTB][AD] Membership of sensitive group was modified

Работает на базе событий ОС Microsoft Windows.

[OOTB][AD] Multiple accounts failed to log on from the same host

Срабатывает после выявления множественных неуспешных попыток аутентификации на одном хосте от имени разных учётных записей.

[OOTB][AD] Possible Kerberoasting attack

Выявляет подозрения на атаки типа "Kerberoasting". Правило работает на основе событий ОС Microsoft Windows.

[OOTB][AD] Successful authentication with the same account on multiple hosts

Выявляет подключения на разные хосты под одной учётной записью. Правило работает на основе событий ОС Microsoft Windows.

[OOTB][AD] The account added and deleted from the group in a short period of time

Выявляет добавление и последующее удаление пользователя из группы. Правило работает на основе событий ОС Microsoft Windows.

[OOTB][Net] Possible port scan

Выявляет подозрения на сканирование порта. Правило работает на основе событий Netflow, Ipfix.

В начало
[Topic 250832]

Фильтры

Фильтры используются для выбора событий на основе определенных пользователем условий.

Это неверно только тогда, когда фильтры используются в сервисе коллектор, где они выбирают все события, которые НЕ удовлетворяют условиям фильтра.

Фильтры можно использовать в следующих сервисах и функциях KUMA:

Можно использовать отдельные фильтры или встроенные фильтры, которые хранятся в сервисе или ресурсе, где они были созданы.

Для этих ресурсов в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов.

Доступные параметры фильтра:

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. Встроенные фильтры создаются в других ресурсах или сервисах и не имеют имен.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Блок параметров Условия – здесь вы можете сформулировать критерии фильтрации, создав условия фильтрации и группы фильтров, а также добавив существующие фильтры.

    С помощью кнопки Добавить группу можно добавить группу фильтров. Можно переключать групповые операторы между И, ИЛИ, НЕ. В группы фильтров можно добавить группы, условия и существующие фильтры. Условия, помещенные в подгруппу НЕ, объединяются оператором И.

    С помощью кнопки Добавить фильтр можно добавить существующий фильтр, который следует выбрать в раскрывающемся списке Выберите фильтр.

    С помощью кнопки Добавить условие можно добавить строку с полями для определения условия (см. ниже).

    Условия, группы и фильтры можно удалить с помощью кнопки cross.

Параметры условий:

  • Если (обязательно) – в этом раскрывающемся списке можно указать, требуется ли использовать инвертированную функцию оператора
  • Левый операнд и Правый операнд (обязательно) – используются для указания значений, которые будет обрабатывать оператор. Доступные типы зависят от выбранного оператора.

    Операнды фильтров

    • Поле события – используется для присвоения операнду значения поля события. Дополнительные параметры:
      • поле события (обязательно) – этот раскрывающийся список используется для выбора поля, из которого следует извлечь значение операнда.
    • Активный лист – используется для присвоения операнду значения записи активного листа. Дополнительные параметры:
      • название активного листа (обязательно) – этот раскрывающийся список используется для выбора активного листа.
      • ключевые поля (обязательно) – это список полей событий, используемых для создания записи активного листа и служащих ключом записи активного листа.
      • поле (требуется, если не выбран оператор inActiveList) – используется для ввода имени поля активного листа, из которого следует извлечь значение операнда.
    • Словарь – используется для присвоения значения операнду значения из ресурса словарь. Дополнительные параметры:
      • словарь (обязательно) – этот раскрывающийся список используется для выбора словаря.
      • ключевые поля (обязательно) – это список полей событий, используемых для формирования ключа значения словаря.
    • Константа – используется для присвоения операнду пользовательского значения. Дополнительные параметры:
      • значение (обязательно) – здесь вы вводите константу, которую хотите присвоить операнду.
    • Таблица – используется для присвоения операнду нескольких пользовательских значений. Дополнительные параметры:
      • словарь (обязательно) – этот раскрывающийся список используется для выбора словаря типа Таблица.
      • ключевые поля (обязательно) – это список полей событий, используемых для формирования ключа значения словаря.
    • Список – используется для присвоения операнду нескольких пользовательских значений. Дополнительные параметры:
      • значение (обязательно) – здесь вы вводите список констант, которые хотите назначить операнду. Когда вы вводите значение в поле и нажимаете ENTER, значение добавляется в список, и вы можете ввести новое значение.
    • TI – используется для чтения данных CyberTrace об угрозах (TI) из событий. Дополнительные параметры:
      • канал (обязательно) – в этом поле указывается категория угрозы CyberTrace.
      • ключевые поля (обязательно) – этот раскрывающийся список используется для выбора поля события с индикаторами угроз CyberTrace.
      • поле (обязательно) – в этом поле указывается поле фида CyberTrace с индикаторами угроз.
  • Оператор (обязательно) – используется для выбора оператора условия.

    В этом же раскрывающемся списке можно установить флажок без учета регистра, если требуется, чтобы оператор игнорировал регистр значений. Флажок игнорируется, если выбраны операторы inSubnet, inActiveList, inCategory, InActiveDirectoryGroup, hasBit, inDictionary. По умолчанию флажок снят.

    Операторы фильтров

    • = – левый операнд равен правому операнду.
    • < – левый операнд меньше правого операнда.
    • <= – левый операнд меньше или равен правому операнду.
    • > – левый операнд больше правого операнда.
    • >= – левый операнд больше или равен правому операнду.
    • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
    • contains – левый операнд содержит значения правого операнда.
    • startsWith – левый операнд начинается с одного из значений правого операнда.
    • endsWith – левый операнд заканчивается одним из значений правого операнда.
    • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
    • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

      Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

      Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

    • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

      Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

    • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
    • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
    • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
    • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
    • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
    • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.

Доступные типы операндов зависят от того, является ли операнд левым (L) или правым (R).

Доступные типы операндов для левого (L) и правого (R) операндов

Оператор

Тип "поле события"

Тип "активный лист"

Тип "словарь"

Тип "таблица"

Тип "TI"

Тип "константа"

Тип "список"

=

L,R

L,R

L,R

L,R

L,R

R

R

>

L,R

L,R

L,R

L,R

L

R

 

>=

L,R

L,R

L,R

L,R

L

R

 

<

L,R

L,R

L,R

L,R

L

R

 

<=

L,R

L,R

L,R

L,R

L

R

 

inSubnet

L,R

L,R

L,R

L,R

L,R

R

R

contains

L,R

L,R

L,R

L,R

L,R

R

R

startsWith

L,R

L,R

L,R

L,R

L,R

R

R

endsWith

L,R

L,R

L,R

L,R

L,R

R

R

match

L

L

L

L

L

R

R

hasVulnerability

L

L

L

L

 

 

 

hasBit

L

L

L

L

 

R

R

inActiveList

 

 

 

 

 

 

 

inDictionary

 

 

 

 

 

 

 

inCategory

L

L

L

L

 

R

R

inActiveDirectoryGroup

L

L

L

L

 

R

R

TIDetect

 

 

 

 

 

 

 

В поставку KUMA включены перечисленные в таблице ниже фильтры.

Предустановленные фильтры

Название фильтра

Описание

[OOTB][AD] A member was added to a security-enabled global group (4728)

Выбирает события добавления пользователя в группу безопасности (security-enabled global group) Active Directory.

[OOTB][AD] A member was added to a security-enabled universal group (4756)

Выбирает события добавления пользователя в группу безопасности (security-enabled universal group) Active Directory.

[OOTB][AD] A member was removed from a security-enabled global group (4729)

Выбирает события удаления пользователя из группы безопасности (security-enabled global group) Active Directory.

[OOTB][AD] A member was removed from a security-enabled universal group (4757)

Выбирает события удаления пользователя из группы безопасности (security-enabled universal group) Active Directory.

[OOTB][AD] Account Created

Выбирает события создания учётной записи в ОС Windows.

[OOTB][AD] Account Deleted

Выбирает события удаления учётной записи в ОС Windows.

[OOTB][AD] An account failed to log on (4625)

Выбирает события неуспешной попытки входа в ОС Windows.

[OOTB][AD] Successful Kerberos authentication (4624, 4768, 4769, 4770)

Выбирает события успешной попытки входа в ОС Windows и события с идентификаторами 4769, 4770, регистрирующиеся на контроллерах домена.

[OOTB][AD][Technical] 4768. TGT Requested

Выбирает события Microsoft Windows c идентификатором 4768.

[OOTB][Net] Possible port scan

Выбирает события, которые могут говорить о проведении сканирования портов.

[OOTB][SSH] Accepted Password

Выбирает события успешного подключения с использование пароля по протоколу SSH.

[OOTB][SSH] Failed Password

Выбирает события попыток подключения с использование пароля по протоколу SSH.

В начало
[Topic 217880]

Активные листы

Активный лист – это контейнер для данных, которые используются корреляторами KUMA при анализе событий по правилам корреляции.

Например, если у вас есть список IP-адресов с плохой репутацией, вы можете:

  1. Создать корреляционное правило типа operational и добавить в активный лист эти IP-адреса.
  2. Создать корреляционное правило типа standard и указать активный лист в качестве условия фильтрации.
  3. Создать коррелятор с этим правилом.

    В этом случае KUMA выберет все события, которые содержат IP-адреса, внесенные в активный лист, и создаст корреляционное событие.

Вы можете наполнять активные листы автоматически с помощью корреляционных правил типа simple или импортировать файл с данными для активного листа.

Вы можете добавлять, копировать и удалять активные листы.

Активные листы можно использовать в следующих сервисах и функциях KUMA:

Один и тот же активный лист может использоваться в разных корреляторах. При этом для каждого коррелятора создается своя сущность активного листа. Таким образом, содержимое активных листов, используемых разными корреляторами, различается, даже если идентификатор и название активных листов одинаковые.

В активный лист добавляются данные только по правилам корреляции, добавленным в коррелятор.

Вы можете добавлять, изменять, дублировать, удалять и экспортировать записи в активном листе коррелятора.

В процессе корреляции при удалении записей из активных листов в корреляторах создаются служебные события. Эти события существуют только в корреляторах, они не перенаправляются в другие точки назначения. Правила корреляции можно настроить на отслеживание этих событий, чтобы с их помощью распознавать угрозы. Поля служебных событий удаления записи из активного листа описаны ниже.

Поле события

Значение или комментарий

ID

Идентификатор события

Timestamp

Время удаления записи, срок жизни которой истек

Name

"active list record expired"

DeviceVendor

"Kaspersky"

DeviceProduct

"KUMA"

ServiceID

Идентификатор коррелятора

ServiceName

Название коррелятора

DeviceExternalID

Идентификатор активного листа

DevicePayloadID

Ключ записи, чей срок жизни истек.

BaseEventCount

Увеличенное на единицу количество обновлений удаленной записи

В начало
[Topic 217707]

Просмотр таблицы активных листов

Чтобы просмотреть таблицу активных листов коррелятора:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Сервисы нажмите на кнопку Активные сервисы.
  3. Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
  4. Нажмите на кнопку Смотреть активные листы.

Отобразится таблица Активные листы коррелятора.

Таблица содержит следующие данные:

  • Название – имя активного листа.
  • Записи – количество записей в активном листе.
  • Размер на диске – размер активного листа.
  • Каталог – путь к активному листу на сервере коррелятора KUMA.
В начало
[Topic 239552]

Добавление активного листа

Чтобы добавить активный лист:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Ресурсы нажмите на кнопку Активные листы.
  3. Нажмите на кнопку Добавить активный лист.
  4. Выполните следующие действия:
    1. В поле Название введите имя активного листа.
    2. В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
    3. В поле Срок жизни укажите время, в течение которого в активном листе будет храниться добавленная в него запись.

      По истечении указанного времени запись удаляется. Время указывается в секундах.

      Значение по умолчанию: 0. Если в поле указано значение 0, запись хранится 36000 дней (около 100 лет).

    4. В поле Описание введите любую дополнительную информацию.

      Вы можете использовать до 4000 символов в кодировке Unicode.

      Поле необязательно для заполнения.

  5. Нажмите на кнопку Сохранить.

Активный лист будет добавлен.

В начало
[Topic 239532]

Просмотр параметров активного листа

Чтобы просмотреть параметры активного листа:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Ресурсы нажмите на кнопку Активные листы.
  3. В столбце Название выберите активный лист, параметры которого вы хотите просмотреть.

Откроется окно с параметрами активного листа. В нем отображается следующая информация:

  • Идентификатор – идентификатор активного листа.
  • Название – уникальное имя ресурса.
  • Тенант – название тенанта, которому принадлежит ресурс.
  • Срок жизни – время, в течение которого в активном листе будет храниться добавленная в него запись. Указывается в секундах.
  • Описание – любая дополнительная информация о ресурсе.
В начало
[Topic 239553]

Изменение параметров активного листа

Чтобы изменить параметры активного листа:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Ресурсы нажмите на кнопку Активные листы.
  3. В столбце Название выберите активный лист, параметры которого вы хотите изменить.
  4. Укажите значения для следующих параметров:
    • Название – уникальное имя ресурса.
    • Срок жизни – время, в течение которого в активном листе будет храниться добавленная в него запись. Указывается в секундах.

      Если в поле указано значение 0, запись хранится бессрочно.

    • Описание – любая дополнительная информация о ресурсе.

    Поля Идентификатор и Тенант недоступны для редактирования.

В начало
[Topic 239557]

Дублирование параметров активного листа

Чтобы скопировать активный лист:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Ресурсы нажмите на кнопку Активные листы.
  3. Установите флажок рядом с активным листом, который вы хотите скопировать.
  4. Нажмите на кнопку Дублировать.
  5. Укажите нужные вам параметры.
  6. Нажмите на кнопку Сохранить.

Активный лист будет скопирован.

В начало
[Topic 239786]

Удаление активного листа

Чтобы удалить активный лист:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Ресурсы нажмите на кнопку Активные листы.
  3. Установите флажки рядом с активными листами, которые вы хотите удалить.

    Если вы хотите удалить все листы, установите флажок рядом со столбцом Название.

    Должен быть установлен хотя бы один флажок.

  4. Нажмите на кнопку Удалить.
  5. Нажмите на кнопку Ок.

Активные листы будут удалены.

В начало
[Topic 239785]

Просмотр записей в активном листе

Чтобы просмотреть список записей в активном листе:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Сервисы нажмите на кнопку Активные сервисы.
  3. Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
  4. Нажмите на кнопку Смотреть активные листы.

    Отобразится таблица Активные листы коррелятора.

  5. В столбце Название выберите нужный вам активный лист.

Откроется таблица записей для выбранного листа.

Таблица содержит следующие данные:

  • Ключ – значение ключа записи.
  • Повторы записи – общее количество упоминаний записи в событиях и загрузок идентичных записей при импорте активных листов в KUMA.
  • Срок действия – дата и время, когда запись должна быть удалена.

    Если при создании активного листа в поле Срок жизни было указано значение 0, записи этого активного листа хранятся 36000 дней (около 100 лет).

  • Создано – время создания активного листа.
  • Последнее обновление – время последнего обновления активного листа.
В начало
[Topic 239534]

Поиск записей в активном листе

Чтобы найти запись в активном листе:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Сервисы нажмите на кнопку Активные сервисы.
  3. Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
  4. Нажмите на кнопку Смотреть активные листы.

    Отобразится таблица Активные листы коррелятора.

  5. В столбце Название выберите нужный вам активный лист.

    Откроется окно со списком записей для выбранного листа.

  6. В поле Поиск введите значение ключа записи или несколько знаков из ее ключа.

В таблице записей активного листа отобразятся только те записи, в ключе которых есть введенные символы.

В начало
[Topic 239644]

Добавление записи в активный лист

Чтобы добавить запись в активный лист:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Сервисы нажмите на кнопку Активные сервисы.
  3. Установите флажок напротив нужного коррелятора.
  4. Нажмите на кнопку Смотреть активные листы.

    Отобразится таблица Активные листы коррелятора.

  5. В столбце Название выберите нужный вам активный лист.

    Откроется окно со списком записей для выбранного листа.

  6. Нажмите на кнопку Добавить.

    Откроется окно Создать новую запись.

  7. Укажите значения для следующих параметров:
    1. В поле Ключ введите имя записи.

      Вы можете указать несколько значений, используя символ "|".

      Поле Ключ не может быть пустым. Если поле остается пустым, при попытке сохранить изменения KUMA возвращает ошибку.

    2. В поле Значение укажите значение для полей в столбце Поле.

      KUMA берет названия полей из корреляционных правил, к которым привязан активный лист. Эти названия недоступны для редактирования. Вы можете удалить эти поля при необходимости.

    3. Если вы хотите добавить дополнительное значение, нажмите на кнопку Добавить элемент.
    4. В столбце Поле укажите название поля.

      Название должно соответствовать следующим требованиям:

      • название уникально;
      • не содержит табуляцию;
      • не содержит специальные символы, кроме символа нижнего подчеркивания;
      • максимальное количество символов – 128.

        Название не может начинаться с символа нижнего подчеркивания и содержать только цифры.

    5. В столбце Значение укажите значение для этого поля.

      Оно должно соответствовать следующим требованиям:

      • не содержит табуляцию;
      • не содержит специальные символы, кроме символа нижнего подчеркивания;
      • максимальное количество символов – 1024.

      Поле необязательно для заполнения.

  8. Нажмите на кнопку Сохранить.

Запись будет добавлена. После сохранения записи в активном листе будут отсортированы в алфавитном порядке.

В начало
[Topic 239780]

Дублирование записей в активном листе

Чтобы дублировать запись в активном листе:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Сервисы нажмите на кнопку Активные сервисы.
  3. Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
  4. Нажмите на кнопку Смотреть активные листы.

    Отобразится таблица Активные листы коррелятора.

  5. В столбце Название выберите нужный вам активный лист.

    Откроется окно со списком записей для выбранного листа.

  6. Установите флажок для записи, которую вы хотите скопировать.
  7. Нажмите на кнопку Дублировать.
  8. Укажите нужные вам параметры.

    Поле Ключ не может быть пустым. Если поле остается пустым, при попытке сохранить изменения KUMA возвращает ошибку.

    Редактирование названий полей в столбце Поле для записей, добавленных в активный лист ранее, недоступно. Вы можете менять названия только для записей, добавленных в момент редактирования. Название не может начинаться с символа нижнего подчеркивания и содержать только цифры.

  9. Нажмите на кнопку Сохранить.

Запись будет скопирована. После сохранения записи в активном листе будут отсортированы в алфавитном порядке.

В начало
[Topic 239900]

Изменение записи в активном листе

Чтобы изменить запись в активном листе:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Сервисы нажмите на кнопку Активные сервисы.
  3. Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
  4. Нажмите на кнопку Смотреть активные листы.

    Отобразится таблица Активные листы коррелятора.

  5. В столбце Название выберите нужный вам активный лист.

    Откроется окно со списком записей для выбранного листа.

  6. Нажмите на название записи в столбце Ключ.
  7. Укажите требуемые значения.
  8. Нажмите на кнопку Сохранить.

Запись будет изменена. После сохранения записи в активном листе будут выстроены в алфавитном порядке.

Ограничения, действующие при редактировании записи:

  • Название записи недоступно для редактирования. Вы можете изменить его, выполнив импорт аналогичных данных с другим названием.
  • Редактирование названий полей в столбце Поле для записей, добавленных в активный лист ранее, недоступно. Вы можете менять названия только для записей, добавленных в момент редактирования. Название не может начинаться с символа нижнего подчеркивания и содержать только цифры.
  • Значения в столбце Значение должны соответствовать следующим требованиям:
    • не содержит буквы русского алфавита;
    • не содержит пробелы и табуляцию;
    • не содержит специальные символы, кроме символа нижнего подчеркивания;
    • максимальное количество символов – 128.
В начало
[Topic 239533]

Удаление записей в активном листе

Чтобы удалить записи из активного листа:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Сервисы нажмите на кнопку Активные сервисы.
  3. Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
  4. Нажмите на кнопку Смотреть активные листы.

    Отобразится таблица Активные листы коррелятора.

  5. В столбце Название выберите нужный вам активный лист.

    Откроется окно со списком записей для выбранного листа.

  6. Установите флажки для записей, которые вы хотите удалить.

    Если вы хотите удалить все записи, установите флажок рядом с названием столбца Ключ.

    Должен быть установлен хотя бы один флажок.

  7. Нажмите на кнопку Удалить.
  8. Нажмите на кнопку Ок.

Записи будут удалены.

В начало
[Topic 239645]

Импорт данных в активный лист

Чтобы импортировать данные в активный лист:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Сервисы нажмите на кнопку Активные сервисы.
  3. Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
  4. Нажмите на кнопку Смотреть активные листы.

    Отобразится таблица Активные листы коррелятора.

  5. Наведите курсор мыши на строку с требуемым активным листом.
  6. Нажмите на More-DropDown слева от названия активного листа.
  7. Выберите Импортировать.

    Откроется окно импорта активного листа.

  8. В поле Файл выберите файл, который требуется импортировать.
  9. В раскрывающемся списке Формат выберите формат файла:
    • csv.
    • tsv.
    • internal.
  10. В поле Ключевое поле введите название столбца с ключами записей активного листа.
  11. Нажмите на кнопку Импортировать.

Данные из файла будут импортированы в активный лист. Записи, внесенные в лист ранее, сохраняются.

При импорте данные из файла не проходят проверку на допустимые символы. Если вы будете использовать эти данные в виджетах, при наличии недопустимых символов в данных виджеты будут отображаться некорректно.

В начало
[Topic 239642]

Экспорт данных из активного листа

Чтобы экспортировать активный лист:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Сервисы нажмите на кнопку Активные сервисы.
  3. Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
  4. Нажмите на кнопку Смотреть активные листы.

    Отобразится таблица Активные листы коррелятора.

  5. Наведите курсор мыши на строку с требуемым активным листом.
  6. Нажмите на More-DropDown слева от нужного активного листа.
  7. Нажмите на кнопку Экспортировать.

Активный лист будет загружен в формате JSON с использованием настроек вашего браузера. Название загруженного файла соответствует названию активного листа.

В начало
[Topic 239643]

Предустановленные активные листы

В поставку KUMA включены перечисленные в таблице ниже активные листы.

Предустановленные активные листы

Название активного листа

Описание

[OOTB][AD] End-users tech support accounts

Активный список используется в качестве фильтра при работе корреляционного правила [OOTB][AD] Successful authentication with same user account on multiple hosts. В активный список могут быть добавлены учётные записи сотрудников технической поддержки. Записи не удаляются из активного списка.

[OOTB][AD] List of requested TGT. EventID 4768

Активный список наполняется правилом [OOTB][AD][Technical] 4768. TGT Requested, также данный активный список используется в селекторе правила [OOTB][AD] Granted TGS without TGT (Golden Ticket). Записи удаляются из списка через 10 часов после внесения.

[OOTB][AD] List of sensitive groups

Активный список используется в качестве фильтра при работе корреляционного правила [OOTB][AD] Membership of sensitive group was modified. В активный список могут быть добавлены критичные доменные группы, членство в которых необходимо отслеживать. Записи не удаляются из активного списка.

[OOTB][Linux] CompromisedHosts

Активный список наполняется правилом [OOTB] Successful Bruteforce потенциально скомпрометированными хостами под управлением ОС Linux. Записи удаляются из списка через 24 часа после внесения.

В начало
[Topic 249358]

Словари

Описание параметров

Словари – это ресурсы, в которых хранятся данные, которые могут использоваться другими ресурсами и сервисами KUMA.

Словари могут использоваться в следующих сервисах и функциях KUMA:

Доступные параметры:

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Описание – вы можете добавить до 4000 символов в кодировке Unicode, описывающих ресурс.
  • Тип (обязательно) – тип словаря. От выбранного типа зависит формат данных, которые может содержать словарь:
    • В тип Словарь можно добавлять пары ключ–значение.

      Не рекомендуется добавлять в словари этого типа более 50 000 записей.

      При добавлении в словарь строк с одинаковыми ключами каждая новая строка будет записана поверх уже существующий строки с тем же самым ключом. В итоге в словарь будет добавлена только одна строка.

    • В тип Таблица можно добавлять данные в виде сложных таблиц. С этим типом словарей можно взаимодействовать с помощью REST API.
  • Блок параметров Значения – содержит таблицу с данными словаря:
    • Для типа Словарь в блоке отображается перечень пар КлючЗначение. Таблицу можно дополнять строками с помощью кнопки add-button. Удалить строки можно с помощью кнопки delete-button, которая отображается при наведении курсора мыши на нужную строку.
    • Для типа Таблица в блоке отображается таблица с данными. Таблицу можно дополнять строками и столбцами с помощью кнопки add-button. Удалить строки и столбцы можно с помощью кнопок delete-button, которые отображаются при наведении курсора мыши на нужную строку или заголовок нужного столбца. Заголовки столбцов доступны для редактирования.

    Если словарь содержит больше 5000 записей, они не отображаются в веб-интерфейсе KUMA. Для просмотра содержимого таких словарей содержимое необходимо экспортировать в формат CSV. Если CSV-файл отредактировать и снова импортировать в KUMA, словарь будет обновлен.

Импорт и экспорт словарей

Данные словарей можно импортировать или экспортировать в формате CSV (в кодировке UTF-8) с помощью кнопок Импортировать CSV и Экспортировать CSV.

Формат CSV-файла зависит от типа словаря:

  • Тип Словарь:

    {КЛЮЧ},{ЗНАЧЕНИЕ}\n

  • Тип Таблица:

    {Заголовок столбца 1},{Заголовок столбца N},{Заголовок столбца N+1}\n

    {Ключ1},{ЗначениеN},{ЗначениеN+1}\n

    {Ключ2},{ЗначениеN},{ЗначениеN+1}\n

    Ключи должны быть уникальными как для CSV-файла, так и для словаря. В таблицах ключи указываются в первом столбце. Ключ должен содержать от 1 до 128 символов в кодировке Unicode.

    Значения должны содержать от нуля до 256 символов в кодировке Unicode.

При импорте содержимое словаря перезаписывается загружаемым файлом. При импорте в словарь также изменяется название ресурса, чтобы отразить имя импортированного файла.

При экспорте, если ключ или значение содержат символы запятой или кавычек (, и "), они заключаются в кавычки ("). Кроме того, символ кавычки (") экранируется дополнительной кавычкой (").

Если в импортируемом файле обнаружены некорректные строки (например, неверные разделители), то при импорте в словарь такие строки будут проигнорированы, а при импорте в таблицу процесс импорта будет прерван.

Взаимодействие со словарями через API

С помощью REST API можно считывать содержимое словарей типа Таблица, а также изменять его, даже если эти ресурсы используются активными сервисами. Это позволяет, например, настроить обогащение событий данными из динамически изменяемых таблиц, выгружаемых из сторонних приложений.

Предустановленные словари

В поставку KUMA включены перечисленные в таблице ниже словари.

Предустановленные словари

Название словаря

Тип

Описание

[OOTB] Ahnlab. Severity

dictionary

Содержит таблицу соответствия между идентификатором приоритета и его названием.

[OOTB] Ahnlab. SeverityOperational

dictionary

Содержит значения параметра SeverityOperational и соответствующее ему описание.

[OOTB] Ahnlab. VendorAction

dictionary

Содержит таблицу соответствия между идентификатором выполняемой операции и её названием.

[OOTB] Cisco ISE Message Codes

dictionary

Cодержит коды событий Cisco ISE и соотвествующие им имена.

[OOTB] DNS. Opcodes

dictionary

Содержит таблицу соответствия между десятичными кодами операций DNS и их описаниями, зарегистрированными IANA.

[OOTB] IANAProtocolNumbers

dictionary

Содержит номера портов транспортных протоколов (TCP, UDP) и соответствующие им имена сервисов, зарегистрированные IANA.

[OOTB] Juniper - JUNOS

dictionary

Содержит идентификаторы событий JUNOS и соответствующие им описания.

[OOTB] KEDR. AccountType

dictionary

Содержит идентификатор типа учетной записи и соответствующее ему наименование типа.

[OOTB] KEDR. FileAttributes

dictionary

Cодержит идентификаторы атрибутов файлов, хранимые файловой системой, и соответствующие им описания.

[OOTB] KEDR. FileOperationType

dictionary

Содержит идентификаторы операций с файлами из API KATA и соответствующие им названия операции.

[OOTB] KEDR. FileType

dictionary

Содержит идентификаторы изменённого файла из API KATA и соответствующие им описания типов файлов.

[OOTB] KEDR. IntegrityLevel

dictionary

Содержит SID параметра INTEGRITY LEVEL операционной системы Microsoft Windows и соответствующие им описания.

[OOTB] KEDR. RegistryOperationType

dictionary

Содержит идентификаторы операций с реестром из API KATA и соответствующие им значения.

[OOTB] Linux. Sycall types

dictionary

Содержит идентификаторы системных вызовов ОС Linux и соответствующие им названия.

[OOTB] MariaDB Error Codes

dictionary

Словарь содержит коды ошибок СУБД MariaDB и используется нормализатором [OOTB] MariaDB Audit Plugin syslog для обогащения событий.

[OOTB] Microsoft SQL Server codes

dictionary

Содержит идентификаторы ошибок MS SQL Server и соответствующие им описания.

[OOTB] MS DHCP Event IDs Description

dictionary

Содержит идентификаторы событий DHCP сервера Microsoft Windows и соответствующие им описания.

[OOTB] S-Terra. Dictionary MSG ID to Name

dictionary

Содержит идентификаторы событий устройств S-Terra и соответствующие им имена событий.

[OOTB] S-Terra. MSG_ID to Severity

dictionary

Содержит идентификаторы событий устройств S-Terra и соответствующие им значения Severity.

[OOTB] Syslog Priority To Facility and Severity

table

Таблица содержит значения Priority и соответствующие ему значения полей Facility and Severity.

[OOTB] VipNet Coordinator Syslog Direction

dictionary

Содержит идентификаторы направления (последовательность специальных символов), используемые в ViPNet Coordinator для обозначения направления, и соответствующие им значения.

[OOTB] Wallix EventClassId - DeviceAction

dictionary

Cодержит индентифкаторы событий Wallix AdminBastion и соответствующие им описания.

[OOTB] Windows.Codes (4738)

dictionary

Содержит коды операции, присутствующие в событии аудита MS Windows с идентификатором 4738, и соотвествующие им имена.

[OOTB] Windows.Codes (4719)

dictionary

Содержит коды операции, присутствующие в событии аудита MS Windows с идентификатором 4719, и соотвествующие им имена.

[OOTB] Windows.Codes (4663)

dictionary

Содержит коды операции, присутствующие в событии аудита MS Windows с идентификатором 4663, и соотвествующие им имена.

[OOTB] Windows.Codes (4662)

dictionary

Содержит коды операции, присутствующие в событии аудита MS Windows с идентификатором 4662, и соотвествующие им имена.

[OOTB] Windows. EventIDs and Event Names mapping

dictionary

Содержит идентификаторы событий ОС Windows и соответствующие имена событий.

[OOTB] Windows. FailureCodes (4625)

dictionary

Содержит идентификаторы из полей Failure Information\Status и Failure Information\Sub Status события 4625 Microsoft Windows и соответствующие им описания.

[OOTB] Windows. ImpersonationLevels (4624)

dictionary

Содержит идентификаторы из поля Impersonation level событий с идентификатором 4624 Microsoft Windows и соответствующие им описания.

[OOTB] Windows. KRB ResultCodes

dictionary

Содержит коды ошибок Kerberos v5 и соответствующие им описания.

[OOTB] Windows. LogonTypes (Windows all events)

dictionary

Содержит идентификаторы типов входов пользователя и соответствующие им наименования.

[OOTB] Windows_Terminal Server. EventIDs and Event Names mapping

dictionary

Содержит индентификаторы событий Microsoft Terminal Server и соотвествующие им имена.

[OOTB] Windows. Validate Cred. Error Codes

dictionary

Содержит идентификаторы типов входов пользователя и соответствующие им наименования.

[OOTB] ViPNet Coordinator Syslog Direction

dictionary

Содержит идентификаторы направления (последовательность специальных символов), используемые в ViPNet Coordinator для обозначения направления и соотвествующие им значения.

[OOTB] Syslog Priority To Facility and Severity

table

Cодержит значения Priority и соотвествуюие ему значения полей Facility and Severity.

В начало
[Topic 217843]

Правила реагирования

Правила реагирования запускают для заданных событий автоматическое выполнение задач Kaspersky Security Center, действия по реагированию для Kaspersky Endpoint Detection and Response, KICS for Networks, Active Directory и запуск пользовательского скрипта.

Автоматическое выполнение задач Kaspersky Security Center, Kaspersky Endpoint Detection and Response, KICS for Networks и Active Directory по правилам реагирования доступно при интеграции с перечисленными программами.

Можно настроить правила реагирования в разделе Ресурсы - Реагирование, а затем выбрать созданное правило реагирования в раскрывающемся списке в настройках коррелятора. Также можно настроить правила реагирования прямо в настройках коррелятора.

В этом разделе

Правила реагирования для Kaspersky Security Center

Правила реагирования для пользовательского скрипта

Правила реагирования для KICS for Networks

Правила реагирования для Kaspersky Endpoint Detection and Response

Правила реагирования через Active Directory
В начало
[Topic 217972]

Правила реагирования для Kaspersky Security Center

Вы можете настроить правила реагирования для автоматического запуска задач антивирусной проверки и обновления на активах Kaspersky Security Center.

При создании и изменении правил реагирования для Kaspersky Security Center вам требуется задать значения для следующих параметров.

Параметры правила реагирования

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Тип

Обязательный параметр, доступен при интеграции KUMA с Kaspersky Security Center.

Тип правила реагирования, ksctasks.

Задача Kaspersky Security Center

Обязательный параметр.

Название задачи Kaspersky Security Center, которую требуется запустить. Задачи должны быть созданы заранее, их названия должны начинаться со слова "KUMA". Например, KUMA antivirus check (без учета регистра и без кавычек).

С помощью KUMA можно запустить следующие типы задач Kaspersky Security Center:

  • обновление;
  • поиск вирусов.

Поле события

Обязательный параметр.

Определяет поле события для актива, для которого нужно запустить задачу Kaspersky Security Center. Возможные значения:

  • SourceAssetID.
  • DestinationAssetID.
  • DeviceAssetID.

Рабочие процессы

Количество процессов, которые сервис может запускать одновременно. По умолчанию количество рабочих процессов соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.

Описание

Описание правила реагирования. Вы можете добавить до 4000 символов в кодировке Unicode.

Фильтр

Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

Для отправки запросов в Kaspersky Security Center необходимо убедиться, что Kaspersky Security Center доступен по протоколу UDP.

Если правила реагирования принадлежат общему тенанту, то в качестве доступных для выбора задач Kaspersky Security Center отображаются задачи от сервера Kaspersky Security Center, к которому подключен главный тенант.

Если в правиле реагирования выбрана задача, которая отсутствует на сервере Kaspersky Security Center, к которому подключен тенант, для активов этого тенанта задача не будет выполнена. Такая ситуация может возникнуть, например, когда два тенанта используют общий коррелятор.

В начало
[Topic 233363]

Правила реагирования для пользовательского скрипта

Вы можете создать скрипт с командами, которые требуется выполнить на сервере KUMA при обнаружении выбранных событий, и настроить правила реагирования для автоматического запуска этого скрипта. В этом случае программа запустит скрипт при получении событий, соответствующих правилам реагирования.

Файл скрипта хранится на сервере, где установлен сервис коррелятора, использующий ресурс реагирования: /opt/kaspersky/kuma/correlator/<Идентификатор коррелятора>/scripts. Пользователю kuma этого сервера требуются права на запуск скрипта.

При создании и изменении правил реагирования для произвольного скрипта вам требуется задать значения для следующих параметров.

Параметры правила реагирования

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Тип

Обязательный параметр.

Тип правила реагирования, script.

Время ожидания

Количество секунд, в течение которого должно завершиться выполнение скрипта. Если это время превышено, выполнение скрипта прерывается.

Название скрипта

Обязательный параметр.

Имя файла скрипта.

Если ресурс реагирования прикреплен к сервису коррелятора, но в папке /opt/kaspersky/kuma/correlator/<Идентификатор коррелятора>/scripts файл скрипта отсутствует, коррелятор не будет работать.

Аргументы скрипта

Параметры или значения полей событий, которые необходимо передать скрипту.

Если в скрипте производятся какие-либо действия с файлами, к ним следует указывать абсолютный путь.

Параметры можно обрамлять кавычками (").

Имена полей событий передаются в формате {{.EventField}}, где EventField – это имя поля события, значение которого должно быть передано в скрипт.

Пример: -n "\"usr\": {{.SourceUserName}}"

Рабочие процессы

Количество процессов, которые сервис может запускать одновременно. По умолчанию количество рабочих процессов соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.

Описание

Описание ресурса. Вы можете добавить до 4000 символов в кодировке Unicode.

Фильтр

Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 233366]

Правила реагирования для KICS for Networks

Вы можете настроить правила реагирования для автоматического запуска действий по реагированию на активах KICS for Networks. Например, изменить статус актива в KICS for Networks.

При создании и изменении правил реагирования для KICS for Networks вам требуется задать значения для следующих параметров.

Параметры правила реагирования

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Тип

Обязательный параметр.

Тип правила реагирования, kics.

Поле события

Обязательный параметр.

Определяет поле события для актива, для которого нужно выполнить действия по реагированию. Возможные значения:

  • SourceAssetID.
  • DestinationAssetID.
  • DeviceAssetID.

Задача KICS for Networks

Действие по реагированию, которое требуется выполнить при получении данных, соответствующих фильтру. Доступны следующие типы действий по реагированию:

  • Изменить статус актива на Разрешенное.
  • Изменить статус актива на Неразрешенное.

При срабатывании правила реагирования из KUMA в KICS for Networks будет отправлен API-запрос на изменение статуса указанного устройства на Разрешенное или Неразрешенное.

Рабочие процессы

Количество процессов, которые сервис может запускать одновременно. По умолчанию количество рабочих процессов соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.

Описание

Описание ресурса. Вы можете добавить до 4000 символов в кодировке Unicode.

Фильтр

Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 233722]

Правила реагирования для Kaspersky Endpoint Detection and Response

Вы можете настроить правила реагирования для автоматического запуска действий по реагированию на активах Kaspersky Endpoint Detection and Response. Например, вы можете настроить автоматическую изоляцию актива от сети.

При создании и изменении правил реагирования для Kaspersky Endpoint Detection and Response вам требуется задать значения для следующих параметров.

Параметры правила реагирования

Параметр

Описание

Поле события

Обязательный параметр.

Определяет поле события для актива, для которого нужно выполнить действия по реагированию. Возможные значения:

  • SourceAssetID.
  • DestinationAssetID.
  • DeviceAssetID.

Тип задачи

Действие по реагированию, которое требуется выполнить при получении данных, соответствующих фильтру. Доступны следующие типы действий по реагированию:

  • Включить сетевую изоляцию. При выборе этого типа реагирования вам нужно задать значения для параметра:
    • Срок действия изоляции – количество часов, в течение которых будет действовать сетевая изоляция актива. Вы можете указать от 1 до 9999 часов. При необходимости вы можете добавить исключение для сетевой изоляции.

      Чтобы добавить исключение для сетевой изоляции:

      1. Нажмите на кнопку Добавить исключение.
      2. Выберите направление сетевого трафика, которое не должно быть заблокировано:
        • Входящее.
        • Исходящее.
        • Входящее/Исходящее.
      3. В поле IP актива введите IP-адрес актива, сетевой трафик которого не должен быть заблокирован.
      4. Если вы выбрали Входящее или Исходящее, укажите порты подключения в полях Удаленные порты и Локальные порты. Начиная с версии КАТА 5.1 в реагирование "Включение изоляции" нельзя вводить порты в исключение при направлении трафика "Входящий/Исходящий". Будет отображаться ошибка запуска реагирования.
      5. Если вы хотите добавить более одного исключения, нажмите на кнопку Добавить исключение и повторите действия по заполнению полей Направление трафика, IP актива, Удаленные порты и Локальные порты.
      6. Если вы хотите удалить исключение, нажмите на кнопку Удалить под нужным вам исключением.

    При добавлении исключений в правило сетей изоляции Kaspersky Endpoint Detection and Response может некорректно отображать значения портов в информации о правиле. Это не влияет на работоспособность программы. Подробнее о просмотре правила сетевой изоляции см. в справке Kaspersky Anti Targeted Attack Platform.

  • Выключить сетевую изоляцию.
  • Добавить правило запрета. При выборе этого типа реагирования вам нужно задать значения для следующих параметров:
    • Поля события для получения хеш-суммы – поля событий, из которых KUMA извлекает SHA256- или MD5-хеши файлов, запуск которых требуется запретить.
      Выбранные поля событий, а также значения, выбранные в Поле события, требуется добавить в наследуемые поля правила корреляции.
    • Хеш файла №1 – SHA256- или MD5-хеш файла, который требуется запретить.

Хотя бы одно из указанных выше полей должно быть заполнено.

  • Удалить правило запрета.
  • Запустить программу. При выборе этого типа реагирования вам нужно задать значения для следующих параметров:
    • Путь к файлу – путь к файлу процесса, который вы хотите запустить.
    • Аргументы командной строки – параметры, с которыми вы хотите запустить файл.
    • Текущая директория – директория, в которой на момент запуска располагается файл.

    При срабатывании правила реагирования для пользователей с ролью главный администратор в разделе Диспетчер задач веб-интерфейса программы отобразится задача Запустить программу. В столбце Создал таблицы задач для этой задачи отображается Задача по расписанию. Вы можете просмотреть результат выполнения задачи.

Все перечисленные операции выполняются на активах с Kaspersky Endpoint Agent для Windows. На активах с Kaspersky Endpoint Agent для Linux выполняется только запуск программы.

На программном уровне возможность создания правил запрета и сетевой изоляции для активов с Kaspersky Endpoint Agent для Linux не ограничена. KUMA и Kaspersky Endpoint Detection and Response не уведомляют о неуспешном применении этих правил.

Рабочие процессы

Количество процессов, которые сервис может запускать одновременно. По умолчанию количество рабочих процессов соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.

Описание

Описание правила реагирования. Вы можете добавить до 4000 символов в кодировке Unicode.

Фильтр

Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 237454]

Правила реагирования через Active Directory

Правила реагирования через Active Directory определяют действия, которые будут применяться к учетной записи в случае срабатывания правила.

При создании и изменении правил реагирования через Active Directory вам требуется задать значения для следующих параметров.

Параметры правила реагирования

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Тип

Обязательный параметр.

Тип правила реагирования, Реагирование через Active Directory.

Источник идентификатора аккаунта

Поле события, откуда будет взято значение идентификатора учетной записи Active Directory. Возможные значения:

  • SourceAccountID
  • DestinationAccountID

Команда Active Directory

Команда, которая будет применяться к учетной записи при срабатывании правила реагирования.

Доступные значения:

  • Добавить учетную запись в группу

    Группа Active Directory, из которой или в которую необходимо переместить учетную запись.
    В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе.
    Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru.
    В рамках одной операции можно указать только одну группу.

  • Удалить учетную запись из группы

    Группа Active Directory, из которой или в которую необходимо переместить учетную запись.
    В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе.
    Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru.
    В рамках одной операции можно указать только одну группу.

  • Сбросить пароль учетной записи

Если в вашем домене Active Directory для учетных записей допускается установка флажка User cannot change password, использование в качестве реагирования сброса пароля учетной записи приведет к коллизии требований к учетной записи: пользователь не сможет аутентифицироваться. Администратору домена потребуется снять один из флажков для затронутой учетной записи: User cannot change password или User must change password at next logon.

  • Блокировать учетную запись

Фильтр

Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 243446]

Шаблоны уведомлений

Шаблоны уведомлений используются в уведомлениях о создании алертов.

Параметры шаблонов уведомлений

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Тема

Тема электронного письма с уведомлением о создании алерта. В теме письма можно обращаться к полям алерта.

Пример: Новый алерт в KUMA: {{.CorrelationRuleName}}. Вместо {{.CorrelationRuleName}} в теме письма с уведомлением будет подставлено название правила корреляции, содержащееся в поле алерта CorrelationRuleName.

Шаблон

Обязательный параметр.

Тело электронного письма с уведомлением о создании алерта. Шаблон поддерживает синтаксис, с помощью которого уведомление можно наполнить данными из алерта. Подробнее про синтаксис вы можете прочитать в официальной документации языка Go.

Для удобства можно открыть текст письма в отдельном окне, нажав на значок full-screen. При этом открывается окно Шаблон, в котором можно править текст письма с уведомлением. Сохранить изменения и закрыть окно можно с помощью кнопки Сохранить.

Предустановленные шаблоны уведомлений

В поставку KUMA включены перечисленные в таблице ниже шаблоны уведомлений.

Предустановленные шаблоны уведомлений

Название шаблона

Описание

[OOTB] New alert in KUMA

Базовый шаблон уведомлений.

Функции в шаблонах уведомлений

В шаблонах доступны функции, перечисленные в таблице ниже.

Функции в шаблонах

Параметр

Описание

date

Принимает первым параметром время в миллисекундах (unix time), вторым параметром можно передать формат времени по стандартам RFC. Часовой пояс изменить нельзя.

Пример вызова: {{ date .FirstSeen "02 Jan 06 15:04" }}

Результат вызова: 18 Nov 2022 13:46

Примеры форматов дат, поддерживаемые функцией:

  • "02 Jan 06 15:04 MST"
  • "02 Jan 06 15:04 -0700"
  • "Monday, 02-Jan-06 15:04:05 MST"
  • "Mon, 02 Jan 2006 15:04:05 MST"
  • "Mon, 02 Jan 2006 15:04:05 -0700"
  • "2006-01-02T15:04:05Z07:00"

limit

Функция вызывается внутри функции range для ограничения списка данных. Обрабатывает списки которые не имеют ключей, принимает любой список данных первым параметром и обрезает список по второму значению. Например, в функцию можно передавать поля алерта .Events, .Assets, .Accounts, .Actions.

Пример вызова:

{{ range (limit .Assets 5) }}

<strong>Устройство</strong>: {{ .DisplayName }},

<strong>Дата создания</strong>: {{ .CreatedAt }}

{{ end }}

link_alert

Формирует ссылку на алерт с URL, указанным в настройках подключения к SMTP-серверу в качестве псевдонима сервера Ядра KUMA или с реальным URL сервиса Ядра KUMA, если псевдоним не задан.

Пример вызова:

{{ link_alert }}

link

Принимает вид ссылки, доступной для перехода.

Пример вызова:

{{ link "https://support.kaspersky.com/KUMA/2.1/ru-RU/233508.htm" }}

Синтаксис шаблона уведомления

В шаблоне можно обращаться к полям алерта, содержащим строку или число:

{{ .CorrelationRuleName }}

В письме будет отображаться название алерта, то есть содержимое поля CorrelationRuleName.

Некоторые поля алерта содержат массивы данных. Например, это поля алерта с относящимися к нему событиями, активами, учетными записями. К таким вложенным объектам можно обращаться с помощью функции range, которая последовательно обращается к полям 50 первых вложенных объектов. При обращении с помощью функции range к полю, в котором нет массива данных, возвращается ошибка. Пример:

{{ range .Assets }}

Устройство: {{ .DisplayName }}, дата создания: {{ .CreatedAt }}

{{ end }}

В письме будут отображаться значения полей DeviceHostName и CreatedAt из 50 связанных с алертом активов:

Устройство: <значение поля DisplayName из актива 1>, дата создания: <значение поля CreatedAt из актива 1>

Устройство: <значение поля DisplayName из актива 2>, дата создания: <значение поля CreatedAt из актива 2>

...

// Всего 50 строк

С помощью параметра limit можно ограничить количество объектов, возвращаемых функцией range:

{{ range (limit .Assets 5) }}

<strong>Устройство</strong>: {{ .DisplayName }},

<strong>Дата создания</strong>: {{ .CreatedAt }}

{{ end }}

В письме будут отображаться значения полей DisplayName и CreatedAt из 5 связанных с алертом активов, слова "Устройства" и "Дата создания" выделены HTML-тегами <strong>:

<strong>Устройство</strong>: <значение поля DeviceHostName из актива 1>,

<strong>Дата создания</strong>: <значение поля CreatedAt из актива 1>

<strong>Устройство</strong>: <значение поля DeviceHostName из актива N>,

<strong>Дата создания</strong>: <значение поля CreatedAt из актива N>

...

// Всего 10 строк

Вложенные объекты могут иметь свои вложенные объекты. К ним можно обратиться с помощью вложенных функций range:

{{ range (limit .Events 5) }}

    {{ range (limit .Event.BaseEvents 10) }}

    Идентификатор сервиса: {{ .ServiceID }}

    {{ end }}

{{ end }}

В письме будет отображаться по десять идентификаторов сервисов (поле ServiceID) из базовых событий, относящихся к пяти корреляционным событиям алерта. Всего 50 строк. Обратите внимание, что обращение к событиям происходит через вложенную структуру EventWrapper, которая находится в алерте в поле Events. События доступны в поле Event этой структуры, что отражено в примере выше. Таким образом, если поле A содержит вложенную структуру [B] и в структуре [B] есть поле C, которое является строкой или числом, то чтобы обратиться к полю C необходимо указать путь {{ A.C }}.

Некоторые поля объектов содержат вложенные словари в формате "ключ - значение" (например, поле событий Extra). К ним можно обратиться с помощью функции range с переданными ей переменными: range $placeholder1, $placeholder2 := .FieldName. Значения переменных затем можно вызывать, указывая из названия. Пример:

{{ range (limit .Events 3) }}

    {{ range (limit .Event.BaseEvents 5) }}

    Список полей в поле события Extra: {{ range $name, $value := .Extra }} {{ $name }} - {{ $value }} <br> {{ end }}

    {{ end }}

{{ end }}

В письме через HTML-тег <br> будут отображаться пары "ключ - значение" из полей Extra базовых событий, принадлежащих корреляционным событиям. Вызываются данные из пяти базовых событий из каждого из трех корреляционных событий.

В шаблонах уведомлений можно использовать HTML-теги, выстраивая их в сложные структуры. Ниже приводится пример таблицы для полей корреляционного события:

<style type="text/css">

  TD, TH {

    padding: 3px;

    border: 1px solid black;

  }

</style>

<table>

  <thead>

    <tr>

        <th>Название сервиса</th>

        <th>Название корреляционного правила</th>

        <th>Версия устройства</th>

    </tr>

  </thead>

  <tbody>

    {{ range .Events }}

    <tr>

        <td>{{ .Event.ServiceName }}</td>

        <td>{{ .Event.CorrelationRuleName }}</td>

        <td>{{ .Event.DeviceVersion }}</td>

    </tr>

    {{ end }}

  </tbody>

</table>

С помощью функции link_alert в письмо с уведомлением можно вставить HTML-ссылку на алерт:

{{link_alert}}

В письме будет отображаться ссылка на окно алерта.

Ниже приведен пример, как можно из связанных с алертом данных извлечь сведения о наивысшей категории активов и поместить ее в уведомления:

{{ $criticalCategoryName := "" }}{{ $maxCategoryWeight := 0 }}{{ range .Assets }}{{ range .CategoryModels }}{{ if gt .Weight $maxCategoryWeight }}{{ $maxCategoryWeight = .Weight }}{{ $criticalCategoryName = .Name }}{{ end }}{{ end }}{{ end }}{{ if gt $maxCategoryWeight 1 }}

Наивысшая категория активов: {{ $criticalCategoryName }}{{ end }}

В начало
[Topic 233508]

Коннекторы

Коннекторы используются для установления соединений между сервисами KUMA, активного и пассивного получения событий.

В программе доступны следующие типы коннекторов:

  • internal – используется для установления связи между сервисами KUMA.
  • tcp – используется для пассивного получения событий по протоколу TCP. Доступен для агентов Windows и Linux.
  • udp – используется для пассивного получения событий по протоколу UDP. Доступен для агентов Windows и Linux.
  • netflow – используется для пассивного получения событий в формате NetFlow.
  • sflow – используется для пассивного получения событий в формате SFlow.
  • nats-jetstream – используется для взаимодействия с брокером сообщений NATS. Доступен для агентов Windows и Linux.
  • kafka – используется для коммуникации с шиной данных Apache Kafka. Доступен для агентов Windows и Linux.
  • http – используется для получения событий по протоколу HTTP. Доступен для агентов Windows и Linux.
  • sql – используется для выборки данных из СУБД.

    Программа поддерживает работу со следующими типами баз данных SQL:

    • SQLite.
    • MSSQL.
    • MySQL.
    • PostgreSQL.
    • Cockroach.
    • Oracle.
    • Firebird.
  • file – используется для получения данных из текстового файла. Доступен для агентов Linux.
  • 1c-log и 1c-xml – используются для получения данных из журналов 1С. Доступны для агентов Linux.
  • diode – используется для однонаправленной передачи данных в промышленных ICS-сетях с использованием диодов данных.
  • ftp – используется для получения данных по протоколу File Transfer Protocol. Доступен для агентов Windows и Linux.
  • nfs – используется для получения данных по протоколу Network File System. Доступен для агентов Windows и Linux.
  • wmi – используется для получения данных с помощью Windows Management Instrumentation. Доступен для агентов Windows.
  • wec – используется для получения данных с помощью Windows Event Forwarding (WEF) и Windows Event Collector (WEC) или локальных журналов ОС хоста под управлением Windows. Доступен для агентов Windows.
  • snmp – используется для получения данных с помощью Simple Network Management Protocol. Доступен для агентов Windows и Linux.
  • snmp-trap – используется для получения данных с помощью "ловушек" Simple Network Management Protocol (SNMP Trap). Доступен для агентов Windows и Linux.

В этом разделе

Просмотр параметров коннектора

Добавление коннектора

Параметры коннекторов

Предустановленные коннекторы
В начало
[Topic 217776]

Просмотр параметров коннектора

Чтобы просмотреть параметры коннектора:

  1. В веб-интерфейсе KUMA перейдите в раздел РесурсыКоннекторы.
  2. В структуре папок выберите папку, в которой располагается нужный вам коннектор.
  3. Выберите коннектор, параметры которого вы хотите просмотреть.

Параметры коннекторов отображаются на двух вкладках: Основные параметры и Дополнительные параметры. Подробное описание параметров каждого коннектора см. в разделе Параметры коннекторов.

В начало
[Topic 233566]

Добавление коннектора

Вы можете включить отображение непечатаемых символов для всех полей ввода, кроме поля Описание.

Чтобы добавить коннектор:

  1. В веб-интерфейсе KUMA перейдите в раздел РесурсыКоннекторы.
  2. В структуре папок выберите папку, в которой должен располагаться коннектор.

    Корневые папки соответствуют тенантам. Для того, чтобы коннектор был доступен определенному тенанту, его следует создать в папке этого тенанта.

    Если в дереве папок отсутствует требуемая папка, вам нужно создать ее.

    По умолчанию добавляемые коннекторы создаются в папке Общий.

  3. Нажмите на кнопку Добавить коннектор.
  4. Укажите параметры для выбранного типа коннектора.

    Параметры, которые требуется указать для каждого типа коннектора, приведены в разделе Параметры коннекторов.

  5. Нажмите на кнопку Сохранить.
В начало
[Topic 233570]

Параметры коннекторов

Этот раздел содержит описание параметров всех поддерживаемых KUMA типов коннекторов.

В этом разделе

Тип internal

Тип tcp

Тип udp

Тип netflow

Тип sflow

Тип nats-jetstream

Тип kafka

Тип http

Тип sql

Тип file

Тип 1c-xml

Тип 1c-log

Тип diode

Тип ftp

Тип nfs

Тип wmi

Тип wec

Тип snmp

Тип snmp-trap
В начало
[Topic 233592]

Тип internal

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

Закладка Основные параметры:

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Тип (обязательно) – тип коннектора, internal.
  • URL (обязательно) – URL, с которым необходимо установить связь.
  • Доступные форматы: hostname:port, IPv4:port, IPv6:port, :port.
  • Описание – описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры:

  • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса.

    По умолчанию указывается значение Выключено.

В начало
[Topic 220738]

Тип tcp

При создании этого типа коннектора вам требуется указать значения следующих параметров:

Закладка Основные параметры:

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Тип (обязательно) – тип коннектора, tcp.
  • URL (обязательно) – URL, с которым необходимо установить связь. Доступные форматы: hostname:port, IPv4:port, IPv6:port, :port.
  • Разделитель – используется для указания символа, определяющего границу между событиями. Доступные значения: \n, \t, \0. Если разделитель не задан (выбрано пустое значение), то по умолчанию используется значение: \n.
  • Описание – описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры:

  • Размер буфера – используется для установки размера буфера коннектора. Значение по умолчанию: 1 МБ; максимальное: 64 МБ.
  • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
  • Режим TLS – режим шифрования TLS с использованием сертификатов в формате pem x509:
    • Выключено (по умолчанию) – не использовать шифрование TLS.
    • Включено – использовать шифрование, но без верификации сертификатов.
    • С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
    • Нестандартный PFX – использовать шифрование. При выборе этого варианта требуется сформировать сертификат с закрытым ключом в формате PKCS#12-контейнера во внешнем центре сертификации, экспортировать сертификат из хранилища и загрузить его в веб-интерфейс KUMA в виде PFX-секрета. Добавить PFX-секрет.
      1. Если вы загрузили PFX-сертификат ранее, выберите его в раскрывающемся списке Секрет.

        Если ранее не было добавлено ни одного сертификата, в раскрывающемся списке отобразится Нет данных.

      2. Если вы хотите добавить новый сертификат, справа от списка Секрет нажмите на кнопку AD_plus.

        Откроется окно Секрет.

      3. В поле Название введите название, под которым секрет будет отображаться в списке доступных.
      4. По кнопке Загрузить PFX выберите файл, в который вы экспортировали сертификат с закрытым ключом, в формате PKCS#12-контейнера.
      5. В поле Пароль введите пароль для защиты сертификата, заданный в мастере экспорта сертификата.
      6. Нажмите на кнопку Сохранить.

      Сертификат будет добавлен и отобразится в списке Секрет.

      При использовании TLS невозможно указать IP-адрес в качестве URL.

  • Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
  • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
В начало
[Topic 220739]

Тип udp

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

Закладка Основные параметры:

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Тип (обязательно) – тип коннектора, udp.
  • URL (обязательно) – URL, с которым необходимо установить связь. Доступные форматы: hostname:port, IPv4:port, IPv6:port, :port.
  • Разделитель – используется для указания символа, определяющего границу между событиями. Доступные значения: \n, \t, \0. Если разделитель не задан (выбрано пустое значение), то события не разделяются.
  • Описание – описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры:

  • Размер буфера – используется для установки размера буфера коннектора. Значение по умолчанию: 16 Кб; максимальное: 64 Кб.
  • Рабочие процессы – используется для установки числа рабочих процессов для коннектора. Значение по умолчанию: 1.
  • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
  • Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
  • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
В начало
[Topic 220740]

Тип netflow

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, netflow.
    • URL (обязательно) – URL, с которым необходимо установить связь.
    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
  • Закладка Дополнительные параметры:
    • Размер буфера – используется для установки размера буфера коннектора. Значение по умолчанию: 16 Кб; максимальное: 64 Кб.
    • Рабочие процессы – используется для установки числа рабочих процессов для коннектора. Значение по умолчанию: 1.
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
В начало
[Topic 220741]

Тип sflow

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

Закладка Основные параметры:

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Тип (обязательно) – тип коннектора, sflow.
  • URL (обязательно) – URL, с которым требуется установить связь. Доступные форматы: hostname:port, IPv4:port, IPv6:port, :port.
  • Описание – описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры:

  • Размер буфера – используется для установки размера буфера коннектора. Значение по умолчанию: 1 МБ; максимальное: 64 МБ.
  • Рабочие процессы – используется для установки количества рабочих процессов для коннектора. Значение по умолчанию: 1.
  • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
  • Отладка – раскрывающийся список, позволяющий включить логирование ресурса. По умолчанию указывается значение Выключено.
В начало
[Topic 233206]

Тип nats-jetstream

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

Закладка Основные параметры:

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Тип (обязательно) – тип коннектора, nats-jetstream.
  • URL (обязательно) – URL, с которым необходимо установить связь.
  • Топик (обязательно) – тема сообщений NATS. Должно содержать символы в кодировке Unicode.
  • Разделитель – используется для указания символа, определяющего границу между событиями. Доступные значения: \n, \t, \0. Если разделитель не задан (выбрано пустое значение), то события не разделяются.
  • Описание – описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры:

  • Размер буфера – используется для установки размера буфера коннектора. Значение по умолчанию: 16 Кб; максимальное: 64 Кб.
  • Идентификатор группы – параметр GroupID для сообщений NATS. Должно содержать от 1 до 255 символов в кодировке Unicode. Значение по умолчанию: default.
  • Рабочие процессы – используется для установки числа рабочих процессов для коннектора. Значение по умолчанию: 1.
  • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
  • Идентификатор кластера – идентификатор кластера NATS.
  • Режим TLS – использование шифрования TLS:
    • Выключено (по умолчанию) – не использовать шифрование TLS.
    • Включено – использовать шифрование, но без верификации сертификата.
    • С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
    • Нестандартный CA – использовать шифрование с верификацией сертификата, подписанного центром сертификации. Секрет с сертификатом выбирается в раскрывающемся списке Нестандартный CA, который отображается при выборе этого пункта.

      Создание сертификата, подписанного центром сертификации

      Для использования этого режима TLS необходимо выполнить следующие действия на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL):

      1. Создать ключ, который будет использоваться центром сертификации.

        Пример команды:

        openssl genrsa -out ca.key 2048

      2. Создать сертификат для только что созданного ключа.

        Пример команды:

        openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt

      3. Создать приватный ключ и запрос на его подписание в центре сертификации.

        Пример команды:

        openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr

      4. Создать сертификат, подписанный центром сертификации. Необходимо включить в subjectAltName доменные имена или IP-адреса сервера, для которого создается сертификат.

        Пример команды:

        openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

      5. Полученный сертификат server.crt следует загрузить в веб-интерфейсе KUMA в секрет типа certificate, который затем следует выбрать в раскрывающемся списке Нестандартный CA.

      При использовании TLS невозможно указать IP-адрес в качестве URL.

      Для использования сертификатов KUMA на сторонних устройствах необходимо изменить расширение файла сертификата с CERT на CRT. В противном случае может возвращаться ошибка x509: certificate signed by unknown authority.

  • Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
  • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
В начало
[Topic 220742]

Тип kafka

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

Закладка Основные параметры:

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Тип (обязательно) – тип коннектора, kafka.
  • URL – URL, с которым необходимо установить связь. Доступные форматы: hostname:port, IPv4:port, IPv6:port.
  • Топик – тема сообщений Kafka. Должен содержать от 1 до 255 следующих символов: a–z, A–Z, 0–9, ".", "_", "-".
  • Авторизация – необходимость агентам проходить авторизацию при подключении к коннектору:
    • выключена (по умолчанию).
    • PFX.

      При выборе этого варианта требуется сформировать сертификат с закрытым ключом в формате PKCS#12-контейнера во внешнем центре сертификации, экспортировать сертификат из хранилища и загрузить его в веб-интерфейс KUMA в виде PFX-секрета.

      Добавить PFX-секрет

      1. Если вы загрузили PFX-сертификат ранее, выберите его в раскрывающемся списке Секрет.

        Если ранее не было добавлено ни одного сертификата, в раскрывающемся списке отобразится Нет данных.

      2. Если вы хотите добавить новый сертификат, справа от списка Секрет нажмите на кнопку AD_plus.

        Откроется окно Секрет.

      3. В поле Название введите название, под которым секрет будет отображаться в списке доступных.
      4. По кнопке Загрузить PFX выберите файл, в который вы экспортировали сертификат с закрытым ключом, в формате PKCS#12-контейнера.
      5. В поле Пароль введите пароль для защиты сертификата, заданный в мастере экспорта сертификата.
      6. Нажмите на кнопку Сохранить.

      Сертификат будет добавлен и отобразится в списке Секрет.

    • обычная.

      При выборе этого варианта требуется указать секрет, содержащий данные учетной записи пользователя для авторизации при подключении к коннектору.

      Добавить секрет

      1. Если вы создали секрет ранее, выберите его в раскрывающемся списке Секрет.

        Если ранее не было добавлено ни одного секрета, в раскрывающемся списке отобразится Нет данных.

      2. Если вы хотите добавить новый секрет, справа от списка Секрет нажмите на кнопку AD_plus.

        Откроется окно Секрет.

      3. В поле Название введите название, под которым секрет будет отображаться в списке доступных.
      4. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору.
      5. Если требуется, в поле Описание добавьте любую дополнительную информацию о секрете.
      6. Нажмите на кнопку Сохранить.

      Секрет будет добавлен и отобразится в списке Секрет.

  • Идентификатор группы – параметр GroupID для сообщений Kafka. Должен содержать от 1 до 255 следующих символов: a–z, A–Z, 0–9, ".", "_", "-".
  • Описание – описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры:

  • Размер одного сообщения в запросе – размер сообщения в запросе следует указывать в байтах. Значение по умолчанию 16 Мб.
  • Максимальное время ожидания одного сообщения – время ожидания сообщения заданного размера. Значение по умолчанию 5 секунд.
  • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
  • Режим TLS – использование шифрования TLS:
    • Выключено (по умолчанию) – не использовать шифрование TLS.
    • Включено – использовать шифрование, но без верификации сертификата.
    • С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
    • Нестандартный CA – использовать шифрование с верификацией сертификата, подписанного центром сертификации. Секрет с сертификатом выбирается в раскрывающемся списке Нестандартный CA, который отображается при выборе этого пункта.

      Создание сертификата, подписанного центром сертификации

      Для использования этого режима TLS необходимо выполнить следующие действия на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL):

      1. Создать ключ, который будет использоваться центром сертификации.

        Пример команды:

        openssl genrsa -out ca.key 2048

      2. Создать сертификат для только что созданного ключа.

        Пример команды:

        openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt

      3. Создать приватный ключ и запрос на его подписание в центре сертификации.

        Пример команды:

        openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr

      4. Создать сертификат, подписанный центром сертификации. Необходимо включить в subjectAltName доменные имена или IP-адреса сервера, для которого создается сертификат.

        Пример команды:

        openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

      5. Полученный сертификат server.crt следует загрузить в веб-интерфейсе KUMA в секрет типа certificate, который затем следует выбрать в раскрывающемся списке Нестандартный CA.

      При использовании TLS невозможно указать IP-адрес в качестве URL.

      Для использования сертификатов KUMA на сторонних устройствах необходимо изменить расширение файла сертификата с CERT на CRT. В противном случае может возвращаться ошибка x509: certificate signed by unknown authority.

  • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
В начало
[Topic 220744]

Тип http

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, http.
    • URL (обязательно) – URL, с которым необходимо установить связь. Доступные форматы: hostname:port, IPv4:port, IPv6:port, :port.
    • Разделитель – используется для указания символа, определяющего границу между событиями. Доступные значения: \n, \t, \0. Если разделитель не задан (выбрано пустое значение), то события не разделяются.
    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
  • Закладка Дополнительные параметры:
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Режим TLS – использование шифрования TLS:
      • Выключено (по умолчанию) – не использовать шифрование TLS.
      • Включено – использовать шифрование, но без верификации.
      • С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.

      При использовании TLS невозможно указать IP-адрес в качестве URL.

    • Прокси-сервер – раскрывающийся список, в котором можно выбрать ресурс прокси-сервера.
    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
В начало
[Topic 220745]

Тип sql

KUMA поддерживает работу с несколькими типами баз данных.

Программа поддерживает работу со следующими типами баз данных SQL:

  • SQLite.
  • MsSQL.
  • MySQL.
  • PostgreSQL.
  • Cockroach.
  • Oracle.
  • Firebird.

При создании коннектора вам требуется задать значения для общих параметров коннектора и индивидуальных параметров подключения к базе данных.

Для коннектора на закладке Основные параметры вам требуется задать значения следующих параметров:

  • Название (обязательно) – уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тип (обязательно) – тип коннектора, sql.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Запрос по умолчанию (обязательно) – SQL-запрос, который выполняется при подключении к базе данных.
  • Переподключаться к БД каждый раз при отправке запроса – по умолчанию флажок снят.
  • Интервал запросов, сек. – интервал выполнения SQL-запросов. Указывается в секундах. Значение по умолчанию: 10 секунд.
  • Описание – описание ресурса: до 4000 символов в кодировке Unicode.

Для подключения к базе данных на закладке Основные параметры вам требуется задать значения следующих параметров:

  • URL (обязательно) – секрет, в котором хранится список URL-адресов для подключения к базе данных.

    При необходимости вы можете изменить или создать секрет.

    1. Нажмите на кнопку AddResource.

      Откроется окно секрета.

    2. Укажите значения для следующих параметров:
      1. Название – имя добавляемого секрета.
      2. Типurls.

        Значение установлено по умолчанию, его редактирование недоступно.

      3. URL – URL-адрес базы данных.

        Вам требуется учитывать, что для подключения к каждому типу базы данных используется свой формат URL-адреса.

        Доступные форматы URL-адресов:

        • Для SQLite:
          • sqlite3://file:<file_path>

          В качестве плейсхолдера используется знак вопроса: ?.

        • Для MsSQL:
          • sqlserver://<user>:<password>@<server:port>/<instance_name>?database=<database> (рекомендуется)
          • sqlserver://<user>:<password>@<server>?database=<database>&encrypt=disable

          В качестве плейсхолдера используются символы @p1.

        • Для MySQL:
          • mysql://<user>:<password>@tcp(<server>:<port>)/<database>

          В качестве плейсхолдера используются символы %s.

        • Для PostgreSQL:
          • postgres://<user>:<password>@<server>/<database>?sslmode=disable

          В качестве плейсхолдера используются символы $1.

        • Для Cockroach:
          • postgres://<user>:<password>@<server>:<port>/<database>?sslmode=disable

          В качестве плейсхолдера используются символы $1.

        • Для Firebird:
          • firebirdsql://<user>:<password>@<server>:<port>/<database>

          В качестве плейсхолдера используется знак вопроса: ?.

      4. Описание – любая дополнительная информация.
    3. При необходимости нажмите на кнопку Добавить и укажите дополнительный URL-адрес.

      В этом случае при недоступности одного URL-адреса программа подключается к следующему URL-адресу, указанному в списке адресов.

    4. Нажмите на кнопку Сохранить.
    1. Нажмите на кнопку EditResource.

      Откроется окно секрета.

    2. Укажите значения для параметров, которые требуется изменить.

      Вы можете изменить значения для следующих параметров:

      1. Название – имя добавляемого секрета.
      2. URL – URL-адрес базы данных.

        Вам требуется учитывать, что для подключения к каждому типу базы данных используется свой формат URL-адреса.

        Доступные форматы URL-адресов:

        • Для SQLite:
          • sqlite3://file:<file_path>

          В качестве плейсхолдера используется знак вопроса: ?.

        • Для MsSQL:
          • sqlserver://<user>:<password>@<server:port>/<instance_name>?database=<database> (рекомендуется)
          • sqlserver://<user>:<password>@<server>?database=<database>&encrypt=disable

          В качестве плейсхолдера используются символы @p1.

        • Для MySQL:
          • mysql://<user>:<password>@tcp(<server>:<port>)/<database>

          В качестве плейсхолдера используется символ ?.

        • Для PostgreSQL:
          • postgres://<user>:<password>@<server>/<database>?sslmode=disable

          В качестве плейсхолдера используются символы $1.

        • Для Cockroach:
          • postgres://<user>:<password>@<server>:<port>/<database>?sslmode=disable

          В качестве плейсхолдера используются символы $1.

        • Для Firebird:
          • firebirdsql://<user>:<password>@<server>:<port>/<database>

          В качестве плейсхолдера используется знак вопроса: ?.

      3. Описание – любая дополнительная информация.
    3. При необходимости нажмите на кнопку Добавить и укажите дополнительный URL-адрес.

      В этом случае при недоступности одного URL-адреса программа подключается к следующему URL-адресу, указанному в списке адресов.

    4. Нажмите на кнопку Сохранить.

    При создании подключений могут некорректно обрабатываться строки с учетными данными, содержащими специальные символы. Если при создании подключения возникает ошибка, но вы уверены в том, что значения параметров корректны, укажите специальные символы в процентной кодировке.

    Коды специальных символов

    !

    #

    $

    %

    &

    '

    (

    )

    *

    +

    %21

    %23

    %24

    %25

    %26

    %27

    %28

    %29

    %2A

    %2B

    ,

    /

    :

    ;

    =

    ?

    @

    [

    ]

    \

    %2C

    %2F

    %3A

    %3B

    %3D

    %3F

    %40

    %5B

    %5D

    %5C

    Следующие специальные символы не поддерживаются в паролях доступа к базам SQL: пробел, [, ], :, /, #, %, \.

  • Столбец идентификатора (обязательно) – название столбца, содержащего идентификатор для каждой строки таблицы.
  • Начальное значение идентификатора (обязательно) – значение в столбце идентификатора, по которому будет определена строка, с которой требуется начать считывание данных из SQL-таблицы.
  • Запрос – поле для дополнительного SQL-запроса. Запрос, указанный в этом поле, выполняется вместо запроса по умолчанию.
  • Интервал запросов, сек. – интервал выполнения SQL-запросов. Интервал, указанный в этом поле, используется вместо интервала, указанного по умолчанию для коннектора.

    Указывается в секундах. Значение по умолчанию: 10 секунд.

Для коннектора на закладке Дополнительные параметры вам требуется задать значения следующих параметров:

  • Кодировка символов – кодировка символов. Значение по умолчанию: UTF-8.

    KUMA конвертирует ответы SQL в кодировку UTF-8. Вы можете настроить SQL-сервер на отправку ответов в кодировке UTF-8 или выбрать их кодировку на стороне KUMA.

  • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.

В рамках одного коннектора вы можете создать подключение для нескольких поддерживаемых баз данных.

Чтобы создать подключение для нескольких баз данных SQL:

  1. Нажмите на кнопку Добавить подключение.
  2. Задайте значение для параметров URL, Столбец идентификатора, Начальное значение идентификатора, Запрос, Интервал запросов, сек.
  3. Повторите шаги 1–2 для каждого требуемого подключения.

Поддерживаемые типы SQL и особенности их использования

Оператор UNION не поддерживается коннекторами типа SQL.

Поддерживаются следующие типы SQL:

  • MSSQL

    Примеры URL:

    • sqlserver://{user}:{password}@{server:port}/{instance_name}?database={database} – (рекомендуемый вариант)
    • sqlserver://{user}:{password}@{server}?database={database}

    В качестве плейсхолдера в SQL-запросе используются символы @p1.

    Если вам требуется подключиться с доменными учетными данными, укажите имя учетной записи в формате <домен>%5C<пользователь>. Например: sqlserver://domain%5Cuser:password@ksc.example.com:1433/SQLEXPRESS?database=KAV.

  • MySQL

    Пример URL: mysql://{user}:{password}@tcp({server}:{port})/{database}

    В качестве плейсхолдера в SQL-запросе используются символ ?.

  • PostgreSQL

    Пример URL: postgres://{user}:{password}@{server}/{database}?sslmode=disable

    В качестве плейсхолдера в SQL-запросе используются символы $1.

  • CockroachDB

    Пример URL: postgres://{user}:{password}@{server}:{port}/{database}?sslmode=disable

    В качестве плейсхолдера в SQL-запросе используются символы $1.

  • SQLite3

    Пример URL: sqlite3://file:{file_path}

    В качестве плейсхолдера в SQL-запросе используется знак вопроса: ?.

    При обращении к SQLite3, если начальное значение идентификатора используется в формате datetime, в SQL-запрос нужно добавить преобразование даты с помощью функции sqlite datetime. Например, select * from connections where datetime(login_time) > datetime(?, 'utc') order by login_time. В этом примере connections – это таблица SQLite, а значение переменной ? берется из поля Начальное значение идентификатора, и его следует указывать в формате {date}T{time}Z (например, - 2021-01-01T00:10:00Z).

  • Oracle DB

    Начиная с версии 2.1.3 KUMA использует новый драйвер для подключения к oracle. При обновлении KUMA переименует секрет для подключения в oracle-deprecated и коннектор продолжит работу. Если после запуска коллектора с типом драйвера oracle-deprecated не удается получить события, создайте новый секрет с драйвером oracle и используйте его для подключения.

    Мы рекомендуем использовать новый драйвер.

    Пример URL секрета с новым драйвером oracle:

    oracle://{user}:{password}@{server}:{port}/{service_name}

    oracle://{user}:{password}@{server}:{port}/?SID={SID_VALUE}

    Пример URL секрета с прежним драйвером oracle-deprecated:

    oracle-deprecated://{user}/{password}@{server}:{port}/{service_name}

    В качестве плейсхолдера в SQL-запросе используется переменная :val.

    При обращении к Oracle DB, если начальное значение идентификатора используется в формате datetime, нужно учитывать тип поля в самой базе данных и при необходимости добавить дополнительные преобразования строки со временем в запросе для обеспечения корректной работы sql коннектора. Например, если в базе создана таблица Connections, в которой есть поле login_time, возможны следующие преобразования:

    • Если у поля login_time тип TIMESTAMP, то в зависимости от настроек базы в поле login_time может лежать значение в формате YYYY-MM-DD HH24:MI:SS (например, 2021-01-01 00:00:00). Тогда в поле Начальное значение идентификатора следует указать значение 2021-01-01T00:00:00Z, а в запросе произвести преобразование с помощью функции to_timestamp. Например:

      select * from connections where login_time > to_timestamp(:val, 'YYYY-MM-DD"T"HH24:MI:SS"Z"')

    • Если у поля login_time тип TIMESTAMP WITH TIME ZONE, то в зависимости от настроек базы в поле login_time может лежать значение в формате YYYY-MM-DD"T"HH24:MI:SSTZH:TZM (например, 2021-01-01T00:00:00+03:00). Тогда в поле Начальное значение идентификатора следует указать значение 2021-01-01T00:00:00+03:00, а в запросе произвести преобразование с помощью функции to_timestamp_tz. Например:

      select * from connections_tz where login_time > to_timestamp_tz(:val, 'YYYY-MM-DD"T"HH24:MI:SSTZH:TZM')

      Подробнее о функциях to_timestamp и to_timestamp_tz см. в официальной документации Oracle.

    Для обращения к Oracle DB необходимо установить пакет Astra Linux libaio1.

  • Firebird SQL

    Пример URL:

    firebirdsql://{user}:{password}@{server}:{port}/{database}

    В качестве плейсхолдера в SQL-запросе используется знак вопроса: ?.

    Если возникает проблема подключения к firebird на Windows, используйте полный путь до файла с базой данных. Например:

    firebirdsql://{user}:{password}@{server}:{port}/C:\Users\user\firebird\db.FDB

В SQL-запросах поддерживается последовательный запрос сведений из базы данных. Например, если в поле Запрос указать запрос select * from <название таблицы с данными> where id > <плейсхолдер>, то при первом обращении к таблице в качестве значения плейсхолдера будет использоваться значение поля Начальное значение идентификатора. При этом в сервисе, в котором используется SQL-коннектор, сохраняется идентификатор последней прочитанной записи, и во время следующего обращения к базе данных в качестве значения плейсхолдера в запросе будет использоваться идентификатор этой записи.

Примеры SQL-запросов

SQLite, Firebird – select * from table_name where id > ?

MsSQL – select * from table_name where id > @p1

MySQL – select * from table_name where id > ?

PostgreSQL, Cockroach – select * from table_name where id > $1

Oracle – select * from table_name where id > :val

В начало
[Topic 220746]

Тип file

Тип file используется для получения данных из любого текстового файла. Одна строка файла считается одним событием. Разделители между строк: \n. Коннектор этого типа доступен для Linux-агентов.

Чтобы обеспечить передачу файлов с сервера Windows для обработки коллектором KUMA, выполните следующие действия:

  1. На сервере Windows предоставьте доступ для чтения по сети к папке с файлами, подлежащими обработке.
  2. На сервере Linux примонтируйте сетевую папку с файлами на сервере Linux (cм. список поддерживаемых ОС).
  3. На сервере Linux установите коллектор, который будет обрабатывать файлы из примонтированной сетевой папки.

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, file.
    • URL (обязательно) – полный путь до файла, с которым требуется выполнять взаимодействие. Например, /var/log/*som?[1-9].log.

      Шаблоны масок для файлов и директорий

      Маски:

      • '*' – соответствует любой последовательности символов;
      • '[' [ '^' ] { диапазон символов } ']' – класс символов (не должен быть пустым);
      • '?' – соответствует любому одиночному символу.

      Диапазоны символов:

      • [0-9] – числа;
      • [a-zA-Z] – буквы латинского алфавита.

      Примеры:

      • /var/log/*som?[1-9].log
      • /mnt/dns_logs/*/dns.log
      • /mnt/proxy/access*.log

      Ограничения при использовании префиксов к путям файлов

      Префиксы, которые невозможно использовать при указании путей к файлам:

      • /*
      • /bin
      • /boot
      • /dev
      • /etc
      • /home
      • /lib
      • /lib64
      • /proc
      • /root
      • /run
      • /sys
      • /tmp
      • /usr/*
      • /usr/bin/
      • /usr/local/*
      • /usr/local/sbin/
      • /usr/local/bin/
      • /usr/sbin/
      • /usr/lib/
      • /usr/lib64/
      • /var/*
      • /var/lib/
      • /var/run/
      • /opt/kaspersky/kuma/

      Файлы по указанным ниже путям доступны:

      • /opt/kaspersky/kuma/clickhouse/logs/
      • /opt/kaspersky/kuma/mongodb/log/
      • /opt/kaspersky/kuma/victoria-metrics/log/

      Ограничение количества отслеживаемых файлов по маске

      Количество одновременно отслеживаемых файлов по маске может быть ограничено параметром Ядра max_user_watches. Чтобы просмотреть значение параметра, выполните следующую команду:

      cat /proc/sys/fs/inotify/max_user_watches

      Если количество файлов для отслеживания превышает значение параметра max_user_watches, коллектор больше не сможет считывать события из файлов и в журнале коллектора появится следующая ошибка:

      Failed to add files for watching {"error": "no space left on device"}

      Чтобы коллектор продолжил корректно работать, вы можете настроить правильную ротацию файлов, чтобы количество файлов не превышало значение параметра max_user_watches, или увеличить значение max_user_watches.

      Чтобы увеличить значение параметра:

      sysctl fs.inotify.max_user_watches=<количество файлов>

      sysctl -p

      Также вы можете добавить значение параметра max_user_watches в sysctl.conf, чтобы значение сохранялось всегда.

      После того, как вы увеличите значение параметра max_user_watches, коллектор успешно продолжит работу.

    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
  • Закладка Дополнительные параметры:
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
В начало
[Topic 220748]

Тип 1c-xml

Тип 1c-xml используется для получения данных из журналов регистрации программы 1С. При обработке коннектором многострочные события преобразовываются в однострочные. Коннектор этого типа доступен для Linux-агентов.

При создании этого типа коннектора требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, 1c-xml.
    • URL (обязательно) – полный путь до директории с файлами, с которыми требуется выполнять взаимодействие. Например, /var/log/1c/logs/.

      Ограничения при использовании префиксов к путям файлов

      Префиксы, которые невозможно использовать при указании путей к файлам:

      • /*
      • /bin
      • /boot
      • /dev
      • /etc
      • /home
      • /lib
      • /lib64
      • /proc
      • /root
      • /run
      • /sys
      • /tmp
      • /usr/*
      • /usr/bin/
      • /usr/local/*
      • /usr/local/sbin/
      • /usr/local/bin/
      • /usr/sbin/
      • /usr/lib/
      • /usr/lib64/
      • /var/*
      • /var/lib/
      • /var/run/
      • /opt/kaspersky/kuma/

      Файлы по указанным ниже путям доступны:

      • /opt/kaspersky/kuma/clickhouse/logs/
      • /opt/kaspersky/kuma/mongodb/log/
      • /opt/kaspersky/kuma/victoria-metrics/log/
    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
  • Закладка Дополнительные параметры:
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.

Схема работы коннектора:

  1. Происходит поиск всех файлов с журналами 1C с расширением XML внутри указанной директории. Журналы помещаются в директорию или вручную, или через приложение, написанное на языке 1С, например, с помощью функции ВыгрузитьЖурналРегистрации(). Коннектор поддерживает журналы, полученные только таким образом. Подробнее о том, как получить журналы 1С, см. в официальной документации 1С.
  2. Файлы сортируются по возрастанию времени последнего изменения и отбрасываются все файлы, измененные раньше, чем последний прочитанный.

    Сведения об обработанных файлах хранятся в файле /<рабочая директория коллектора>/1c_xml_connector/state.ini и имеют следующий формат: "offset=<число>\ndev=<число>\ninode=<число>".

  3. В каждом непрочитанном файле определяются события.
  4. События из файла по очереди принимаются на обработку, при этом многострочные события преобразовываются в однострочные события.

Ограничения коннектора:

  • Установка коллектора с коннектором 1c-xml на ОС Windows не поддерживается. Чтобы обеспечить передачу файлов с журналами 1С для обработки коллектором KUMA, выполните следующие действия:
    1. На сервере Windows предоставьте доступ для чтения по сети к папке с журналами 1С.
    2. На сервере Linux примонтируйте сетевую папку с журналами 1С на сервере Linux (cм. список поддерживаемых ОС).
    3. На сервере Linux установите коллектор, который будет обрабатывать файлы с журналами 1С из примонтированной сетевой папки.
  • Не читаются файлы с некорректным форматом событий. Например, если теги события в файле на русском языке, коллектор не прочитает такие события.

    Пример корректного XML файла с событием.

    XML_sample

    Пример обработанного события.

    XML_processed_event_example

  • Если дополнить уже прочитанный коннектором файл новыми событиями и если этот файл не является последним прочитанным файлом в директории, все события из файла будут обработаны заново.
В начало
[Topic 244776]

Тип 1c-log

Тип 1c-log используется для получения данных из технологических журналов программы 1С. Разделители между строк: \n. Из многострочной записи о событии коннектор принимает только первую строку. Коннектор этого типа доступен для Linux-агентов.

При создании этого типа коннектора требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, 1c-log.
    • URL (обязательно) – полный путь до директории с файлами, с которыми требуется выполнять взаимодействие. Например, /var/log/1c/logs/.

      Ограничения при использовании префиксов к путям файлов

      Префиксы, которые невозможно использовать при указании путей к файлам:

      • /*
      • /bin
      • /boot
      • /dev
      • /etc
      • /home
      • /lib
      • /lib64
      • /proc
      • /root
      • /run
      • /sys
      • /tmp
      • /usr/*
      • /usr/bin/
      • /usr/local/*
      • /usr/local/sbin/
      • /usr/local/bin/
      • /usr/sbin/
      • /usr/lib/
      • /usr/lib64/
      • /var/*
      • /var/lib/
      • /var/run/
      • /opt/kaspersky/kuma/

      Файлы по указанным ниже путям доступны:

      • /opt/kaspersky/kuma/clickhouse/logs/
      • /opt/kaspersky/kuma/mongodb/log/
      • /opt/kaspersky/kuma/victoria-metrics/log/
    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
  • Закладка Дополнительные параметры:
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.

Схема работы коннектора:

  1. Происходит поиск всех файлов технологических журналов 1C.

    Требования к файлам журналов:

    • Файлы с расширением LOG создаются в директории журналов (по умолчанию /var/log/1c/logs/) в поддиректории каждого процесса.

      Пример поддерживаемый структуры технологических журналов 1c

      1c-log-fileStructure

    • События записываются в файл в течение часа, после чего создается следующий файл журнала.
    • Название файлов имеет следующий формат: <ГГ><ММ><ДД><ЧЧ>.log. Например, 22111418.log – файл, созданный в 2022 году, в 11 месяце, 14 числа в 18 часов.
    • Каждое событие начинается с времени события в формате <мм>:<cc>.<микросекунды>-<длительность_в_микросекундах>.
  2. Отбрасываются уже обработанные файлы.

    Сведения об обработанных файлах хранятся в файле /<рабочая директория коллектора>/1c_log_connector/state.json.

  3. Принимаются на обработку новые события, при этом время события приводится к формату RFC3339.
  4. Обрабатывается следующий в очереди файл.

Ограничения коннектора:

  • Установка коллектора с коннектором 1c-log на ОС Windows не поддерживается. Чтобы обеспечить передачу файлов с журналами 1С для обработки коллектором KUMA, выполните следующие действия:
    1. На сервере Windows предоставьте доступ для чтения по сети к папке с журналами 1С.
    2. На сервере Linux примонтируйте сетевую папку с журналами 1С на сервере Linux (cм. список поддерживаемых ОС).
    3. На сервере Linux установите коллектор, который будет обрабатывать файлы с журналами 1С из примонтированной сетевой папки.
  • Из многострочной записи о событии на обработку принимается только первая строка.
  • Нормализатор обрабатывает только следующие типы событий:
    • ADMIN
    • ATTN
    • CALL
    • CLSTR
    • CONN
    • DBMSSQL
    • DBMSSQLCONN
    • DBV8DBENG
    • EXCP
    • EXCPCNTX
    • HASP
    • LEAKS
    • LIC
    • MEM
    • PROC
    • SCALL
    • SCOM
    • SDBL
    • SESN
    • SINTEG
    • SRVC
    • TLOCK
    • TTIMEOUT
    • VRSREQUEST
    • VRSRESPONSE
В начало
[Topic 244775]

Тип diode

Используется для передачи событий с помощью диода данных.

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, diode.
    • Директория с событиями от диода данных (обязательно) – полный путь до директории на сервере коллектора KUMA, в которую диод данных перемещает файлы с событиями из изолированного сегмента сети. После считывания коннектором файлы удаляются из директории. Путь может содержать до 255 символов в кодировке Unicode.

      Ограничения при использовании префиксов к путям

      Префиксы, которые невозможно использовать при указании путей к файлам:

      • /*
      • /bin
      • /boot
      • /dev
      • /etc
      • /home
      • /lib
      • /lib64
      • /proc
      • /root
      • /run
      • /sys
      • /tmp
      • /usr/*
      • /usr/bin/
      • /usr/local/*
      • /usr/local/sbin/
      • /usr/local/bin/
      • /usr/sbin/
      • /usr/lib/
      • /usr/lib64/
      • /var/*
      • /var/lib/
      • /var/run/
      • /opt/kaspersky/kuma/

      Файлы по указанным ниже путям доступны:

      • /opt/kaspersky/kuma/clickhouse/logs/
      • /opt/kaspersky/kuma/mongodb/log/
      • /opt/kaspersky/kuma/victoria-metrics/log/
    • Разделитель – используется для указания символа, определяющего границу между событиями. Доступные значения: \n, \t, \0. Если разделитель не задан (выбрано пустое значение), то по умолчанию используется значение: \n.

      Этот параметр должен совпадать для коннектора и точки назначения, используемых для передачи событий из изолированного сегмента сети с помощью диода данных.

    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
  • Закладка Дополнительные параметры:
    • Рабочие процессы – количество служб, обрабатывающих очередь запросов. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
    • Интервал запросов, сек. – регулярность считывания файлов из директории с событиями от диода данных. Значение по умолчанию: 2. Значение указывается в секундах.
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.

      Этот параметр должен совпадать для коннектора и точки назначения, используемых для передачи событий из изолированного сегмента сети с помощью диода данных.

    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.

В начало
[Topic 232912]

Тип ftp

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, ftp.
    • URL (обязательно) – Действительный URL файла или маски файлов, который начинается со схемы 'ftp://'. Для маски файлов допустимо использование * ? [...].

      Шаблоны масок для файлов

      Маски:

      • '*' – соответствует любой последовательности символов;
      • '[' [ '^' ] { диапазон символов } ']' – класс символов (не должен быть пустым);
      • '?' – соответствует любому одиночному символу.

      Диапазоны символов:

      • [0-9] – числа;
      • [a-zA-Z] – буквы латинского алфавита.

      Примеры:

      • /var/log/*som?[1-9].log
      • /mnt/dns_logs/*/dns.log
      • /mnt/proxy/access*.log

      Если в URL не содержится порт ftp сервера, подставляется 21 порт.

    • Учетные данные для URL – для указания логина и пароля к FTP серверу. При отсутствии логина и пароля строка остается пустой.
    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
  • Закладка Дополнительные параметры:
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
В начало
[Topic 220749]

Тип nfs

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, nfs.
    • URL (обязательно) – путь до удаленной директории в формате nfs://host/path.
    • Маска имени файла (обязательно) – маска, по которой фильтруются файлы с событиями. Допустимо использование масок "*", "?", "[...]".
    • Интервал запросов, сек. – интервал опроса. Промежуток времени, через который перечитываются файлы с удаленной системы. Значение указывается в секундах. По умолчанию указано значение: 0.
    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
  • Закладка Дополнительные параметры:
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
В начало
[Topic 220750]

Тип wmi

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, wmi.
    • URL (обязательно) – URL создаваемого коллектора, например kuma-collector.example.com:7221.

      При создании коллектора для получения данных с помощью Windows Management Instrumentation автоматически создается агент, который будет получать необходимые данные на удаленном устройстве и перенаправлять их в сервис коллектора. В поле URL требуется указать адрес этого коллектора. URL известен заранее, если вы знаете, на каком сервере планируете установить сервис, но это поле можно заполнить и после завершения мастера установки, скопировав данные из раздела РесурсыАктивные сервисы.

    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
    • Учетные данные по умолчанию – раскрывающийся список, в котором выбирать значение не требуется. Учетные данные для подключения к хостам необходимо указывать в таблице Удаленные хосты (см. ниже).
    • В таблице Удаленные хосты перечисляются удаленные устройства Windows, к которым требуется установить подключение. Доступные столбцы:
      • Хост (обязательно) – IP-адрес или имя устройства, с которого необходимо принимать данные. Например, "machine-1".
      • Домен (обязательно) – название домена, в котором расположено удаленное устройство. Например, "example.com".
      • Тип журналов – раскрывающийся список для выбора названия журналов Windows, которые требуется получить. По умолчанию в списке отображаются только предварительно настроенные журналы, но вы можете расширить список пользовательскими журналами, введя их название в поле Журналы Windows, а затем нажав ENTER. Конфигурация сервисов и ресурсов KUMA может потребовать дополнительных изменений для правильной обработки настраиваемых журналов.

        Журналы, доступные по умолчанию:

        • Application
        • ForwardedEvents
        • Security
        • System
        • HardwareEvents

      Если в одном из подключений WMI используется хотя бы один журнал с неверным названием, в этом случае агент, использующий коннектор, не будет получать события из всех журналов данного подключения, даже если названия остальных журналов указаны верно. При этом подключения WMI-агента, в которых все названия журналов указаны правильно, будет работать корректно.

      • Секрет – учетные данные для доступа к удаленному устройству Windows с правами на чтение журналов. Если оставить это поле пустым, то будут использоваться учетные данные из секрета, выбранного в раскрывающемся списке Учетные данные, используемые по умолчанию. Логин в секрете необходимо указывать без домена, значение домена для доступа к хосту берется из столбца Домен таблицы Удаленные хосты.

        Можно выбрать ресурс секрета в раскрывающемся списке или создать его с помощью кнопки AddResource. Выбранный секрет можно изменить, нажав на кнопку EditResource.

  • Закладка Дополнительные параметры:
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.

Получение событий с удаленного устройства

Условия для получения событий с удаленного устройства Windows с агентом KUMA:

  • Для запуска агента KUMA на удаленном устройстве необходимо использовать учетную запись с правами Log on as a service.
  • Для получения событий от агента KUMA необходимо использовать учетную запись с правами Event Log Readers. Для серверов домена может быть создана одна такая учетная запись, чтобы через групповую политику ее права на чтение логов можно было распространить на все серверы и рабочие станции домена.
  • На удаленных устройствах Windows необходимо открыть следующие TCP-порты 135, 445, 49152-65535.
  • На удаленных устройствах требуется запустить следующие службы:
    • Remote Procedure Call (RPC)
    • RPC Endpoint Mapper
В начало
[Topic 220751]

Тип wec

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, wec.
    • URL (обязательно) – URL создаваемого коллектора, например kuma-collector.example.com:7221.

      При создании коллектора для получения данных с помощью Windows Event Collector автоматически создается агент, который будет получать необходимые данные на удаленном устройстве и перенаправлять их в сервис коллектора. В поле URL требуется указать адрес этого коллектора. URL известен заранее, если вы знаете, на каком сервере планируете установить сервис, но это поле можно заполнить и после завершения мастера установки, скопировав данные из раздела РесурсыАктивные сервисы.

    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
    • Журналы Windows (обязательно) – в этом раскрывающемся списке необходимо выбрать названия журналов Windows, которые требуется получить. По умолчанию в списке отображаются только предварительно настроенные журналы, но вы можете расширить список пользовательскими журналами, введя их название в поле Журналы Windows, а затем нажав ENTER. Конфигурация сервисов и ресурсов KUMA может потребовать дополнительных изменений для правильной обработки настраиваемых журналов.

      Преднастроенные журналы:

      • Application
      • ForwardedEvents
      • Security
      • System
      • HardwareEvents

      Если неверно указать название хотя бы одного журнала, в этом случае агент, использующий коннектор, не будет получать события из всех журналов, даже если названия остальных журналов указаны верно.

  • Закладка Дополнительные параметры:
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.

Для запуска агента KUMA на удаленном устройстве необходимо использовать сервисную учетную запись с правами Log on as a service. Для получения событий из журнала ОС сервисная учётная запись также должна обладать правами Event Log Readers.

Вы можете создать одну учетную запись с правами Log on as a service и Event Log Readers, а затем права этой учетной записи на чтение журналов распространить на все серверы и рабочие станции домена с помощью групповой политики.

Мы рекомендуем запретить для сервисной учётной записи возможность интерактивного входа.

В начало
[Topic 220752]

Тип snmp

Для обработки событий, полученных по SNMP, необходимо использовать нормализатор типа json.

Доступен для Windows- и Linux-агентов. Поддерживаемые версии протокола:

  • snmpV1
  • snmpV2
  • snmpV3

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, snmp.
    • Версия SNMP (обязательно) – в этом раскрывающемся списке можно выбрать версию используемого протокола.
    • Хост (обязательно) – имя хоста или его IP-адрес. Доступные форматы: hostname, IPv4, IPv6.
    • Порт (обязательно) – порт для подключения к хосту. Обычно используются значения 161 или 162.

    С помощью параметров Версия SNMP, Хост и Порт определяется одно подключение к SNMP-ресурсу. Таких подключений в одном коннекторе можно создать несколько, добавляя новые с помощью кнопки SNMP-ресурс. Удалить подключения можно с помощью кнопки delete-icon.

    • Секрет (обязательно) – раскрывающийся список для выбора секрета, в котором хранятся учетные данные для подключения через Simple Network Management Protocol. Тип секрета должен соответствовать версии SNMP. При необходимости секрет можно создать в окне создания коннектора с помощью кнопки AddResource. Выбранный секрет можно изменить, нажав на кнопку EditResource.
    • В таблице Данные источника можно задать правила именования получаемых данных, по которым идентификаторы объектов OID будут преобразовываться в ключи, с которыми сможет взаимодействовать нормализатор. Доступные столбцы таблицы:
      • Название параметра (обязательно) – произвольное название для типа данных. Например, "Имя узла" или "Время работы узла".
      • OID (обязательно) – уникальный идентификатор, который определяет, где искать требуемые данные на источнике событий. Например, "1.3.6.1.2.1.1.5".
      • Ключ (обязательно) – уникальный идентификатор, возвращается в ответ на запрос к устройству со значением запрошенного параметра. Например, "sysName". К этому ключу можно обращаться при нормализации данных.
    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
  • Закладка Дополнительные параметры:
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
В начало
[Topic 220753]

Тип snmp-trap

Коннектор типа snmp-trap используется в агентах и коллекторах для пассивного приема SNMP-Trap сообщений. В коннекторе сообщения принимаются и подготавливаются к нормализации путем сопоставления идентификаторов SNMP-объектов с временными ключами. Затем сообщение необходимо передать в JSON-нормализатор, где временные ключи будут сопоставлены с полями KUMA и будет создано событие.

Для обработки событий, полученных по SNMP, необходимо использовать нормализатор типа json.

Доступен для Windows- и Linux-агентов. Поддерживаемые версии протокола:

  • snmpV1
  • snmpV2

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, snmp-trap.
    • Версия SNMP (обязательно) – в этом раскрывающемся списке необходимо выбрать версию используемого протокола: snmpV1 или snmpV2.

      Например, Windows по умолчанию использует версию snmpV2.

    • URL (обязательно) – URL, на котором будут ожидаться сообщения SNMP Trap. Доступные форматы: hostname:port, IPv4:port, IPv6:port, :port.

    С помощью параметров Версия SNMP и URL определяется одно соединение для приема событий SNMP Trap. Таких соединений в одном коннекторе можно создать несколько, добавляя новые с помощью кнопки SNMP-ресурс. Удалить соединения можно с помощью кнопки delete-icon.

    • В таблице Данные источника необходимо задать правила именования получаемых данных, по которым идентификаторы объектов OID будут преобразовываться в ключи, с которыми сможет взаимодействовать нормализатор.

      При создании коннектора таблица предзаполняется примерами значений идентификаторов объектов и их ключей. Если в поступающих событиях необходимо определить и нормализовать больше данных, дополните таблицу строками с перечнем OID-объектов и их ключей.

      С помощью кнопки Применить значения OID для WinEventLog таблицу можно заполнить сопоставлениями для значений OID, поступающих в журналах WinEventLog.

      Доступные столбцы таблицы:

      • Название параметра – произвольное название для типа данных. Например, "Имя узла" или "Время работы узла".
      • OID (обязательно) – уникальный идентификатор, который определяет, где искать требуемые данные на источнике событий. Например, "1.3.6.1.2.1.1.1".
      • Ключ (обязательно) – уникальный идентификатор, возвращается в ответ на запрос к устройству со значением запрошенного параметра. Например, "sysDescr". К этому ключу можно обращаться при нормализации данных.

      Данные обрабатываются по принципу списка разрешенных: объекты, которые не указаны в таблице, не будут переданы в нормализатор для дальнейшей обработки.

    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
  • Закладка Дополнительные параметры:
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.

В этом разделе

Настройка источника SNMP-trap сообщений для Windows
В начало
[Topic 239700]

Настройка источника SNMP-trap сообщений для Windows

Настройка устройства Windows для отправки SNMP-trap сообщений в коллектор KUMA происходит в несколько этапов:

  1. Настройка и запуск служб SNMP и SNMP Trap
  2. Настройка службы Event to Trap Translator

События от источника SNMP-trap сообщений должен принимать коллектор KUMA, в котором используется коннектор типа snmp-trap и нормализатор типа json.

В этом разделе

Настройка и запуск служб SNMP и SNMP Trap

Настройка службы Event to Trap Translator
В начало
[Topic 239863]

Настройка и запуск служб SNMP и SNMP Trap

Чтобы настроить и запустить службы SNMP и SNMP Trap в Windows 10:

  1. Откройте раздел SettingsAppsApps and featuresOptional featuresAdd featureSimple Network Management Protocol (SNMP) и нажмите Install.
  2. Дождитесь завершения установки и перезагрузите компьютер.
  3. Убедитесь, что служба SNMP запущена. Если какие-то из перечисленных ниже служб не запущены, включите их:
    • ServicesSNMP Service.
    • ServicesSNMP Trap.
  4. Нажмите правой кнопкой мыши на службе ServicesSNMP Service, в контекстном меню выберите Properties и задайте следующие параметры:
    • На закладке Log On установите флажок Local System account.
    • На закладке Agent заполните поля Contact (например, укажите User-win10) и Location (например, укажите ekaterinburg).
    • На закладке Traps:
      • В поле Community Name введите community public и нажмите Add to list.
      • В поле Trap destination нажмите Add, укажите IP-адрес или хост сервера KUMA, на котором развернут коллектор, ожидающий SNMP-события, и нажмите Add.
    • На закладке Security:
      • Установите флажок Send authentication trap.
      • В таблице Accepted community names нажмите Add, а затем введите Community Name public, указав в качестве Community rights значение READ WRITE.
      • Установите флажок Accept SNMP packets from any hosts.
  5. Нажмите Apply и подтвердите выбор.
  6. Нажмите правой кнопкой мыши на службу ServicesSNMP Service и выберите Restart.

Чтобы настроить и запустить службы SNMP и SNMP Trap в Windows XP:

  1. Откройте раздел StartControl PanelAdd or Remove ProgramsAdd/Remove Windows ComponentsManagement and Monitoring ToolsDetails.
  2. Выберите Simple Network Management Protocol и WMI SNMP Provider, затем нажмите OKNext.
  3. Дождитесь завершения установки и перезагрузите компьютер.
  4. Убедитесь, что служба SNMP запущена. Если какие-то из перечисленных ниже служб не запущены, включите их, выбрав для параметра Startup type значение Automatic:
    • ServicesSNMP Service.
    • ServicesSNMP Trap.
  5. Нажмите правой кнопкой мыши на службе ServicesSNMP Service, в контекстном меню выберите Properties и задайте следующие параметры:
    • На закладке Log On установите флажок Local System account.
    • На закладке Agent заполните поля Contact (например, укажите User-win10) и Location (например, укажите ekaterinburg).
    • На закладке Traps:
      • В поле Community Name введите community public и нажмите Add to list.
      • В поле Trap destination нажмите Add, укажите IP-адрес или хост сервера KUMA, на котором развернут коллектор, ожидающий SNMP-события, и нажмите Add.
    • На закладке Security:
      • Установите флажок Send authentication trap.
      • В таблице Accepted community names нажмите Add, а затем введите Community Name public, указав в качестве Community rights значение READ WRITE.
      • Установите флажок Accept SNMP packets from any hosts.
  6. Нажмите Apply и подтвердите выбор.
  7. Нажмите правой кнопкой мыши на службу ServicesSNMP Service и выберите Restart.

Изменение порта службы snmptrap

При необходимости вы можете изменить порт службы snmptrap.

Чтобы изменить порт службы snmptrap:

  1. Откройте папку C:\Windows\System32\drivers\etc.
  2. Откройте файл services с помощью программы Notepad от имени администратора.
  3. В разделе файла service name для службы snmptrap укажите порт коннектора snmp-trap, добавленный в коллектор KUMA.
  4. Сохраните файл.
  5. Откройте панель управления и выберите Administrative ToolsServices.
  6. Нажмите на службу SNMP Service правой кнопкой мыши и выберите Restart.
В начало
[Topic 239864]

Настройка службы Event to Trap Translator

Чтобы настроить службу Event to Trap Translator, с помощью которой события Windows переводятся в SNMP-trap сообщения:

  1. Наберите в командной строке evntwin и нажмите Enter.
  2. В переключателе Configuration type выберите Custom, а затем нажмите на кнопку Edit.
  3. В блоке параметров Event sources найдите и добавьте с помощью кнопки Add события, которые вы хотите отправить в коллектор KUMA с установленным коннектором SNMP Trap.
  4. Нажмите на кнопку Settings, в открывшемся окне установите флажок Don't apply throttle и нажмите OK.
  5. Нажмите Apply и подтвердите выбор.
В начало
[Topic 239865]

Предустановленные коннекторы

В поставку KUMA включены перечисленные в таблице ниже коннекторы.

Предустановленные коннекторы

Название коннектора

Комментарий

[OOTB] Continent SQL

Собирает события из СУБД АПКШ Континент.

Для использования необходимо настроить параметры соответствующего типа секрета.

[OOTB] InfoWatch Trafic Monitor SQL

Собирает события из СУБД системы InfoWatch Trafic Monitor.

Для использования необходимо настроить параметры соответствующего типа секрета.

[OOTB] KSC MSSQL

Собирает события из СУБД MS SQL системы Kaspersky Security Center.

Для использования необходимо настроить параметры соответствующего типа секрета.

[OOTB] KSC MySQL

Собирает события из СУБД MySQL системы Kaspersky Security Center.

Для использования необходимо настроить параметры соответствующего типа секрета.

[OOTB] KSC PostgreSQL

Собирает события из СУБД PostgreSQL системы Kaspersky Security Center версии 15.0.

Для использования необходимо настроить параметры соответствующего типа секрета.

[OOTB] Oracle Audit Trail SQL

Собирает события аудита из СУБД Oracle.

Для использования необходимо настроить параметры соответствующего типа секрета.

[OOTB] SecretNet SQL

Собирает события из СУБД системы SecretNet SQL.

Для использования необходимо настроить параметры соответствующего типа секрета.

В начало
[Topic 250627]

Секреты

Секреты используются для безопасного хранения конфиденциальной информации, такой как логины и пароли, которые должны использоваться KUMA для взаимодействия с внешними службами. Если секрет хранит данные учётной записи, такие как логин и пароль, то при подключении коллектора к источнику событий учётная запись, заданная в секрете, может быть заблокирована согласно настроенной в системе-источнике событий парольной политике.

Секреты можно использовать в следующих сервисах и функциях KUMA:

Доступные параметры:

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Тип (обязательно) – тип секрета.

    При выборе в раскрывающемся списке типа секрета отображаются параметры для настройки выбранного типа секрета. Эти параметры описаны ниже.

  • Описание – вы можете добавить до 4000 символов в кодировке Unicode.

В зависимости от типа секрета доступны различные поля для заполнения. Вы можете выбрать один из следующих типов секрета:

  • credentials – тип секрета используется для хранения данных учетных записей, с помощью которых осуществляется подключение к внешним службам, например к SMTP-серверам. При выборе этого типа секрета требуется заполнить поля Пользователь и Пароль. При использовании в ресурсе Секрет типа credentials для подключения коллектора к источнику событий, например СУБД, учётная запись, заданная в секрете, может быть заблокирована согласно настроенной в системе-источнике событий парольной политике.
  • token – тип секрета используется для хранения токенов для API-запросов. Токены используются, например, при подключении к IRP-системам. При выборе этого типа секрета требуется заполнить поле Токен.
  • ktl – тип секрета используется для хранения данных учетной записи Kaspersky Threat Intelligence Portal. При выборе этого типа секрета требуется заполнить следующие поля:
    • Пользователь и Пароль (обязательные поля) – имя пользователя и пароль вашей учетной записи Kaspersky Threat Intelligence Portal.
    • Файл обмена личной информацией - PKCS (.PFX) (обязательно) – позволяет загрузить ключ сертификата Kaspersky Threat Intelligence Portal.
    • Пароль PFX-файла (обязательно) – пароль для доступа к ключу сертификата Kaspersky Threat Intelligence Portal.
  • urls – тип секрета используется для хранения URL для подключения к базам SQL и прокси-серверам. В поле Описание требуется описать, для какого именно подключения вы используете секрет urls.

    Вы можете указать URL в следующих форматах: hostname:port, IPv4:port, IPv6:port, :port.

  • pfx – тип секрета используется для импорта PFX-файла с сертификатами. При выборе этого типа секрета требуется заполнить следующие поля:
    • Файл обмена личной информацией - PKCS (.PFX) (обязательно) – используется для загрузки PFX-файла. Файл должен содержать сертификат и ключ. В PFX-файлы можно включать сертификаты, подписанными центрами сертификации, для проверки сертификатов сервера.
    • Пароль PFX-файла (обязательно) – используется для ввода пароля для доступа к ключу сертификата.
  • kata/edr – тип секрета используется для хранения файла сертификата и закрытого ключа, требуемых при подключении к серверу Kaspersky Endpoint Detection and Response. При выборе этого типа секрета вам требуется загрузить следующие файлы:
    • Файл сертификата – сертификат сервера KUMA.

      Файл должен иметь формат PEM. Вы можете загрузить только один файл сертификата.

    • Закрытый ключ шифрования соединения – RSA-ключ сервера KUMA.

      Ключ должен быть без пароля и с заголовком PRIVATE KEY. Вы можете загрузить только один файл ключа.

      Вы можете сгенерировать файлы сертификата и ключа по кнопке download.

  • snmpV1 – тип секрета используется для хранения значения Уровень доступа (например, public или private), которое требуется при взаимодействии по протоколу Simple Network Management Protocol.
  • snmpV3 – тип секрета используется для хранения данных, требуемых при взаимодействии по протоколу Simple Network Management Protocol. При выборе этого типа секрета требуется заполнить поля:
    • Пользователь – имя пользователя, указывается без домена.
    • Уровень безопасности – уровень безопасности пользователя:
      • NoAuthNoPriv – сообщения отправляются без аутентификации и без обеспечения конфиденциальности.
      • AuthNoPriv – сообщения посылаются с аутентификацией, но без обеспечения конфиденциальности.
      • AuthPriv – сообщения посылаются с аутентификацией и обеспечением конфиденциальности.

      В зависимости от выбранного уровня могут отобразиться дополнительные параметры.

    • Пароль – пароль аутентификации пользователя SNMP. Это поле становится доступно при выборе уровней безопасности AuthNoPriv и AuthPriv.
    • Протокол аутентификации – доступны следующие протоколы: MD5, SHA, SHA224, SHA256, SHA384, SHA512. Это поле становится доступно при выборе уровней безопасности AuthNoPriv и AuthPriv.
    • Протокол шифрования – протокол, используемый для шифрования сообщений. Доступны следующие протоколы: DES, AES. Это поле становится доступно при выборе уровня безопасности AuthPriv.
    • Пароль обеспечения безопасности – пароль шифрования, который был указан при создании пользователя SNMP. Это поле становится доступно при выборе уровня безопасности AuthPriv.
  • certificate – тип секрета используется для хранения файлов сертификатов. Файлы загружаются в ресурс с помощью кнопки Загрузить файл сертификата. Поддерживаются открытые ключи сертификата X.509 в Base64.

Предустановленные секреты

В поставку KUMA включены перечисленные в таблице ниже секреты.

Предустановленные секреты

Название секрета

Описание

[OOTB] Continent SQL connection

Хранит конфиденциальные данные и параметры подключения к БД АПКШ Континент. Для использования необходимо указать логин и пароль БД.

[OOTB] KSC MSSQL connection

Хранит конфиденциальные данные и параметры подключения к БД MS SQL Kaspersky Security Center (KSC). Для использования необходимо указать логин и пароль БД.

[OOTB] KSC MySQL Connection

Хранит конфиденциальные данные и параметры подключения к БД MySQL Kaspersky Security Center (KSC). Для использования необходимо указать логин и пароль БД.

[OOTB] Oracle Audit Trail SQL Connection

Хранит конфиденциальные данные и параметры подключения к БД Oracle. Для использования необходимо указать логин и пароль БД.

[OOTB] SecretNet SQL connection

Хранит конфиденциальные данные и параметры подключения к БД MS SQL системы SecretNet. Для использования необходимо указать логин и пароль БД.

В начало
[Topic 217990]

Правила сегментации

В KUMA можно настроить правила сегментации алертов, то есть правила разделения однотипных корреляционных событий по разным алертам.

По умолчанию, если в корреляторе какое-то правило корреляции сработает несколько раз, все созданные в результате этого корреляционные события будут присоединены к одному алерту. Правила сегментации алертов дают возможность определить условия, при которых на основе таких однотипных корреляционных событий будут создаваться разные алерты. Это может пригодиться, если вы хотите разделить поток корреляционных событий, например, по количеству событий или объединить некоторых из событий, отличающиеся чем-то важным от других, в отдельный алерт.

Сегментация алертов настраивается в два этапа:

  1. Создаются правила сегментации, в которых определяются условия, по которым будет разделяться поток корреляционных событий.
  2. К правилам сегментации привязываются правила корреляции, в которых должны срабатывать правила сегментации.

В этом разделе

Параметры правил сегментации

Привязка правил сегментации к правилам корреляции
В начало
[Topic 222426]

Параметры правил сегментации

Правила сегментации создаются в разделе РесурсыПравила сегментации веб-интерфейса KUMA.

Доступные параметры:

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Тип (обязательно) – тип правила сегментации. Доступные значения:
    • По фильтру – алерты создаются, если корреляционные события соответствуют условиям фильтра, заданным в блоке параметров Фильтр.

      С помощью кнопки Добавить условие можно добавить строку с полями для определения условия. С помощью кнопки Добавить группу можно добавить группу фильтров. Можно переключать групповые операторы между И, ИЛИ, НЕ. В группы фильтров можно добавить другие группы условий и отдельные условия. Условия и группы можно менять местами, перетягивая их за значок DragIcon, а также удалять с помощью значка cross.

      • Левый операнд и Правый операнд – используются для указания значений, которые будет обрабатывать оператор.

        В левом операнде указываются названия полей событий, которые обрабатывает фильтр.

        В правом операнде можно выбрать тип значения – константа или список, – а также указать само значение.

      • Доступные операторы
        • = – левый операнд равен правому операнду.
        • < – левый операнд меньше правого операнда.
        • <= – левый операнд меньше или равен правому операнду.
        • > – левый операнд больше правого операнда.
        • >= – левый операнд больше или равен правому операнду.
        • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
        • contains – левый операнд содержит значения правого операнда.
        • startsWith – левый операнд начинается с одного из значений правого операнда.
        • endsWith – левый операнд заканчивается одним из значений правого операнда.
        • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
        • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    • По группирующим полям – алерт создается, если корреляционное событие содержит поля событий, указанные в блоке параметров Группирующие поля правила корреляции.

      Поля добавляются с помощью кнопки Добавить поле. Добавленные поля можно удалить, нажав на значок креста или на кнопку Сбросить.

      Пример использования группирующих полей

      Правило, детектирующее сканирование сети, создаст только один алерт, даже если в сети есть несколько устройств, сканирующих сеть. Если создать правило сегментации обнаружений по группирующему полю событий SourceAddress, а затем привязать это правило сегментации к правилу корреляции, при срабатывании правила будут созданы алерты для каждого адреса, с которого происходит сканирование.

      В этом примере, если правило корреляции называется "Network. Possible port scan", а в ресурсе правила сегментации в качестве шаблона именования обнаружений указано "from {{.SourceAddress}}", будут созданы алерты такого вида:

      • Network. Possible port scan (from 10.20.20.20 <Дата создания алерта>)
      • Network. Possible port scan (from 10.10.10.10 <Дата создания алерта>)
    • По количеству событий – алерт создается, если количество корреляционных событий в предыдущем алерте превысило значение, указанное в поле Количество корреляционных событий.
  • Шаблон именование алертов (обязательно) – шаблон, по которому будут получать название алерты, создаваемые по этому правилу сегментации. Значение по умолчанию: {{.Timestamp}}.

    В поле шаблона можно указывать текст, а также поля события в формате {{.<название поля события>}}. При формировании названия алерта вместо названия поля события будет подставляться содержащееся в нем значение.

    Название алерта, созданного с помощью правил сегментации, имеет следующий формат: "<Название правила корреляции, создавшего алерт> (<текст из поля шаблона именования алертов> <дата создания алерта>)".

  • Описание – описание ресурса: до 4000 символов в кодировке Unicode.

В начало
[Topic 243124]

Привязка правил сегментации к правилам корреляции

Связи правила сегментации и правил корреляции создаются отдельно для каждого тенанта. Они отображаются в разделе ПараметрыАлертыСегментация веб-интерфейса KUMA в таблице со следующими столбцами:

  • Тенант – название тенанта, которому принадлежат правила сегментации.
  • Обновлено – дата и время последнего обновления правил сегментации.
  • Выключено – в этом столбце отображается метка, если правила сегментации выключены.

Чтобы привязать правило сегментации алерта к правилам корреляции:

  1. Откройте раздел ПараметрыАлертыСегментация веб-интерфейса KUMA.
  2. Выберите тенант, для которого вы хотите создать правило сегментации:
    • Если у тенанта уже есть правила сегментации, выберите его в таблице.
    • Если у тенанта нет правил сегментации, нажмите Добавить параметры для нового тенанта и в раскрывающемся списке Тенант выберите нужный тенант.

    Отображается таблица с созданными связями правил сегментации и корреляции.

  3. В блоке параметров Связи правил сегментации нажмите Добавить и укажите параметры правила сегментации:
    • Название (обязательно) – в этом поле укажите название правила сегментации. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенанты и правила корреляции (обязательно) – в этом раскрывающемся списке выберите тенант и принадлежащее ему правило корреляции, события которого вы хотите выделить в отдельный алерт. Можно выбрать более одного правила корреляции.
    • Правило сегментации (обязательно) – в этом блоке параметров требуется выбрать ранее созданное правило сегментации, в котором определены условия сегментации.
    • Выключено – установите этот флажок при необходимости выключить связь правила сегментации.
  4. Нажмите Сохранить.

Правило сегментации и правила корреляции связаны. Корреляционные события, создаваемые указанными правилами корреляции, будут объединены в отдельный алерт с названием, определенном в правиле сегментации.

Чтобы выключить связи правил сегментации и правил корреляции для тенанта:

  1. Откройте раздел ПараметрыАлерты веб-интерфейса KUMA и выберите тенант, правила сегментации которого вы хотите выключить.
  2. Установите флажок Выключено.
  3. Нажмите Сохранить.

Связи правил сегментации и правил корреляции для выбранного тенанта выключены.

В начало
[Topic 243127]