Kaspersky Unified Monitoring and Analysis Platform

Содержание

Руководство пользователя

В этой главе представлены сведения о работе с SIEM-системой KUMA.

В этом разделе справки

Ресурсы KUMA

Пример расследования инцидента с помощью KUMA

Аналитика

В начало
[Topic 249556]

Ресурсы KUMA

Ресурсы – это компоненты KUMA, которые содержат параметры для реализации различных функций: например, установления связи с заданным веб-адресом или преобразования данных по определенным правилам. Из этих компонентов, как из частей конструктора, собираются наборы ресурсов для сервисов, на основе которых в свою очередь создаются сервисы KUMA.

Ресурсы содержатся в разделе веб-интерфейса KUMA Ресурсы в блоке Ресурсы. Доступные типы ресурсов:

  • Правила корреляции – в ресурсах этого типа содержатся правила определения в событиях закономерностей, указывающих на угрозы. Если условия, заданные в этих ресурсах, выполняются, создается корреляционное событие.
  • Нормализаторы – в ресурсах этого типа содержатся правила для приведения поступающих событий к формату, принятому в KUMA. После обработки в нормализаторе "сырое" событие становится нормализованным и может обрабатываться другими ресурсами и сервисами KUMA.
  • Коннекторы – в ресурсах этого типа содержатся параметры для установления сетевых подключений.
  • Правила агрегации – в ресурсах этого типа содержатся правила для объединения нескольких однотипных базовых событий в одно агрегационное событие.
  • Правила обогащения – в ресурсах этого типа содержатся правила для дополнения событий информацией из сторонних источников.
  • Точки назначения – в ресурсах этого типа содержатся параметры для пересылки событий в пункт дальнейшей обработки или хранения.
  • Фильтры – в ресурсах этого типа содержатся условия для отсева или выделения отдельных событий из потока событий.
  • Правила реагирования – ресурсы этого типа используются в корреляторах для запуска, например, скриптов или задач Kaspersky Security Center при выполнении определенных условий.
  • Шаблоны уведомлений – ресурсы этого типа используются при рассылке уведомлений о новых алертах.
  • Активные листы – ресурсы этого типа используются корреляторами для динамической работы с данными при анализе событий по правилам корреляции.
  • Словари – ресурсы этого типа используются для хранения ключей и их значений, которые могут потребоваться другим ресурсам и сервисам KUMA.
  • Прокси-серверы – в ресурсах этого типа содержатся параметры использования прокси-серверов.
  • Секреты – ресурсы этого типа используются для безопасного хранения конфиденциальной информации (например, учетных данных), которые должны использоваться KUMA для взаимодействия с внешними службами.

При нажатии на тип ресурса открывается окно, в котором отображается таблица с имеющимися ресурсами этого типа. Таблица содержит следующие столбцы:

  • Название – имя ресурса. Может использоваться для поиска и сортировки ресурсов.
  • Последнее обновление – дата и время последнего обновления ресурса. Может использоваться для сортировки ресурсов.
  • Создал – имя пользователя, создавшего ресурс.
  • Описание – описание ресурса.

Максимальный размер таблицы не ограничен. Если вы хотите выбрать все ресурсы, прокрутите таблицу до конца и установите флажок Выбрать все, таким образом все доступные в таблице ресурсы будут выбраны.

Ресурсы можно расположить по папкам. В левой части окна отображается структура папок: корневые папки соответствуют тенантам и содержат перечень всех ресурсов тенанта. Во всех остальных папках, вложенных в корневую, отображаются ресурсы отдельной папки. Когда папка выбрана, содержащиеся в ней ресурсы отображаются в таблице в правой части окна.

Ресурсы можно создавать, редактировать, копировать, перемещать между папками и удалять. Ресурсы можно также экспортировать и импортировать.

KUMA поставляется с набором предустановленных ресурсов, их можно узнать по названию [OOTB]<название_ресурса>. OOTB-ресурсы защищены от внесения изменений.

Если вы хотите адаптировать предустановленный OOTB-ресурс к инфраструктуре своей организации:

  1. В разделе Ресурсы-<тип ресурсов> и выберите OOTB-ресурс, который вы хотите изменить.
  2. В верхней части веб-интерфейса KUMA нажмите Дублировать, а затем нажмите Сохранить.
  3. В веб-интерфейсе появится новый ресурс с названием [OOTB]<название_ресурса> - копия.
  4. Внесите необходимые изменения в созданную копию предустановленного ресурса и сохраните изменения.

Адаптированный ресурс доступен для использования.

В этом разделе справки

Операции с ресурсами

Точки назначения

Работа с событиями

Нормализаторы

Правила агрегации

Правила обогащения

Правила корреляции

Фильтры

Активные листы

Словари

Правила реагирования

Шаблоны уведомлений

Коннекторы

Секреты

Правила сегментации

В начало
[Topic 217687]

Операции с ресурсами

Вы можете управлять ресурсами KUMA: создавать, перемещать, копировать, редактировать и удалять ресурсы, а также импортировать и экспортировать их. Перечисленные операции доступны для всех ресурсов, вне зависимости от типа ресурса.

Ресурсы KUMA располагаются в папках. Вы можете добавлять, переименовывать, перемещать и удалять папки ресурсов.

В этом разделе

Создание, переименование, перемещение и удаление папок с ресурсами

Создание, дублирование, перемещение, редактирование и удаление ресурсов

Обновление ресурсов

Экспорт ресурсов

Импорт ресурсов

В начало
[Topic 217971]

Создание, переименование, перемещение и удаление папок с ресурсами

Ресурсы можно расположить по папкам. В левой части окна отображается структура папок: корневые папки соответствуют тенантам и содержат перечень всех ресурсов тенанта. Во всех остальных папках, вложенных в корневую, отображаются ресурсы отдельной папки. Когда папка выбрана, содержащиеся в ней ресурсы отображаются в таблице в правой части окна.

Папки можно создавать, переименовывать, перемещать и удалять.

Чтобы создать папку:

  1. Выберите в дереве папку, в которой требуется новая папка.
  2. Нажмите на кнопку Добавить папку.

Папка будет создана.

Чтобы переименовать папку:

  1. Найдите нужную папку в структуре папок.
  2. Наведите курсор на название папки.

    Рядом с названием папки появится значок More-DropDown.

  3. В раскрывающемся списке More-DropDown выберите Переименовать.

    Название папки станет доступным для редактирования.

  4. Введите новое название папки и нажмите ENTER.

    Название папки не может быть пустым.

Папка будет переименована.

Чтобы переместить папку,

Нажмите название папки и перетащите ее в требуемое место в структуре папок.

Папки невозможно переместить из одного тенанта в другой

Чтобы удалить папку:

  1. Найдите нужную папку в структуре папок.
  2. Наведите курсор на название папки.

    Рядом с названием папки появится значок More-DropDown.

  3. В раскрывающемся списке More-DropDown выберите Удалить.

    Появится окно подтверждения.

  4. Нажмите ОК.

Папка будет удалена.

Программа не удаляет папки, которые содержат файлы или вложенные папки.

В начало
[Topic 218051]

Создание, дублирование, перемещение, редактирование и удаление ресурсов

Вы можете создавать, перемещать, копировать, редактировать и удалять ресурсы.

Чтобы создать ресурс:

  1. В разделе Ресурсы<тип ресурса> выберите или создайте папку, в которую требуется добавить новый ресурс.

    Корневые папки соответствуют тенантам. Чтобы ресурс был доступен определенному тенанту, его следует создать в папке этого тенанта.

  2. Нажмите на кнопку Добавить <тип ресурса>.

    Откроется окно для настройки параметров выбранного типа ресурсов. Доступные параметры зависят от типа ресурса.

  3. Введите уникальное имя ресурса в поле Название.
  4. Укажите обязательные параметры (они отмечены красной звездочкой).
  5. При желании укажите дополнительные параметры (это необязательное действие).
  6. Нажмите Сохранить.

Ресурс будет создан и доступен для использования в сервисах и других ресурсах.

Чтобы переместить ресурс в новую папку:

  1. В разделе Ресурсы<тип ресурса> найдите требуемый ресурс в структуре папок.
  2. Установите флажки рядом с ресурсами, которые вы хотите переместить. Можно выбрать сразу несколько ресурсов.

    Рядом с выбранными ресурсами отобразится значок DragIcon.

  3. Перетащите ресурсы в нужную папку с помощью значка DragIcon.

Ресурсы будут перемещены в новые папки.

Вы можете перемещать ресурсы только в папки того тенанта, в рамках которого были созданы ресурсы. Перемещение ресурсов в папки другого тенанта недоступно.

Чтобы скопировать ресурс:

  1. В разделе Ресурсы<тип ресурса> найдите требуемый ресурс в структуре папок.
  2. Установите флажок рядом с ресурсом, которые вы хотите скопировать, и нажмите Дублировать.

    Отображается окно с параметрами ресурса, который вы выбрали для копирования. Доступные параметры зависят от типа ресурса.

    В поле Название отображается <название выбранного ресурса> - копия.

  3. Измените нужные параметры.
  4. Введите уникальное имя в поле Название.
  5. Нажмите Сохранить.

Копия ресурса будет создана.

Чтобы изменить ресурс:

  1. В разделе Ресурсы<тип ресурса> найдите требуемый ресурс в структуре папок.
  2. Выберите ресурс.

    Отображается окно с параметрами выбранного ресурса. Доступные параметры зависят от типа ресурса.

  3. Измените нужные параметры.
  4. Нажмите Сохранить.

Ресурс будет обновлен. Если этот ресурс используется в сервисе, перезапустите сервис, чтобы он задействовал новые параметры.

Чтобы удалить ресурс:

  1. В разделе Ресурсы<тип ресурса> найдите требуемый ресурс в структуре папок.
  2. Установите флажок рядом с ресурсом, которые вы хотите удалить, и нажмите Удалить.

    Откроется окно подтверждения.

  3. Нажмите ОК.

Ресурс будет удален.

В начало
[Topic 218050]

Обновление ресурсов

"Лаборатория Касперского" регулярно выпускает пакеты с ресурсами, доступные для импорта из репозитория. Вы можете указать адрес электронной почты в параметрах задачи Обновление репозитория и после первого выполнения задачи KUMA будет отправлять на указанный адрес уведомления о доступных для обновления пакетах. Вы можете выполнить обновление репозитория, проанализировать содержимое каждого обновления и принять решение об импорте и внедрении новых ресурсов в эксплуатируемую инфраструктуру. KUMA поддерживает обновление c серверов Лаборатории Касперского и из пользовательского источника, в том числе без прямого доступа к интернету с использованием механизма «зеркала обновления». При использовании в инфраструктуре других продуктов Лаборатории Касперского, можно подключить KUMA к уже существующим зеркалам обновления. Подсистема обновления расширяет возможности KUMA по реагированию на изменения ландшафта угроз и инфраструктуры, а возможность её использования без прямого доступа к интернету обеспечивает гарантии конфиденциальности данных, обрабатываемых системой.

Чтобы обновить ресурсы, вам необходимо выполнить следующие шаги:

  1. Обновить репозиторий, чтобы доставить в репозиторий пакеты с ресурсами. Обновление репозитория доступно в двух режимах:
    • Автоматическое обновление.
    • Обновление вручную.
  2. Импортировать пакеты с ресурсами из обновленного репозитория в тенант.

Чтобы сервис начал использовать обновленные ресурсы, после выполнения импорта убедитесь, что ресурсы привязаны. В случае необходимости привяжите ресурсы к коллекторам, корреляторам или агентам и обновите параметры.

Чтобы настроить автоматическое обновление:

  1. В разделе Параметры – Обновление репозитория настройте Интервал обновления в часах. Значение по умолчанию - 24 часа.
  2. Укажите Источник обновления. Доступны следующие варианты:
    • .

      Вы можете посмотреть список серверов в Базе знаний, статья 15998.

    • Пользовательский источник:
      • URL к папке общего доступа на HTTP-сервере.
      • Полный путь к локальной папке на хосте с установленным ядром KUMA.

        В случае использования локальной папки у системного пользователя kuma должен быть доступ для чтения к этой папке и её содержимому.

  3. Укажите Адреса электронной почты для рассылки уведомлений, нажав на кнопку Добавить. На указанные адреса электронной почты будет поступать рассылка уведомлений о том, что в репозитории появились новые пакеты или новая версия тех пакетов, которые вы когда-либо импортировали в тенант.

    Если вы указываете электронную почту пользователя KUMA, в профиле пользователя должен быть установлен флажок Получать уведомления по почте. Для почты, которая не принадлежит ни одному пользователю KUMA, письмо будет приходит без дополнительных настроек. Параметры подключения к SMTP-серверу должны быть указаны во всех случаях.

  4. Нажмите Сохранить. Задача обновления запустится автоматически в самое ближайшее время и дальше запуск задачи будет выполнен в соответствии с расписанием.

Чтобы запустить обновление репозитория вручную:

  1. Если вы хотите отключить автоматическое обновление, в разделе Параметры – Обновление репозитория установите флажок Отключить автоматическое обновление. По умолчанию флажок снят. Также вы можете запустить обновление репозитория вручную, не отключая автоматическое обновление. Запуск обновления вручную не влияет на график выполнения автоматического обновления.
  2. Укажите Источник обновления. Доступны следующие варианты:
  3. Укажите Адреса электронной почты для рассылки уведомлений, нажав на кнопку Добавить. На указанные адреса электронной почты будет поступать рассылка уведомлений о том, что в репозитории появились новые пакеты или новая версия тех пакетов, которые вы когда-либо импортировали в тенант.

    Если вы указываете электронную почту пользователя KUMA, в профиле пользователя должен быть установлен флажок Получать уведомления по почте. Для почты, которая не принадлежит ни одному пользователю KUMA, письмо будет приходит без дополнительных настроек. Параметры подключения к SMTP-серверу должны быть указаны во всех случаях.

  4. Нажмите Запустить обновление. Таким образом, вы одновременно сохраните настройки и вручную запустите выполнение задачи Обновление репозитория.
В начало
[Topic 242817]

Настройка пользовательского источника с использованием Kaspersky Update Utility

Вы можете обновлять ресурсы без доступа к интернету через пользовательский источник обновления с помощью утилиты Kaspersky Update Utility.

Настройка состоит из следующих шагов:

  1. Настройка пользовательского источника с помощью Kaspersky Update Utility:
    1. Установка и настройка Kaspersky Update Utility на одном из компьютеров локальной сети организации.
    2. Настройка копирования обновлений в папку общего доступа в параметрах Kaspersky Update Utility.
  2. Настройка обновления репозитория KUMA из пользовательского источника.

Настройка пользовательского источника с помощью Kaspersky Update Utility:

Вы можете загрузить дистрибутив Kaspersky Update Utility с веб-сайта Службы технической поддержки "Лаборатории Касперского".

  1. В Kaspersky Update Utility включите скачивание обновлений для KUMA версии 2.1:
    • В разделе Программы - Контроль периметра установите флажок рядом с KUMA 2.1, чтобы включить возможность обновления.
    • Если вы работаете с Kaspersky Update Utility через командную строку, в конфигурационном файле updater.ini в секции [ComponentSettings] добавьте следующую строку или укажите значение true для уже существующей строки:

      KasperskyUnifiedMonitoringAndAnalysisPlatform_2_1=true

  2. В разделе Загрузки укажите источник обновлений. По умолчанию в качестве источника используются сервера обновления "Лаборатории Касперского".
  3. В разделе Загрузки в группе параметров Папки для обновлений укажите папку общего доступа, в которую Kaspersky Update Utility будет загружать обновления. Доступны следующие варианты:
    • Укажите локальную папку на хосте, где установлена Kaspersky Update Utility. Разверните HTTP-сервер, который будет отдавать обновления, и опубликуйте на нем эту локальную папку. В KUMA в разделе Параметры - Обновление репозитория - Пользовательский источник укажите URL к локальной папке, опубликованной на HTTP-сервере.
    • Укажите локальную папку на хосте, где установлена Kaspersky Update Utility. Сделайте эту локальную папку доступной по сети. Примонтируйте доступную по сети локальную папку на хосте с KUMA. В KUMA в разделе Параметры - Обновление репозитория - Пользовательский источник укажите полный путь к этой локальной папке.

Подробную информацию о работе с Kaspersky Update Utility см. в Базе знаний "Лаборатории Касперского".

В начало
[Topic 245074]

Экспорт ресурсов

Если для пользователя скрыты общие ресурсы, он не может экспортировать ни общие ресурсы, ни ресурсы, в которых используются общие ресурсы.

Чтобы экспортировать ресурсы:

  1. В разделе Ресурсы нажмите Экспортировать ресурсы.

    Откроется окно Экспортировать ресурсы с деревом всех доступных ресурсов.

  2. В поле Пароль введите пароль, который необходимо использовать для защиты экспортируемых данных.
  3. В раскрывающемся списке Тенант выберите тенанта, ресурсы которого вы хотите экспортировать.
  4. Установите флажки рядом с ресурсами, которые вы хотите экспортировать.

    Если выбранные ресурсы связаны с другими ресурсами, эти ресурсы также будут экспортированы.

  5. Нажмите на кнопку Экспортировать.

Ресурсы в защищенном паролем файле сохранятся на вашем компьютере в зависимости от настроек вашего браузера. Ресурсы секретов экспортируются пустыми.

В начало
[Topic 217870]

Импорт ресурсов

Чтобы импортировать ресурсы:

  1. В разделе Ресурсы нажмите Импорт ресурсов.

    Откроется окно Импорт ресурсов.

  2. В раскрывающемся списке Тенант выберите тенанта, которому будут принадлежать импортируемые ресурсы.
  3. В раскрывающемся списке Источник импорта выберите один из следующих вариантов:
    • Файл

      При выборе этого варианта необходимо указать пароль и нажать на кнопку Импортировать.

    • Репозиторий

      При выборе этого варианта отображается список доступных для импорта пакетов. Мы рекомендуем начать импорт с пакета "OOTB resources for KUMA 2.1" и дальше импортировать пакеты поочередно. Если при импорте пакетов получена ошибка "Ошибка базы данных", повторно импортируйте пакет, название которого указано в ошибке, выбрав для импорта только указанный пакет. Также вы можете настроить автоматическое обновление.

      Вы можете выбрать один или несколько пакетов для импорта и нажать на кнопку Импортировать.

      Импортированные ресурсы можно только удалить. Если вы хотите переименовать, отредактировать или переместить импортированный ресурс, вам следует сделать дубликат ресурса с помощью кнопки Дублировать и с дубликатом выполнить желаемые действия. При импорте следующих версий пакета дубликат не будет обновлен, поскольку он уже представляет собой отдельный объект.

  4. Разрешите конфликты между импортированными из файла и существующими ресурсами, если они возникли. Подробнее о конфликтах ресурсов см. ниже.
    1. Если имя, тип и guid импортированных ресурсов полностью совпадает с именем, типом и guid существующего ресурса, открывается окно Конфликты с таблицей, в которой отображаются тип и имя конфликтующих ресурсов. Разрешите отображаемые конфликты:
      • Если вы хотите заменить существующий ресурс новым, нажмите Заменить.

        Нажмите Заменить все, чтобы заменить все конфликтующие ресурсы.

      • Если вы хотите оставить существующий ресурс, нажмите Пропустить.

        Нажмите Пропустить все, чтобы сохранить все существующие ресурсы.

    2. Нажмите на кнопку Устранить.

    Ресурсы импортируются в KUMA. Ресурсы секретов импортируются пустыми.

О разрешении конфликтов

Когда ресурсы импортируются в KUMA из файла, программа сравнивает их с существующими ресурсами, сверяя следующие параметры:

  • Имя и тип. Если имя и тип импортируемого ресурса совпадают с параметрами существующего ресурса, имя импортированного ресурса автоматически изменяется.
  • Идентификатор. Если идентификаторы двух ресурсов совпадают, возникает конфликт, который должен разрешить пользователь. Такая ситуация может возникнуть, когда вы импортируете ресурсы на тот же сервер KUMA, с которого они были экспортированы.

При разрешении конфликта вы можете либо заменить существующий ресурс импортированным, либо оставить существующий ресурс.

Некоторые ресурсы связаны между собой: например, в некоторых типах коннекторов обязательно нужно указывать секрет коннектора. Секреты также импортируются, если они привязаны к коннектору. Такие связанные ресурсы экспортируются и импортируются вместе.

Особенности импорта:

  1. Ресурсы импортируются в выбранный тенант.
  2. Начиная с версии 2.1.3 если связанный ресурс находился в Общем тенанте, при импорте он снова будет в Общем тенанте.
  3. Начиная с версии 2.1.3 в окне Конфликты в столбце Родительский объект всегда отображается самый верхний родительский ресурс из выбранных при импорте.
  4. Начиная с версии 2.1.3 если во время импорта возникает конфликт, и вы выбираете замену существующего ресурса новым, все связанные с ним ресурсы также будут автоматически заменены импортированными ресурсами.

Известные ошибки в версии 2.1.3:

  1. Привязанный ресурс попадает в тенант, указанный при импорте, а не в Общий тенант, как указано в окне Конфликты, при следующих условиях:
    1. привязанный ресурс изначально находится в Общем тенанте;
    2. в окне Конфликты вы выбираете Пропустить для всех родительских объектов привязанного ресурса из Общего тенанта;
    3. привязанный ресурс из Общего тенанта оставляете для замены.
  2. После выполнения импорта в фильтре у категорий не указан тенант при следующих условиях:
    1. фильтр содержит привязанные категории активов из разных тенантов;
    2. имена категорий активов одинаковы;
    3. вы импортируете этот фильтр с привязанными категориями активов на новый сервер.
  3. В Тенант 1 дублируется имя категории активов при следующих условиях:
    1. в Тенант 1 у вас есть фильтр с привязанными категориями активов из Тенант 1 и Общего тенанта;
    2. имена привязанных категорий активов одинаковы;
    3. вы импортируете такой фильтр из Тенант 1 в Общий тенант.
  4. Невозможно импортировать конфликтующие ресурсы в один тенант.

    Ошибка "Невозможно импортировать конфликтующие ресурсы в один тенант" означает, что в импортируемом пакете есть конфликтующие ресурсы из разных тенантов и их нельзя импортировать в Общий тенант.

    Решение: Выберите для импорта пакета другой тенант, не Общий. Тогда при импорте ресурсы, изначально расположенные в Общем тенанте, будут импортированы в Общий тенант, а ресурсы из другого тенанта — в выбранный при импорте тенант.

  5. Только главный администратор может импортировать категории в Общий тенант.

    Ошибка "Только главный администратор может импортировать категории в Общий тенант" означает, что в импортируемом пакете есть ресурсы с привязанными общими категориями активов. Категории или ресурсы с привязанными общими категориями активов можно увидеть в журнале Ядра KUMA. Путь к журналу Ядра:

    /opt/kaspersky/kuma/core/log/core

    Решение. Выберите один из следующих вариантов:

    • Уберите из импорта ресурсы, к которым привязаны общие категории: снимите флажок рядом с соответствующими ресурсами.
    • Выполните импорт под учетной записью пользователя с правами Главного администратора.
  6. Только главный администратор может импортировать ресурсы в Общий тенант.

    Ошибка "Только главный администратор может импортировать ресурсы в Общий тенант" означает, что в импортируемом пакете есть ресурсы с привязанными общими ресурсами. Ресурсы с привязанными общими ресурсами можно увидеть в журнале Ядра KUMA. Путь к журналу Ядра:

    /opt/kaspersky/kuma/core/log/core

    Решение. Выберите один из следующих вариантов:

    • Уберите из импорта ресурсы, к которым привязаны ресурсы из Общего тенанта, и сами общие ресурсы: снимите флажок рядом с соответствующими ресурсами.
    • Выполните импорт под учетной записью пользователя с правами Главного администратора.
В начало
[Topic 242787]

Точки назначения

Точки назначения задают сетевые параметры для передачи нормализованных событий. Точки назначения используются в коллекторах и корреляторах для описания того, куда передавать обработанные события. В основном, в роли точек назначения выступают коррелятор и хранилище.

Параметры точек назначения указываются на двух закладках: Основные параметры и Дополнительные параметры. Набор доступных параметров зависит от выбранного типа точки назначения:

  • nats-jetstream – используется для коммуникации через NATS.
  • tcp – используется для связи по протоколу TCP.
  • http – используется для связи по протоколу HTTP.
  • diode – используется для передачи событий с помощью диода данных.
  • kafka – используется для коммуникаций с помощью kafka.
  • file – используется для записи в файл.
  • storage – используется для передачи данных в хранилище.
  • correlator – используется для передачи данных в коррелятор.

В этом разделе

Тип nats

Тип tcp

Тип http

Тип diode

Тип kafka

Тип file

Тип storage

Тип correlator

Предустановленные точки назначения

В начало
[Topic 217842]

Тип nats

Тип nats-jetstream используется для коммуникации через NATS.

Закладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Выключено

Используется, если события не нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, nats-jetstream.

URL

Обязательный параметр.

URL, с которым необходимо установить связь.

Топик

Обязательный параметр.

Тема сообщений NATS. Должно содержать символы в кодировке Unicode.

Разделитель

Используется для указания символа, определяющего границу между событиями. По умолчанию используется \n.

Авторизация

Тип авторизации при подключении к указанному URL Доступны следующие значения:

  • выключена – значение по умолчанию.
  • обычная – при выборе этого варианта требуется указать секрет, содержащий данные учетной записи пользователя для авторизации при подключении к коннектору.

    Добавить секрет

    1. Если вы создали секрет ранее, выберите его в раскрывающемся списке Секрет.

      Если ранее не было добавлено ни одного секрета, в раскрывающемся списке отобразится Нет данных.

    2. Если вы хотите добавить новый секрет, справа от списка Секрет нажмите на кнопку AD_plus.

      Откроется окно Секрет.

    3. В поле Название введите название, под которым секрет будет отображаться в списке доступных.
    4. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору.
    5. Если требуется, в поле Описание добавьте любую дополнительную информацию о секрете.
    6. Нажмите на кнопку Сохранить.

    Секрет будет добавлен и отобразится в списке Секрет.

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры

Параметр

Описание

Сжатие

Можно использовать сжатие Snappy. По умолчанию сжатие Выключено.

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Время ожидания

Время ожидания (в секундах) ответа другого сервиса или компонента.

Значение по умолчанию: 30.

Размер дискового буфера

Размер дискового буфера в байтах.

Значение по умолчанию: 10 ГБ.

Идентификатор кластера

Идентификатор кластера NATS.

Режим TLS

Использование шифрования TLS. Доступные значения:

  • Выключено: значение по умолчанию, не использовать шифрование TLS.
  • Включено: использовать шифрование, но без верификации сертификата.
  • С верификацией: использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
  • Нестандартный CA: использовать шифрование с верификацией сертификата, подписанного центром сертификации. Секрет с сертификатом выбирается в раскрывающемся списке Нестандартный CA, который отображается при выборе этого пункта.

    Создание сертификата, подписанного центром сертификации

    Для использования этого режима TLS необходимо выполнить следующие действия на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL):

    1. Создать ключ, который будет использоваться центром сертификации.

      Пример команды:

      openssl genrsa -out ca.key 2048

    2. Создать сертификат для только что созданного ключа.

      Пример команды:

      openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt

    3. Создать приватный ключ и запрос на его подписание в центре сертификации.

      Пример команды:

      openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr

    4. Создать сертификат, подписанный центром сертификации. Необходимо включить в subjectAltName доменные имена или IP-адреса сервера, для которого создается сертификат.

      Пример команды:

      openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

    5. Полученный сертификат server.crt следует загрузить в веб-интерфейсе KUMA в секрет типа certificate, который затем следует выбрать в раскрывающемся списке Нестандартный CA.

    При использовании TLS невозможно указать IP-адрес в качестве URL.

Разделитель

В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется \n.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: .

Рабочие процессы

Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Отладка

Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Дисковый буфер

Раскрывающийся список, с помощью которого можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен.

Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера.

Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.

Фильтр

В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 232952]

Тип tcp

Тип tcp используется для связи по протоколу TCP.

Закладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Выключено

Используется, если события не нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, tcp.

URL

Обязательный параметр.

URL, с которым необходимо установить связь. Доступные форматы: хост:порт, IPv4:порт, :порт.

Также поддерживаются адреса IPv6. При их использовании необходимо также указывать интерфейс в формате [адрес%интерфейс]:порт.

Например: [fe80::5054:ff:fe4d:ba0c%eth0]:4222).

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры

Параметр

Описание

Сжатие

Можно использовать сжатие Snappy. По умолчанию сжатие Выключено.

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Время ожидания

Время ожидания ответа (в секундах) другого сервиса или компонента.

Значение по умолчанию: 30.

Размер дискового буфера

Размер дискового буфера в байтах.

Значение по умолчанию: 10 ГБ.

Режим TLS

Использование шифрования TLS с использованием сертификатов в формате pem x509. Доступные значения:

  • Выключено: не использовать шифрование TLS. Значение по умолчанию.
  • Включено: использовать шифрование, но без верификации сертификатов.
  • С верификацией: использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.

При использовании TLS невозможно указать IP-адрес в качестве URL.

Разделитель

В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется \n.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 1 с.

Рабочие процессы

Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Отладка

Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Дисковый буфер

Раскрывающийся список, в котором можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен.

Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера.

Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.

Фильтр

В разделе можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 232960]

Тип http

Тип http используется для связи по протоколу HTTP.

Закладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Выключено

Используется, если события не нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, http.

URL

Обязательный параметр.

URL, с которым необходимо установить связь.

Доступные форматы: хост:порт, IPv4:порт, :порт.

Также поддерживаются адреса IPv6, однако при их использовании необходимо также указывать интерфейс: [адрес%интерфейс]:порт.
Пример: [fe80::5054:ff:fe4d:ba0c%eth0]:4222).

Авторизация

Тип авторизации при подключении к указанному URL Доступны следующие значения:

  • выключена – значение по умолчанию.
  • обычная  при выборе этого варианта требуется указать секрет, содержащий данные учетной записи пользователя для авторизации при подключении к коннектору.

    Добавить секрет

    1. Если вы создали секрет ранее, выберите его в раскрывающемся списке Секрет.

      Если ранее не было добавлено ни одного секрета, в раскрывающемся списке отобразится Нет данных.

    2. Если вы хотите добавить новый секрет, справа от списка Секрет нажмите на кнопку AD_plus.

      Откроется окно Секрет.

    3. В поле Название введите название, под которым секрет будет отображаться в списке доступных.
    4. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору.
    5. Если требуется, в поле Описание добавьте любую дополнительную информацию о секрете.
    6. Нажмите на кнопку Сохранить.

    Секрет будет добавлен и отобразится в списке Секрет.

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры

Параметр

Описание

Сжатие

Можно использовать сжатие Snappy. По умолчанию сжатие Выключено.

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Время ожидания

Время ожидания (в секундах) ответа другого сервиса или компонента.

Значение по умолчанию: 30.

Размер дискового буфера

Размер дискового буфера в байтах.

Значение по умолчанию: 10 ГБ.

Режим TLS

Использование шифрования TLS. Доступные значения:

  • Выключено: значение по умолчанию, не использовать шифрование TLS.
  • Включено: использовать шифрование, но без верификации сертификата.
  • С верификацией: использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
  • Нестандартный CA: использовать шифрование с верификацией сертификата, подписанного центром сертификации. Секрет с сертификатом выбирается в раскрывающемся списке Нестандартный CA, который отображается при выборе этого пункта.

    Создание сертификата, подписанного центром сертификации

    Для использования этого режима TLS необходимо выполнить следующие действия на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL):

    1. Создать ключ, который будет использоваться центром сертификации.

      Пример команды:

      openssl genrsa -out ca.key 2048

    2. Создать сертификат для только что созданного ключа.

      Пример команды:

      openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt

    3. Создать приватный ключ и запрос на его подписание в центре сертификации.

      Пример команды:

      openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr

    4. Создать сертификат, подписанный центром сертификации. Необходимо включить в subjectAltName доменные имена или IP-адреса сервера, для которого создается сертификат.

      Пример команды:

      openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

    5. Полученный сертификат server.crt следует загрузить в веб-интерфейсе KUMA в секрет типа certificate, который затем следует выбрать в раскрывающемся списке Нестандартный CA.

    При использовании TLS невозможно указать IP-адрес в качестве URL.

Политика выбора URL

В раскрывающемся списке можно выбрать способ определения, на какой URL следует отправлять события, если URL было указано несколько. Доступные значения:

  • Любой – события отправляются в один из доступных URL до тех пор, пока этот URL принимает события. При разрыве связи (например, при отключении принимающего узла) для отправки событий будет выбран другой URL.
  • Сначала первый – события отправляются в первый URL из списка добавленных адресов. Если он становится недоступен, события отправляются в следующий по очереди доступный узел. Когда первый URL снова становится доступен, события снова начинаются отправляться в него.
  • По очереди – пакеты с событиями по очереди отправляться в доступные URL из списка. Поскольку пакеты отправляются или при переполнении буфера точки назначения, или при срабатывании таймера очистки буфера, эта политика выбора URL не гарантирует равное распределение событий по точкам назначения.

Разделитель

В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется \n.

Путь

Путь, который необходимо добавить для URL-запроса. Например, если указать путь /input, а в качестве URL ввести 10.10.10.10, то от точки назначения будут исходить запросы 10.10.10.10/input.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 1 с.

Рабочие процессы

Количество служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Путь проверки работоспособности

URL для отправки запросов для получения данных о работоспособности системы, с которой устанавливает связь ресурс точки назначения.

Ожидание проверки работоспособности

Частота проверки работоспособности в секундах.

Проверка работоспособности отключена

Флажок, который отключает проверку работоспособности.

Отладка

Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Дисковый буфер

Раскрывающийся список, в котором можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен.

Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера.

Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.

Фильтр

В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 232961]

Тип diode

Тип diode используется для передачи событий с помощью диода данных.

Закладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Выключено

Используется, если события не нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, diode.

Директория, из которой диод данных получает события

Обязательный параметр.

Директория, откуда диод данных перемещает события. Путь может содержать до 255 символов в кодировке Unicode.

Ограничения при использовании префиксов к путям на серверах Windows

На серверах Windows необходимо указывать абсолютные пути к директориям. Невозможно использовать директории, названия которых соответствуют указанным ниже регулярным выражениям:

  • ^[a-zA-Z]:\\Program Files
  • ^[a-zA-Z]:\\Program Files \(x86\)
  • ^[a-zA-Z]:\\Windows
  • ^[a-zA-Z]:\\Program Files\\Kaspersky Lab\\KUMA

Ограничения при использовании префиксов к путям на серверах Linux

Префиксы, которые невозможно использовать при указании путей к файлам:

  • /*
  • /bin
  • /boot
  • /dev
  • /etc
  • /home
  • /lib
  • /lib64
  • /proc
  • /root
  • /run
  • /sys
  • /tmp
  • /usr/*
  • /usr/bin/
  • /usr/local/*
  • /usr/local/sbin/
  • /usr/local/bin/
  • /usr/sbin/
  • /usr/lib/
  • /usr/lib64/
  • /var/*
  • /var/lib/
  • /var/run/
  • /opt/kaspersky/kuma/

Файлы по указанным ниже путям доступны:

  • /opt/kaspersky/kuma/clickhouse/logs/
  • /opt/kaspersky/kuma/mongodb/log/
  • /opt/kaspersky/kuma/victoria-metrics/log/

Временная директория

Директория, в которой события готовятся для передачи диоду данных.

События собираются в файл по истечении времени ожидания (по умолчанию 10 секунд) или при переполнении буфера. Подготовленный файл перемещается в директорию, указанную в поле Директория, из которой диод данных получает события. В качестве названия файла с событиями используется хеш-сумма (SHA-256) содержимого файла.

Временная директория не должна совпадать с директорией, из которой диод данных получает события.

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры

Параметр

Описание

Сжатие

Можно использовать сжатие Snappy. По умолчанию сжатие Выключено.

Этот параметр должен совпадать для коннектора и точки назначения, используемых для передачи событий из изолированного сегмента сети с помощью диода данных.

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Разделитель

В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется \n.

Этот параметр должен совпадать для коннектора и точки назначения, используемых для передачи событий из изолированного сегмента сети с помощью диода данных.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 1 с.

Рабочие процессы

Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Отладка

Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Фильтр

В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 232967]

Тип kafka

Тип kafka используется для коммуникаций с помощью kafka.

Закладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Выключено

Используется, если события не нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, kafka.

URL

Обязательный параметр.

URL, с которым необходимо установить связь. Доступные форматы: хост:порт, IPv4:порт, :порт. Также поддерживаются адреса IPv6, однако при их использовании необходимо также указывать интерфейс: [адрес%интерфейс]:порт.
Пример: [fe80::5054:ff:fe4d:ba0c%eth0]:4222).

С помощью кнопки URL можно добавить несколько адресов.

Топик

Обязательный параметр.

Тема сообщений Kafka. Должен содержать от 1 до 255 следующих символов: a–z, A–Z, 0–9, ".", "_", "-".

Разделитель

Используется для указания символа, определяющего границу между событиями. По умолчанию используется \n.

Авторизация

Тип авторизации при подключении к указанному URL Доступны следующие значения:

  • выключена – значение по умолчанию.
  • PFX – требуется сформировать сертификат с закрытым ключом в формате PKCS#12-контейнера во внешнем центре сертификации, экспортировать сертификат из хранилища и загрузить его в веб-интерфейс KUMA в виде PFX-секрета.
  • Добавить PFX-секрет
    1. Если вы загрузили PFX-сертификат ранее, выберите его в раскрывающемся списке Секрет.

      Если ранее не было добавлено ни одного сертификата, в раскрывающемся списке отобразится Нет данных.

    2. Если вы хотите добавить новый сертификат, справа от списка Секрет нажмите на кнопку AD_plus.

      Откроется окно Секрет.

    3. В поле Название введите название, под которым секрет будет отображаться в списке доступных.
    4. По кнопке Загрузить PFX выберите файл, в который вы экспортировали сертификат с закрытым ключом, в формате PKCS#12-контейнера.
    5. В поле Пароль введите пароль для защиты сертификата, заданный в мастере экспорта сертификата.
    6. Нажмите на кнопку Сохранить.

    Сертификат будет добавлен и отобразится в списке Секрет.

  • обычная – требуется указать секрет, содержащий данные учетной записи пользователя для авторизации при подключении к коннектору.

    Добавить секрет

    1. Если вы создали секрет ранее, выберите его в раскрывающемся списке Секрет.

      Если ранее не было добавлено ни одного секрета, в раскрывающемся списке отобразится Нет данных.

    2. Если вы хотите добавить новый секрет, справа от списка Секрет нажмите на кнопку AD_plus.

      Откроется окно Секрет.

    3. В поле Название введите название, под которым секрет будет отображаться в списке доступных.
    4. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору.
    5. Если требуется, в поле Описание добавьте любую дополнительную информацию о секрете.
    6. Нажмите на кнопку Сохранить.

    Секрет будет добавлен и отобразится в списке Секрет.

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры

Параметр

Описание

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Время ожидания

Время ожидания (в секундах) ответа другого сервиса или компонента.

Значение по умолчанию: 30.

Размер дискового буфера

Размер дискового буфера в байтах.

Значение по умолчанию: 10 ГБ.

Режим TLS

Использование шифрования TLS. Доступные значения:

  • Выключено – значение по умолчанию, не использовать шифрование TLS.
  • Включено – использовать шифрование, но без верификации сертификата.
  • С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
  • Нестандартный CA – использовать шифрование с верификацией сертификата, подписанного центром сертификации. Секрет с сертификатом выбирается в раскрывающемся списке Нестандартный CA, который отображается при выборе этого пункта.

    Создание сертификата, подписанного центром сертификации

    Для использования этого режима TLS необходимо выполнить следующие действия на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL):

    1. Создать ключ, который будет использоваться центром сертификации.

      Пример команды:

      openssl genrsa -out ca.key 2048

    2. Создать сертификат для только что созданного ключа.

      Пример команды:

      openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt

    3. Создать приватный ключ и запрос на его подписание в центре сертификации.

      Пример команды:

      openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr

    4. Создать сертификат, подписанный центром сертификации. Необходимо включить в subjectAltName доменные имена или IP-адреса сервера, для которого создается сертификат.

      Пример команды:

      openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

    5. Полученный сертификат server.crt следует загрузить в веб-интерфейсе KUMA в секрет типа certificate, который затем следует выбрать в раскрывающемся списке Нестандартный CA.

    При использовании TLS невозможно указать IP-адрес в качестве URL.

Разделитель

В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется \n.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 1 с.

Рабочие процессы

Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Отладка

Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Дисковый буфер

Раскрывающийся список, с помощью которого можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен.

Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера.

Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.

Фильтр

В разделе можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 232962]

Тип file

Тип file используется для записи в файл.

При удалении точки назначения типа file, используемой в каком-либо сервисе, этот сервис необходимо перезапустить.

Закладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Выключено

Используется, если события не нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, file.

URL

Обязательный параметр.

Путь к файлу, в который необходимо записать события.

Ограничения при использовании префиксов к путям файлов

Префиксы, которые невозможно использовать при указании путей к файлам:

  • /*
  • /bin
  • /boot
  • /dev
  • /etc
  • /home
  • /lib
  • /lib64
  • /proc
  • /root
  • /run
  • /sys
  • /tmp
  • /usr/*
  • /usr/bin/
  • /usr/local/*
  • /usr/local/sbin/
  • /usr/local/bin/
  • /usr/sbin/
  • /usr/lib/
  • /usr/lib64/
  • /var/*
  • /var/lib/
  • /var/run/
  • /opt/kaspersky/kuma/

Файлы по указанным ниже путям доступны:

  • /opt/kaspersky/kuma/clickhouse/logs/
  • /opt/kaspersky/kuma/mongodb/log/
  • /opt/kaspersky/kuma/victoria-metrics/log/

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры

Параметр

Описание

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Размер дискового буфера

Размер дискового буфера в байтах.

Значение по умолчанию: 10 ГБ.

Разделитель

В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется \n.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 1 с.

Количество обработчиков

Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Отладка

Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Дисковый буфер

Раскрывающийся список, с помощью которого можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен.

Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера.

Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.

Фильтр

В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 232965]

Тип storage

Тип storage используется для передачи данных в хранилище.

Закладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Выключено

Используется, если события не нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, storage.

URL

Обязательный параметр.

URL, с которым необходимо установить связь. Доступные форматы: хост:порт, IPv4:порт, :порт. Также поддерживаются адреса IPv6, однако при их использовании необходимо также указывать интерфейс: [адрес%интерфейс]:порт.
Пример: [fe80::5054:ff:fe4d:ba0c%eth0]:4222).

С помощью кнопки URL можно добавить несколько адресов.

В поле URL поддерживается поиск сервисов по FQDN, IP-адресу и названию. Особенности поиска по указанным в поле значениям:

  • <Поисковое значение> – поиск ведется по FQDN, IP-адресам и названиям сервисов.
  • <Первое поисковое значение, оканчивающееся на одну или несколько цифр>:<второе поисковое значение> – поиск по первому значению ведется по FQDN, IP-адресам сервисов, а второе значение используется для поиска по порту.
  • :<значение> – поиск ведется по порту.

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры

Параметр

Описание

Прокси-сервер

Раскрывающийся список для выбора прокси-сервера.

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Время ожидания

Время ожидания (в секундах) ответа другого сервиса или компонента.

Значение по умолчанию: 30.

Размер дискового буфера

Размер дискового буфера в байтах.

Значение по умолчанию: 10 ГБ.

Политика выбора URL

Раскрывающийся список, в котором можно выбрать способ определения, на какой URL следует отправлять события, если URL было указано несколько:

  • Любой – события отправляются в один из доступных URL до тех пор, пока этот URL принимает события. При разрыве связи (например, при отключении принимающего узла) для отправки событий будет выбран другой URL.
  • Сначала первый – события отправляются в первый URL из списка добавленных адресов. Если он становится недоступен, события отправляются в следующий по очереди доступный узел. Когда первый URL снова становится доступен, события снова начинаются отправляться в него.
  • По очереди – пакеты с событиями по очереди отправляться в доступные URL из списка. Поскольку пакеты отправляются или при переполнении буфера точки назначения, или при срабатывании таймера очистки буфера, эта политика выбора URL не гарантирует равное распределение событий по точкам назначения.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 1 с.

Рабочие процессы

Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Ожидание проверки работоспособности

Частота проверки работоспособности в секундах.

Отладка

Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Дисковый буфер

Раскрывающийся список, с помощью которого можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен.

Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера.

Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.

Фильтр

В разделе можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 232973]

Тип correlator

Тип correlator используется для передачи данных в коррелятор.

Закладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Выключено

Используется, если события не нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, correlator.

URL

Обязательный параметр.

URL, с которым необходимо установить связь. Доступные форматы: хост:порт, IPv4:порт, :порт. Также поддерживаются адреса IPv6, однако при их использовании необходимо также указывать интерфейс: [адрес%интерфейс]:порт.
Пример: [fe80::5054:ff:fe4d:ba0c%eth0]:4222).

С помощью кнопки URL можно добавить несколько адресов.

В поле URL поддерживается поиск сервисов по FQDN, IP-адресу и названию. Особенности поиска по указанным в поле значениям:

  • <Поисковое значение> – поиск ведется по FQDN, IP-адресам и названиям сервисов.
  • <Первое поисковое значение, оканчивающееся на одну или несколько цифр>:<второе поисковое значение> – поиск по первому значению ведется по FQDN, IP-адресам сервисов, а второе значение используется для поиска по порту.
  • :<значение> – поиск ведется по порту.

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры

Параметр

Описание

Прокси-сервер

Раскрывающийся список для выбора прокси-сервера.

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Время ожидания

Время ожидания (в секундах) ответа другого сервиса или компонента.

Значение по умолчанию: 30.

Размер дискового буфера

Размер дискового буфера в байтах.

Значение по умолчанию: 10 ГБ.

Политика выбора URL

Раскрывающийся список, в котором можно выбрать способ определения, на какой URL следует отправлять события, если URL было указано несколько:

  • Любой – события отправляются в один из доступных URL до тех пор, пока этот URL принимает события. При разрыве связи (например, при отключении принимающего узла) для отправки событий будет выбран другой URL.
  • Сначала первый – события отправляются в первый URL из списка добавленных адресов. Если он становится недоступен, события отправляются в следующий по очереди доступный узел. Когда первый URL снова становится доступен, события снова начинаются отправляться в него.
  • По очереди – пакеты с событиями по очереди отправляться в доступные URL из списка. Поскольку пакеты отправляются или при переполнении буфера точки назначения, или при срабатывании таймера очистки буфера, эта политика выбора URL не гарантирует равное распределение событий по точкам назначения.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 1 с.

Рабочие процессы

Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Ожидание проверки работоспособности

Частота проверки работоспособности в секундах.

Отладка

Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Дисковый буфер

Раскрывающийся список, с помощью которого можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен.

Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера.

Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.

Фильтр

В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 232976]

Предустановленные точки назначения

В поставку KUMA включены перечисленные в таблице ниже точки назначения.

Предустановленные точки назначения

Название точки назначения

Описание

[OOTB] Correlator

Отправляет события в коррелятор.

[OOTB] Storage

Отправляет события в хранилище.

В начало
[Topic 250830]

Работа с событиями

В разделе События веб-интерфейса KUMA вы можете просматривать полученные программой события, чтобы расследовать угрозы безопасности или создавать правила корреляции. В таблице событий отображаются данные, полученные после выполнения SQL-запроса.

События можно отправлять в коррелятор для ретроспективной проверки.

Формат даты события зависит от языка локализации, выбранного в настройках программы. Возможные варианты формата даты:

  • Английская локализация: ГГГГ-ММ-ДД.
  • Русская локализация: ДД.ММ.ГГГГ.

В этом разделе справки

Фильтрация и поиск событий

См. также:

О событиях

Архитектура программы

Модель данных нормализованного события

В начало
[Topic 228267]

Фильтрация и поиск событий

По умолчанию в разделе События веб-интерфейса KUMA данные не отображаются. Для просмотра событий в поле поиска нужно задать SQL-запрос и нажать на кнопку SearchField. SQL-запрос можно ввести вручную или сформировать с помощью конструктора запросов.

В SQL-запросах поддерживается агрегирование и группировка данных.

Вы можете добавить условия фильтрации в уже сформированный SQL-запрос в окне просмотра статистики, таблицы событий и области деталей событий:

  • Изменение запроса из окна статистики

    Чтобы изменить параметры фильтрации из окна Статистика:

    1. Откройте область деталей Статистика одним из следующих способов:
      • В правом верхнем углу таблицы событий в раскрывающемся списке MoreButton выберите Статистика.
      • В таблице событий нажмите на любое значение и в открывшемся контекстном меню выберите Статистика.

      В правой части окна откроется область деталей Статистика.

    2. Откройте раскрывающийся список необходимого параметра и наведите курсор мыши на требуемое значение.
    3. С помощью значков плюса и минуса измените параметры фильтрации, выполнив одно из следующих действий:
      • Если вы хотите включить в выборку событий только события с выбранным значением, нажмите filter-plus.
      • Если вы хотите исключить из выборки событий все события с выбранным значением, нажмите filter-minus.

    В результате параметры фильтрации и таблица событий будут обновлены, а в верхней части экрана отобразится измененный поисковый запрос.

  • Изменение запроса из таблицы событий

    Чтобы изменить параметры фильтрации из таблицы событий:

    1. В разделе События веб-интерфейса KUMA нажмите на любое значение параметра события в таблице событий.
    2. В открывшемся меню выберите один из следующих вариантов:
      • Если вы хотите оставить в таблице только события с выбранным значением, выберите Искать события с этим значением.
      • Если вы хотите исключить из таблицы все события с выбранным значением, выберите Искать события без этого значения.

    В результате параметры фильтрации и таблица событий обновляются, а в верхней части экрана отображается измененный поисковый запрос.

  • Изменение запроса из области деталей события

    Чтобы изменить параметры фильтрации в области деталей события:

    1. В разделе События веб-интерфейса KUMA нажмите на нужное событие.

      В правой части окна откроется область деталей Информация о событии.

    2. Измените параметры фильтрации, используя значки плюса или минуса рядом с необходимыми параметрами:
      • Если вы хотите включить в выборку событий только события с выбранным значением, нажмите filter-plus.
      • Если вы хотите исключить из выборки событий все события с выбранным значением, нажмите filter-minus.

    В результате параметры фильтрации и таблица событий будут обновлены, а в верхней части экрана отобразится измененный поисковый запрос.

После изменения запроса все параметры запроса, включая добавленные условия фильтрации, переносятся в конструктор и строку поиска.

Параметры запроса, введенного вручную в строке поиска, при переключении на конструктор не переносятся в конструктор: вам требуется создать запрос заново. При этом запрос, созданный в конструкторе, не перезаписывает запрос, введенный в строке поиска, пока вы не нажмете на кнопку Применить в окне конструктора.

В поле ввода SQL-запроса можно включить отображение непечатаемых символов.

События можно также фильтровать по временному периоду. Результаты поиска можно автоматически обновлять.

Конфигурацию фильтра можно сохранить. Существующие конфигурации фильтров можно удалить.

Функции фильтрации доступны пользователям всех ролей.

При обращении к некоторым полям событий с идентификаторами KUMA возвращает соответствующие им названия.

Подробнее об SQL см. в справке ClickHouse. Также см. использование операторов в KUMA и поддерживаемые функции.

В этом разделе

Выбор хранилища

Формирование SQL-запроса с помощью конструктора

Создание SQL-запроса вручную

Фильтрация событий по периоду

Отображение названий вместо идентификаторов

Пресеты

Ограничение сложности запросов в режиме расследования алерта

Сохранение и выбор конфигураций фильтра событий

Удаление конфигураций фильтра событий

Поддерживаемые функции ClickHouse

Просмотр информации о событии

Экспорт событий

Настройка таблицы событий

Обновление таблицы событий

Получение статистики по событиям в таблице

Просмотр информации о корреляционном событии

См. также:

О событиях

Хранилище

В начало
[Topic 228277]

Выбор хранилища

События, которые отображаются в веб-интерфейсе KUMA в разделе События, получены из хранилища (то есть кластера ClickHouse). В зависимости от потребностей вашей компании у вас может быть более одного хранилища, однако для получения событий необходимо указывать, события из какого именно хранилища вам требуются.

Чтобы выбрать хранилище, из которого вы хотите получать события,

В разделе События веб-интерфейса KUMA откройте раскрывающийся список cluster и выберите нужный кластер хранилища.

В таблице событий отображаются события из указанного хранилища. Имя выбранного хранилища отображается в раскрывающемся списке cluster.

В раскрывающемся списке cluster отображаются только кластеры тенантов, доступных пользователю, а также кластер главного тенанта.

См. также:

Хранилище

В начало
[Topic 217994]

Формирование SQL-запроса с помощью конструктора

В KUMA вы можете сформировать SQL-запрос для фильтрации событий с помощью конструктора запросов.

Чтобы сформировать SQL-запрос с помощью конструктора:

  1. В разделе События веб-интерфейса KUMA нажмите на кнопку parent-category.

    Откроется окно конструктора запросов.

  2. Сформулируйте поисковый запрос, указав данные в следующих блоках параметров:

    SELECT – поля событий, которые следует возвращать. По умолчанию выбрано значение *, означающее, что необходимо возвращать все доступные поля события. Чтобы вам проще было просматривать результаты поиска, в раскрывающемся списке вы можете выбрать необходимые поля, тогда в таблице будут отображаться данные только для выбранных полей. Стоит учитывать, что Select * в запросе увеличивает длительность выполнения запроса, но избавляет от необходимости прописывать поля в запросе вручную.

    Выбрав поле события, вы можете в поле справа от раскрывающегося списка указать псевдоним для столбца выводимых данных, а в крайнем правом раскрывающемся списке можно выбрать операцию, которую следует произвести над данными: count, max, min, avg, sum.

    Если вы используете в запросе функции агрегации, настройка отображения таблицы событий, сортировка событий по возрастанию и убыванию, а также получение статистики недоступны.

    В режиме расследования алерта при фильтрации по событиям, связанным с алертами, невозможно производить операции над данными полей событий и присваивать названия столбцам выводимых данных.

    • FROM – источник данных. Выберите значение events.
    • WHERE – условия фильтрации событий.

      Условия и группы условий можно добавить с помощью кнопок Добавить условие и Добавить группу. По умолчанию в группе условий выбрано значение оператора AND, однако если на него нажать, оператор можно изменить. Доступные значения: AND, OR, NOT. Структуру условий и групп условий можно менять, перетаскивая выражения с помощью мыши за значок DragIcon.

      Добавление условий фильтра:

      1. В раскрывающемся списке слева выберите поле события, которое вы хотите использовать для фильтрации.
      2. В среднем раскрывающемся списке выберите нужный оператор. Доступные операторы зависят от типа значения выбранного поля события.
      3. Введите значение условия. В зависимости от выбранного типа поля вам потребуется ввести значение вручную, выбрать его в раскрывающемся списке или выбрать в календаре.

      Условия фильтра можно удалить с помощью кнопки cross. Группы условий удаляются с помощью кнопки Удалить группу.

    • GROUP BY – поля событий или псевдонимы, по которым следует группировать возвращаемые данные.

      Если вы используете в запросе группировку данных, настройка отображения таблицы событий, сортировка событий по возрастанию и убыванию, получение статистики, а также ретроспективная проверка недоступны.

      В режиме расследования алерта при фильтрации по событиям, связанным с алертами, невозможно группировать возвращаемые данные.

    • ORDER BY – столбцы, по которым следует сортировать возвращаемые данные. В раскрывающемся списке справа можно выбрать порядок: DESC – по убыванию, ASC – по возрастанию.
    • LIMIT – количество отображаемых в таблице строк.

      Значение по умолчанию – 250.

      Если при фильтрации событий по пользовательскому периоду количество строк в результатах поиска превышает заданное значение, вы можете отобразить в таблице дополнительные строки, нажав на кнопку Показать больше записей. Кнопка не отображается при фильтрации событий по стандартному периоду.

  3. Нажмите на кнопку Применить.

    Текущий SQL-запрос будет перезаписан. В поле поиска отобразится сформированный SQL-запрос.

    Если вы хотите сбросить настройки конструктора, нажмите на кнопку Запрос по умолчанию.

    Если вы хотите закрыть конструктор, не перезаписывая существующий запрос, нажмите на кнопку parent-category.

  4. Для отображения данных в таблице нажмите на кнопку SearchField.

В таблице отобразятся результаты поиска по сформированному SQL-запросу.

При переходе в другой раздел веб-интерфейса сформированный в конструкторе запрос не сохраняется. Если вы повторно вернетесь в раздел События, в конструкторе будет отображаться запрос по умолчанию.

Подробнее об SQL см. в справке ClickHouse. Также см. использование операторов в KUMA и поддерживаемые функции.

См. также:

Создание SQL-запроса вручную

О событиях

Хранилище

В начало
[Topic 228337]

Создание SQL-запроса вручную

С помощью строки поиска вы можете вручную создавать SQL-запросы любой сложности для фильтрации событий.

Чтобы сформировать SQL-запрос вручную:

  1. Перейдите в раздел События веб-интерфейса KUMA.

    Откроется форма с полем ввода.

  2. Введите SQL-запрос в поле ввода.
  3. Нажмите на кнопку SearchField.

Отобразится таблица событий, соответствующих условиям вашего запроса. При необходимости вы можете отфильтровать события по периоду.

Поддерживаемые функции и операторы

  • SELECT – поля событий, которые следует возвращать.

    Для SELECT в программе поддержаны следующие функции и операторы:

    • Функции агрегации: count, avg, max, min, sum.
    • Арифметические операторы: +, -, *, /, <, >, =, !=, >=, <=.

      Вы можете комбинировать эти функции и операторы.

      Если вы используете в запросе функции агрегации, настройка отображения таблицы событий, сортировка событий по возрастанию и убыванию, а также получение статистики недоступны.

  • DISTINCT – используется для удаления дубликатов из результирующего набора оператора SELECT. Следует использовать нотацию типа SELECT DISTINCT SourceAddress as Addressess FROM <остальная часть запроса>.
  • FROM – источник данных.

    При создании запроса в качестве источника данных вам нужно указать значение events.

  • WHERE – условия фильтрации событий.
    • AND, OR, NOT, =, !=, >, >=, <, <=
    • IN
    • BETWEEN
    • LIKE
    • ILIKE
    • inSubnet
    • match (в запросах используется синтаксис регулярных выражений re2, специальные символы требуется дополнительно экранировать с помощью обратной косой черты (\))
  • GROUP BY – поля событий или псевдонимы, по которым следует группировать возвращаемые данные.

    Если вы используете в запросе группировку данных, настройка отображения таблицы событий, сортировка событий по возрастанию и убыванию, получение статистики, а также ретроспективная проверка недоступны.

  • ORDER BY – столбцы, по которым следует сортировать возвращаемые данные.

    Возможные значения:

    • DESC – по убыванию.
    • ASC – по возрастанию.
  • OFFSET – пропуск указанного количества строк перед выводом результатов запроса.
  • LIMIT – количество отображаемых в таблице строк.

    Значение по умолчанию – 250.

    Если при фильтрации событий по пользовательскому периоду количество строк в результатах поиска превышает заданное значение, вы можете отобразить в таблице дополнительные строки, нажав на кнопку Показать больше записей. Кнопка не отображается при фильтрации событий по стандартному периоду.

    Примеры запросов:

    • SELECT * FROM `events` WHERE Type IN ('Base', 'Audit') ORDER BY Timestamp DESC LIMIT 250

      Все события таблицы events с типом Base и Audit, отсортированные по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250.

    • SELECT * FROM `events` WHERE BytesIn BETWEEN 1000 AND 2000 ORDER BY Timestamp ASC LIMIT 250

      Все события таблицы events, для которых в поле BytesIn значение полученного трафика находится в диапазоне от 1000 до 2000 байт, отсортированные по столбцу Timestamp в порядке возрастания. Количество отображаемых в таблице строк – 250.

    • SELECT * FROM `events` WHERE Message LIKE '%ssh:%' ORDER BY Timestamp DESC LIMIT 250

      Все события таблицы events, которые в поле Message содержат данные, соответствующие заданному шаблону %ssh:% в нижнем регистре, и отсортированы по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250.

    • SELECT * FROM `events` WHERE inSubnet(DeviceAddress, '00.0.0.0/00') ORDER BY Timestamp DESC LIMIT 250

      Все события таблицы events для хостов, которые входят в подсеть 00.0.0.0/00, отсортированные по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250.

    • SELECT * FROM `events` WHERE match(Message, 'ssh.*') ORDER BY Timestamp DESC LIMIT 250

      Все события таблицы events, которые в поле Message содержат текст, соответствующий шаблону ssh.*, и отсортированы по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250.

    • SELECT max(BytesOut) / 1024 FROM `events`

      Максимальный размер исходящего трафика (КБ) за выбранный период времени.

    • SELECT count(ID) AS "Count", SourcePort AS "Port" FROM `events` GROUP BY SourcePort ORDER BY Port ASC LIMIT 250

      Количество событий и номер порта. События сгруппированы по номеру порта и отсортированы по столбцу Port в порядке возрастания. Количество отображаемых в таблице строк – 250.

      Столбцу ID в таблице событий присвоено имя Count, столбцу SourcePort присвоено имя Port.

Если вы хотите указать в запросе специальный символ, вам требуется экранировать его, поместив перед ним обратную косую черту (\).

Пример:

SELECT * FROM `events` WHERE match(Message, 'ssh:\'connection.*') ORDER BY Timestamp DESC LIMIT 250

Все события таблицы events, которые в поле Message содержат текст, соответствующий шаблону ssh: 'connection', и отсортированы по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250.

При создании нормализатора для событий вы можете выбрать, сохранять ли значения полей исходного события. Данные сохраняются в поле события Extra. Поиск событий по этому полю осуществляется с помощью оператора LIKE.

Пример:

SELECT * FROM `events` WHERE DeviceAddress = '00.00.00.000' AND Extra LIKE '%"app":"example"%' ORDER BY Timestamp DESC LIMIT 250

Все события таблицы events для хостов с IP-адресом 00.00.00.000, на которых запущен процесс example, отсортированные по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250.

При переключении на конструктор параметры запроса, введенного вручную в строке поиска, не переносятся в конструктор: вам требуется создать запрос заново. При этом запрос, созданный в конструкторе, не перезаписывает запрос, введенный в строке поиска, пока вы не нажмете на кнопку Применить в окне конструктора.

Используемые в поисковых запросах псевдонимы не должны содержать пробелов.

Подробнее об SQL см. в справке ClickHouse. Также см. поддерживаемые функции ClickHouse.

См. также:

Формирование SQL-запроса с помощью конструктора

Ограничение сложности запросов в режиме расследования алерта

О событиях

Хранилище

В начало
[Topic 228356]

Фильтрация событий по периоду

В KUMA вы можете настроить отображение событий, относящихся к определенному временному периоду.

Чтобы отфильтровать события по периоду:

  1. В разделе События веб-интерфейса KUMA в верхней части окна откройте раскрывающийся список Период.
  2. Если вы хотите выполнить фильтрацию по стандартному периоду, выберите один из следующих вариантов:
    • 5 минут
    • 15 минут
    • 1 час
    • 24 часа
    • В течение периода

      При выборе этого варианта в открывшемся календаре выберите дату начала и окончания периода и нажмите Применить фильтр. Формат даты и времени зависит от настроек вашей операционной системы. При необходимости вы также можете изменить значения даты вручную.

  3. Нажмите на кнопку SearchField.

Если установлен фильтр по периоду, отобразятся только события, зарегистрированные в течение указанного интервала времени. Период отобразится в верхней части окна.

Вы также можете настроить отображение событий с помощью гистограммы событий, которая отображается при нажатии на кнопку Иконка гистограммы в верхней части раздела События. События отобразятся, если нажать на нужный ряд данных или выделить требуемый период времени и нажать на кнопку Показать события.

В начало
[Topic 217877]

Отображение названий вместо идентификаторов

При обращении к некоторым полям событий, содержащих идентификаторы, KUMA возвращает не идентификаторы, а соответствующие им названия. Это сделано для удобства восприятия информации. Например, если вы обратитесь к полю события TenantID (в который записывается идентификатор тенанта), вы получите значение из поля событий TenantName (в которое записывается название тенанта).

При экспорте событий в файл записываются значения из обоих полей: и с идентификатором, и с названием.

В таблице ниже перечислены поля, при обращении к которым происходит замена:

Запрашиваемое поле

Поле, из которого возвращается значение

TenantID

TenantName

SeriviceID

ServiceName

DeviceAssetID

DeviceAssetName

SourceAssetID

SourceAssetName

DestinationAssetID

DestinationAssetName

SourceAccountID

SourceAccountName

DestinationAccountID

DestinationAccountName

Замена не происходит, если в SQL-запросе полю присвоен псевдоним. Примеры:

  • SELECT TenantID FROM `events` LIMIT 250 – в результате поиска в поле TenantID будет отображаться название тенанта.
  • SELECT TenantID AS Tenant_name FROM `events` LIMIT 250 – в результате поиска в поле Tenant_name будет отображаться идентификатор тенанта.
В начало
[Topic 255487]

Пресеты

Вы можете использовать

для упрощения работы с запросами, если вы регулярно хотите просматривать данные по определенному набору полей событий. В строке с SQL-запросом можно ввести Select * и выбрать сохраненный пресет - выдача будет ограничена только указанными в пресете полями. Такой способ снижает производительность, но при этом избавляет от необходимости каждый раз писать запрос вручную.
Пресеты сохраняются на сервере Ядра KUMA и доступны всем пользователям KUMA для указанного тенанта.

Чтобы создать пресет:

  1. В разделе События нажмите на значок .
  2. В открывшемся окне на вкладке Столбцы полей событий выберите необходимые поля.

    Для упрощения поиска можно начать набирать название поля в области Поиск

  3. Чтобы сохранить выбранные поля, нажмите Сохранить текущий пресет.

    Откроется окно Новый пресет.

  4. В открывшемся окне укажите Название пресета и выберите Тенанта в выпадающем списке.
  5. Нажмите Сохранить.

    Пресет создан и сохранен.

Чтобы применить пресет:

  1. В поле ввода запроса введите Select *.
  2. В разделе События веб-интерфейса KUMA нажмите на значок   .
  3. В открывшемся окне на вкладке Пресеты выберите нужный пресет и нажмите на кнопку .

    Поля из выбранного пресета будут добавлены в поле с SQL-запросом, а столбцы будут добавлены в таблицу. В конструкторе запросов изменений не произойдет.

  4. Нажмите на кнопку SearchField, чтобы выполнить запрос.

    После выполнения запроса столбцы будут заполнены.

В начало
[Topic 242466]

Ограничение сложности запросов в режиме расследования алерта

При расследовании алерта сложность SQL-запросов для фильтрации событий ограничена, если при расследовании алерта в раскрывающемся списке EventSelector выбран пункт События алерта. В этом случае для фильтрации событий доступны только перечисленные ниже функции и операторы.

При выборе в раскрывающемся списке EventSelector пункта Все события эти ограничения не действуют.

  • SELECT
    • В качестве символа подстановки используется *.
  • WHERE
    • AND, OR, NOT, =, !=, >, >=, <, <=
    • IN
    • BETWEEN
    • LIKE
    • inSubnet

    Примеры:

    • WHERE Type IN ('Base', 'Correlated')
    • WHERE BytesIn BETWEEN 1000 AND 2000
    • WHERE Message LIKE '%ssh:%'
    • WHERE inSubnet(DeviceAddress, '10.0.0.1/24')
  • ORDER BY

    Сортировка возможна по столбцам.

  • OFFSET

    Пропуск указанного количества строк перед выводом результатов запроса.

  • LIMIT

    Значение по умолчанию – 250.

    Если при фильтрации событий по пользовательскому периоду количество строк в результатах поиска превышает заданное значение, вы можете отобразить в таблице дополнительные строки, нажав на кнопку Показать больше записей. Кнопка не отображается при фильтрации событий по стандартному периоду.

В режиме расследования алерта при фильтрации по событиям, связанным с алертами, невозможно группировать возвращаемые данные. В режиме расследования алерта при фильтрации по событиям, связанным с алертами, невозможно производить операции над данными полей событий и присваивать названия столбцам выводимых данных.

В начало
[Topic 230248]

Сохранение и выбор конфигураций фильтра событий

В KUMA вы можете сохранять конфигурации фильтров для использования в будущем. Другие пользователи также могут использовать сохраненные фильтры при условии, что у них есть соответствующие права доступа. При сохранении фильтра вы сохраняете настроенные параметры сразу всех активных фильтров: фильтр по периоду, конструктору запросов и параметры таблицы событий. Поисковые запросы сохраняются на сервере Ядра KUMA и доступны всем пользователям KUMA выбранного тенанта.

Чтобы сохранить текущие настройки фильтра, запроса и периода:

  1. В разделе События веб-интерфейса KUMA нажмите на значок SaveButton рядом с выражением фильтра и выберите Сохранить текущий фильтр.
  2. В открывшемся окне в поле Название введите название конфигурации фильтра. Название должно содержать до 128 символов в кодировке Unicode.
  3. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать создаваемый фильтр.
  4. Нажмите Сохранить.

Конфигурация фильтра сохранена.

Чтобы выбрать ранее сохраненную конфигурацию фильтра:

в разделе События веб-интерфейса KUMA нажмите на значок SaveButton рядом с выражением фильтра и выберите нужный фильтр.

Выбранная конфигурация активна: в поле поиска отображается поисковый запрос, в верхней части окна настроенные параметры периода и частоты обновления результатов поиска. Для отправки поискового запроса нажмите на кнопку SearchField.

Если нажать на значок StarOffIcon рядом с названием конфигурации фильтра, она станет использоваться в качестве конфигурации по умолчанию.

В начало
[Topic 228358]

Удаление конфигураций фильтра событий

Чтобы удалить ранее сохраненную конфигурацию фильтра:

  1. В разделе События веб-интерфейса KUMA нажмите на значок SaveButton рядом с поисковым запросом фильтра и нажмите значок delete-icon рядом с конфигурацией, которую требуется удалить.
  2. Нажмите ОК.

Конфигурация фильтра удалена для всех пользователей KUMA.

В начало
[Topic 228359]

Поддерживаемые функции ClickHouse

В KUMA поддерживаются следующие функции ClickHouse:

  • Арифметические функции.
  • Массивы – все функции, кроме:
    • has;
    • range;
    • функций, в которых обязательны к использованию функции высшего порядка (стрелочные лямбда-выражения (->)).
  • Функции сравнения: все операторы, кроме == и less.
  • Логические функции: только функция not.
  • Функции преобразования типов.
  • Функции для работы с датами и временем: все функции, кроме date_add и date_sub.
  • Функции для работы со строками.
  • Функции поиска в строках – все функции, кроме:
    • position;
    • multiSearchAllPositions, multiSearchAllPositionsUTF8, multiSearchFirstPosition, multiSearchFirstIndex, multiSearchAny;
    • like и ilike;
  • Условные функции: только обычный оператор if (тернарный оператор и оператор miltif не поддерживаются).
  • Математические функции.
  • Функции округления.
  • Функции разбиения и слияния строк и массивов.
  • Битовые функции.
  • Функции для работы с UUID.
  • Функции для работы с URL.
  • Функции для работы с IP-адресами.
  • Функции для работы с Nullable-аргументами.
  • Функции для работы с географическими координатами.

В KUMA 2.1.3 исправлены ошибки с работой оператора DISTINCT. При этом необходимо использовать нотацию типа SELECT DISTINCT SourceAddress as Addressess FROM <остальная часть запроса>.

В KUMA 2.1.1 операторы SELECT DISTINCT SourceAddress или SELECT DISTINCT(SourceAddress), или SELECT DISTINCT ON (SourceAddress) работают некорректно.

Функции поиска и замены в строках, а также функции из остальных разделов не поддерживаются.

Подробнее об SQL см. в справке ClickHouse.

В начало
[Topic 235093]

Просмотр информации о событии

Чтобы просмотреть информацию о событии:

  1. В окне веб-интерфейса программы выберите раздел События.
  2. Выполните поиск событий с помощью конструктора запросов или введя запрос в строке поиска.

    Отобразится таблица событий.

  3. Выберите событие, информацию о котором вы хотите просмотреть.

    Откроется окно с информацией о событии.

В правой части окна отображается область деталей Информация о событии со списком параметров события и их значений. В этой области деталей можно:

  • Включить выбранное поле в поиск или исключить его из поиска, нажав на filter-plus и filter-minus рядом со значением параметра.
  • По хешу файла в поле FileHash раскрывается список, в котором вы можете выбрать одно из следующих действий:
  • Открыть окно со сведениями об активе, если он упоминается в полях события и зарегистрирован в приложении.
  • По ссылке с именем коллектора в поле Service вы можете просмотреть параметры сервиса, зарегистрировавшего событие.

    Вы также можете привязать событие к алерту, если программа находится в режиме расследования алерта, и открыть окно Информация о корреляционном событии, если выбранное событие является корреляционным.

В области деталей Информация о событии в качестве значений перечисленных ниже параметров вместо идентификатора показывается название описываемого объекта. При этом, если изменить фильтрацию событий по этому параметру (например, нажать на значок filter-minus, чтобы исключить из результатов поиска события с определенной комбинацией параметр-значение), в SQL-запрос будет добавлен идентификатор объекта, а не его название:

  • TenantID
  • SeriviceID
  • DeviceAssetID
  • SourceAssetID
  • DestinationAssetID
  • SourceAccountID
  • DestinationAccountID
В начало
[Topic 218039]

Экспорт событий

Из KUMA можно экспортировать информацию о событиях в TSV-файл. Выборка событий, которые будут экспортированы в TSV-файл, зависит от настроек фильтра. Информация экспортируется из столбцов, которые в данный момент отображаются в таблице событий, при этом столбцы в файле наполняются доступными данными, даже если в таблице событий в веб-интерфейсе KUMA они не отображались из-за особенностей SQL-запроса.

Чтобы экспортировать информацию о событиях:

  1. В разделе События веб-интерфейса KUMA откройте раскрывающийся список MoreButton и выберите Экспортировать в формат TSV.

    Новая задача экспорта TSV-файла создается в разделе Диспетчер задач.

  2. Найдите созданную вами задачу в разделе Диспетчер задач.

    Когда файл будет готов к загрузке, в строке задачи в столбце Статус отобразится значок DoneIcon.

  3. Нажмите на название типа задачи и в раскрывающемся списке выберите Загрузить.

    TSV-файл с информацией о событиях будет загружен с использованием настроек вашего браузера. Имя файла по умолчанию: event-export-<date>_<time>.tsv.

Файл сохраняется в соответствии с настройками вашего веб-браузера.

В начало
[Topic 217871]

Настройка таблицы событий

В разделе События отображаются ответы на SQL-запросы пользователя, представленные в виде таблицы. Поля, выбранные в пользовательском запросе, отображаются в конце таблицы, после столбцов по умолчанию. Таблицу можно обновлять.

Следующие столбцы в таблице событий отображаются по умолчанию:

  • Тенант.
  • Timestamp.
  • Name.
  • DeviceProduct.
  • DeviceVendor.
  • DestinationAddress.
  • DestinationUserName.

В KUMA можно настроить отображаемый набор полей событий и порядок их отображения. Выбранную конфигурацию можно сохранить.

При использовании для фильтрации событий SQL-запросов с группировкой и агрегацией данных статистика недоступна, а состав и порядок столбцов зависит от SQL-запроса.

В таблице событий, в области деталей событий, в окне алертов, а также в виджетах в качестве значений полей SourceAssetID, DestinationAssetID, DeviceAssetID, SourceAccountID, DestinationAccountID и ServiceID вместо идентификаторов отображаются названия активов, учетных записей или сервисов. При экспорте событий в файл идентификаторы сохраняются, однако в файл добавляются столбцы с названиями. Идентификаторы также отображаются при наведении указателя мыши на названия активов, учетных записей или сервисов.

Поиск по полям с идентификаторами возможен только с помощью идентификаторов.

Чтобы настроить поля, отображаемые в таблице событий:

  1. В правом верхнем углу таблицы событий нажмите значок gear.

    Откроется окно для выбора полей событий, которые требуется отображать в таблице событий.

  2. Установите флажки напротив полей, которые требуется отображать в таблице. С помощью поля Поиск можно найти нужные поля.

    Вы можете отобразить в таблице любое поле события из модели данных событий KUMA. Параметры Timestamp (Время) и Name (Название) всегда отображаются в таблице. С помощью кнопки По умолчанию можно вернуть исходные настройки отображения таблицы событий.

    Когда вы устанавливаете флажок, таблица событий обновляется и добавляется новый столбец. При снятии флажка столбец исчезает.

    Столбец можно удалить из таблицы событий, если нажать на его заголовок и в раскрывающемся списке выбрать Скрыть столбец.

  3. При необходимости измените порядок отображения столбцов, перетаскивая заголовки столбцов в таблице событий.
  4. Если вы хотите сортировать события по определенному столбцу, нажмите на его заголовок и в раскрывающемся списке выберите один из вариантов: По возрастанию или По убыванию.

Выбранные поля событий отобразятся в таблице раздела События в качестве столбцов в указанном вами порядке.

В начало
[Topic 228361]

Обновление таблицы событий

Таблицу событий можно обновлять, перегружая страницу веб-браузера. Можно также настроить автоматическое обновление таблицы событий, установив частоту обновления. По умолчанию автоматическое обновление отключено.

Чтобы включить автоматическое обновление,

Выберите частоту обновления в раскрывающемся списке refresh:

  • 5 секунд
  • 15 секунд
  • 30 секунд
  • 1 минута
  • 5 минут
  • 15 минут

Таблица событий обновляется автоматически.

Чтобы выключить автоматические обновление,

Выберите Не обновлять в раскрывающемся списке refresh.

В начало
[Topic 217961]

Получение статистики по событиям в таблице

Вы можете получить статистику по текущей выборке событий, отображаемой в таблице событий. Выборка событий зависит от параметров фильтрации.

Чтобы получить статистику:

в правом верхнем углу таблицы событий в раскрывающемся списке MoreButton выберите Статистика или в таблице событий нажмите на любое значение и в открывшемся контекстном меню выберите Статистика.

Появится область деталей Статистика со списком параметров текущей выборки событий. Числа возле каждого параметра указывают количество событий в выборке, для которых задан этот параметр. Если параметр раскрыть, отображается его пять наиболее частых значений. С помощью поля Поиск можно найти нужные параметры.

В отказоустойчивой конфигурации для всех полей событий, которые содержат FQDN Ядра, в разделе Статистика будет отображаться не FQDN, а "core".

В окне Статистика можно менять фильтр событий.

При использовании для фильтрации событий SQL-запросов с группировкой и агрегацией данных статистика недоступна.

В начало
[Topic 228360]

Просмотр информации о корреляционном событии

Вы можете просматривать подробные сведения о корреляционном событии в окне Информация о корреляционном событии.

Чтобы просмотреть информацию о корреляционном событии:

  1. В разделе События веб-интерфейса KUMA нажмите на корреляционное событие.

    Вы можете использовать фильтры для поиска корреляционных событий, присвоив значение correlated параметру Type.

    Откроется область деталей выбранного события. Если выбранное событие является корреляционным, в нижней части области деталей будет отображаться кнопка Подробные сведения.

  2. Нажмите на кнопку Подробные сведения.

Откроется окно корреляционного события. Название события отображается в левом верхнем углу окна.

В разделе Информация о корреляционном событии окна корреляционного события отображаются следующие данные:

  • Уровень важности корреляционного события  – важность корреляционного события.
  • Правило корреляции – название правила корреляции, которое породило корреляционное событие. Название правила представлено в виде ссылки, по которой можно перейти к настройкам этого правила корреляции.
  • Уровень важности правила корреляции  – важность правила корреляции, вызвавшего корреляционное событие.
  • Идентификатор правила корреляции – идентификатор правила корреляции, которое породило корреляционное событие.
  • Тенант – название тенанта, которому принадлежит корреляционное событие.

Раздел Связанные события окна корреляционного события содержит таблицу событий, относящихся к корреляционному событию. Это базовые события, в результате обработки которых было создано корреляционное событие. При выборе события в правой части окна веб-интерфейса открывается область деталей.

Ссылка Найти в событиях справа от заголовка раздела используется для расследования алерта.

Раздел Связанные активы окна корреляционного события содержит таблицу узлов, относящихся к корреляционному событию. Эта информация поступает из базовых событий, связанных с корреляционным событием. При нажатии на название актива открывается окно Информация об активе.

Раздел Связанные пользователи окна корреляционного события содержит таблицу пользователей, относящихся к корреляционному событию. Эта информация поступает из базовых событий, связанных с корреляционным событием.

См. также:

Об обнаружениях

Коррелятор

Расследование алерта

В начало
[Topic 217946]

Нормализаторы

Нормализаторы предназначены для приведения исходных событий, которые поступают из разных источников в различных форматах, к модели данных событий KUMA. Нормализованные события становятся доступны для обработки другими ресурсами и сервисами KUMA.

Нормализатор состоит из основного и необязательных дополнительных правил парсинга событий. С помощью создания основного и множества дополнительных правил парсинга можно реализовать сложную логику обработки событий. Данные передаются по древовидной структуре правил парсинга в зависимости от условий, заданных в параметре

Условия дополнительной нормализации. Последовательность создания правил парсинга имеет значение: событие обрабатывается последовательно и последовательность обработки обозначена стрелками.

Нормализатор создается в несколько этапов:

  1. Подготовка к созданию нормализатора

    Нормализатор можно создать в веб-интерфейсе KUMA:

    Затем в нормализаторе необходимо создать правила парсинга.

  2. Создание основного правила парсинга событий

    Основное правило парсинга создается с помощью кнопки Добавить парсинг событий. При этом открывается окно Парсинг событий, в котором вы можете задать параметры основного правила парсинга:

    Основное правило парсинга событий отображается в нормализаторе в виде темного кружка. Параметры основного правила парсинга можно просмотреть или изменить, нажав на его кружок. При наведении на кружок отображается значок плюса: при нажатии на него можно добавить дополнительные правила парсинга.

    Название основного правила парсинга используется в KUMA в качестве названия нормализатора.

  3. Создание дополнительных правил парсинга событий

    При нажатии на значок плюса, который отображается при наведении указателя мыши на кружок или блок, обозначающей нормализатор событий, откроется окно Дополнительный парсинг событий, в котором вы можете задать параметры дополнительного правила парсинга:

    Дополнительное правило парсинга событий отображается в нормализаторе виде темного блока. На блоке указаны условия, при котором дополнительное правило парсинга будет задействовано, название дополнительного правила парсинга, а также поле события, при наличии которого данные передаются в нормализатор. Параметры дополнительного правила парсинга можно просмотреть или изменить, нажав его блок.

    Если навести указатель мыши на дополнительный нормализатор, отобразится кнопка со значком плюса, с помощью которой можно создать новое дополнительное правило парсинга событий. С помощью кнопки со значком корзины нормализатор можно удалить.

  4. Завершение создания нормализатора

    Создание нормализатора завершается нажатием кнопки Сохранить.

В верхнем правом углу в поле поиска можно искать дополнительные правила парсинга по названию.

Для ресурсов нормализатора в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов.

Если вы, меняя параметры набора ресурсов коллектора, измените или удалите преобразования в подключенном к нему нормализаторе, правки не сохранятся, а сам нормализатор может быть поврежден. При необходимости изменить преобразования в нормализаторе, который уже является частью сервиса, вносите правки непосредственно в нормализатор в разделе веб-интерфейса РесурсыНормализаторы.

См. также:

Требования к переменным

В начало
[Topic 217942]

Параметры парсинга событий

При создании правил парсинга событий в окне параметров нормализатора в закладке Схема нормализации вы можете настроить правила приведения поступающих событий к формату KUMA.

Доступные параметры:

  • Название (обязательно) – название правил парсинга. Должно содержать от 1 до 128 символов в кодировке Unicode. Название основного правила парсинга будет использоваться в качестве названия нормализатора.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.

    Этот параметр недоступен для дополнительных правил парсинга.

  • Метод парсинга (обязательно) – выпадающий список для выбора типа входящих событий. В зависимости от выбора можно будет воспользоваться преднастроенными правилами сопоставления полей событий или же задать свои собственные правила. При выборе некоторых методов парсинга могут стать доступны дополнительные параметры, требуемые для заполнения.

    Доступные методы парсинга:

    • json

      Этот метод парсинга используется для обработки данных в формате JSON, в которых каждый объект, включая его вложенные объекты, занимает одну строку файла.

      При обработке файлов с иерархически выстроенными данными можно обращаться к полям вложенных объектов, поочередно через точку указывая названия параметров. Например, к параметру username из строки "user":{"username":"system:node:example-01"} можно обратиться с помощью запроса user.username.

      Файлы обрабатываются построчно. Многострочные объекты с вложенными структурами могут быть нормализованны некорректно.

      В сложных схемах нормализации, где используются дополнительные нормализаторы, все вложенные объекты обрабатываются на первом уровне нормализации за исключением случаев, когда условия дополнительной нормализации не заданы и, следовательно, в дополнительный нормализатор передается обрабатываемое событие целиком.

      В качестве разделителя строк могут выступать символы \n и \r\n. Строки должны быть в кодировке UTF-8.

    • cef

      Этот метод парсинга используется для обработки данных в формате CEF.

      При выборе этого метода можно воспользоваться преднастроенными правилами преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию.

    • regexp

      Этот метод парсинга используется для создания собственных правил обработки данных в формате с использованием регулярных выражений.

      В поле блока параметров Нормализация необходимо добавить регулярное выражение (синтаксис RE2) c именованными группами захвата: имя группы и ее значение будут считаться полем и значением "сырого" события, которое можно будет преобразовать в поле события формата KUMA.

      Чтобы добавить правила обработки событий:

      1. Скопируйте в поле Примеры событий пример данных, которые вы хотите обработать. Это необязательный, но рекомендуемый шаг.
      2. В поле блока параметров Нормализация добавьте регулярное выражение c именованными группами захвата в синтаксисе RE2, например "(?P<name>regexp)". Регулярное выражение, добавленное в параметр Нормализация, должно полностью совпадать с событием. Также при разработке регулярного выражения рекомендуется использовать специальные символы, обозначающие начало и конец текста: ^, $.

        Можно добавить несколько регулярных выражений с помощью кнопки Добавить регулярное выражение. При необходимости удалить регулярное выражение, воспользуйтесь кнопкой cross.

      3. Нажмите на кнопку Перенести названия полей в таблицу.

        Имена групп захвата отображаются в столбце Поле KUMA таблицы Сопоставление. Теперь в столбце напротив каждой группы захвата можно выбрать соответствующее ей поле KUMA или, если вы именовали группы захвата в соответствии с форматом CEF, можно воспользоваться автоматическим сопоставлением CEF, поставив флажок Использовать синтаксис CEF при нормализации.

      Правила обработки событий добавлены.

    • syslog

      Этот метод парсинга используется для обработки данных в формате syslog.

      При выборе этого метода можно воспользоваться преднастроенными правилами преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию.

    • csv

      Этот метод парсинга используется для создания собственных правил обработки данных в формате CSV.

      При выборе этого метода необходимо в поле Разделитель указать разделитель значений в строке. В качестве разделителя допускается использовать любой однобайтовый символ ASCII.

    • kv

      Этот метод парсинга используется для обработки данных в формате ключ-значение.

      При выборе этого метода необходимо указать значения в следующих обязательных полях:

      • Разделитель пар – укажите символ, которые будет служит разделителем пар ключ-значение. Допускается указать любое односимвольное (1 байт) значение при условии, что символ не будет совпадать с разделителем значений.
      • Разделитель значений – укажите символ, который будет служить разделителем между ключом и значением. Допускается указать любое односимвольное (1 байт) значение при условии, что символ не будет совпадать с разделителем пар ключ-значение.
    • xml

      Этот метод парсинга используется для обработки данных в формате XML, в которых каждый объект, включая его вложенные объекты, занимает одну строку файла. Файлы обрабатываются построчно.

      При выборе этого метода в блоке параметров Атрибуты XML можно указать ключевые атрибуты, которые следует извлекать из тегов. Если в структуре XML в одном тэге есть атрибуты с разными значениями, можно определить нужное значение, указав ключ к нему в столбце Исходные данные таблицы Сопоставление.

      Чтобы добавить ключевые атрибуты XML,

      Нажмите на кнопку Добавить поле и в появившемся окне укажите путь к нужному атрибуту.

      Можно добавить несколько атрибутов. Атрибуты можно удалить по одному с помощью значка с крестиком или все сразу с помощью кнопки Сбросить.

      Если ключевые атрибуты XML не указаны, при сопоставлении полей уникальный путь к значению XML будет представлен последовательностью тегов.

      Нумерация тегов

      Начиная с версии KUMA 2.1.3 доступна Нумерация тегов. Опция предназначена для выполнения автоматической нумерации тегов в событиях в формате XML, чтобы можно было распарсить событие с одинаковыми тэгами или неименованными тэгами, такими как <Data>.

      В качестве примера мы используем функцию Нумерация тегов для нумерации тегов атрибута EventData события Microsoft Windows PowerShell event ID 800.

      PowerShell Event ID 800

      Чтобы выполнить парсинг таких событий необходимо:

      • Настроить нумерацию тегов.
      • Настроить мапинг данных для пронумерованных тегов с полями события KUMA.

      Одновременное применение функций Атрибуты XML и Нумерация тегов приведёт к некорректной работе нормализатора. Если атрибут содержит неименованные тэги или одинаковые тэги, мы рекомендуем использовать функцию Нумерация тегов. Если атрибут содержит только именованные тэги, используйте Атрибуты XML.

      Чтобы настроить парсинг событий с тэгами, содержащими одинаковое название или тэги без названия:

      1. Создайте новый нормализатор или откройте существующий нормализатор для редактирования.
      2. В окне нормализатора Основной парсинг событий в раскрывающемся списке Метод парсинга выберите значение xml и в поле Нумерация тегов нажмите Добавить поле.

        В появившемся поле укажите полный путь к тэгу, элементам которого следует присвоить порядковый номер. Например, Event.EventData.Data. Первый номер, который будет присвоен тэгу – 0. Если тэг пустой, например, <Data />, ему также будет присвоен порядковый номер.

      3. Чтобы настроить мапинг данных, в группе параметров Сопоставление нажмите Добавить строку и выполните следующие действия:
        1. В появившейся строке в поле Исходные данные укажите полный путь к тэгу и его индекс. Для события Microsoft Windows из примера выше полный путь с индексами будет выглядеть следующим образом:
          • Event.EventData.Data.0
          • Event.EventData.Data.1
          • Event.EventData.Data.2 и так далее
        2. В раскрывающемся списке Поле KUMA выберите поле в событии KUMA, в которое попадет значение из пронумерованного тэга после выполнения парсинга.
      4. Чтобы сохранить изменения:
        • Если вы создали новый нормализатор, нажмите Сохранить.
        • Если вы редактировали существующий нормализатор, нажмите Обновить параметры в коллекторе, к которому привязан нормализатор.

      Настройка парсинга завершена.

    • netflow5

      Этот метод парсинга используется для обработки данных в формате NetFlow v5.

      При выборе этого метода можно воспользоваться преднастроенными правилами преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию.

      В правилах сопоставления по умолчанию для типа netflow5 тип протокола не указывается в полях событий KUMA. При парсинге данных в формате NetFlow в закладке нормализатора Обогащение следует создать правило обогащения данных типа constant, добавляющее значение netflow в целевое поле DeviceProduct.

    • netflow9

      Этот метод парсинга используется для обработки данных в формате NetFlow v9.

      При выборе этого метода можно воспользоваться преднастроенными правилами преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию.

      В правилах сопоставления по умолчанию для типа netflow9 тип протокола не указывается в полях событий KUMA. При парсинге данных в формате NetFlow в закладке нормализатора Обогащение следует создать правило обогащения данных типа constant, добавляющее значение netflow в целевое поле DeviceProduct.

    • sflow5

      Этот метод парсинга используется для обработки данных в формате sFlow5.

      При выборе этого метода можно воспользоваться преднастроенными правилами преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию.

    • ipfix

      Этот метод парсинга используется для обработки данных в формате IPFIX.

      При выборе этого метода можно воспользоваться преднастроенными правилами преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию.

      В правилах сопоставления по умолчанию для типа ipfix тип протокола не указывается в полях событий KUMA. При парсинге данных в формате NetFlow в закладке нормализатора Обогащение следует создать правило обогащения данных типа constant, добавляющее значение netflow в целевое поле DeviceProduct.

    • sql

      Нормализатор использует этот метод для обработки данных, полученных с помощью выборки из базы данных.

  • Сохранить исходное событие (обязательно) – с помощью этого раскрывающегося списка можно указать, надо ли сохранять исходное событие во вновь созданном нормализованном событии. Доступные значения:
    • Не сохранять – не сохранять исходное событие. Это значение используется по умолчанию.
    • При возникновении ошибок – сохранять исходное событие в поле Raw нормализованного события, если в процессе парсинга возникли ошибки. Это значение удобно использовать при отладке сервиса: в этом случае появление у событий непустого поля Raw будет являться признаком неполадок.

      Если поля с названиями *Address или *Date* не соответствуют правилам нормализации, такие поля игнорируются. При этом не возникает ошибка нормализации и значения полей не попадают в поле Raw нормализованного события, даже если был указан параметр Сохранить исходное событиеПри возникновении ошибок.

    • Всегда – сохранять сырое событие в поле Raw нормализованного события.

    Этот параметр недоступен для дополнительных правил парсинга.

  • Сохранить дополнительные поля (обязательно) – в этом раскрывающемся списке можно выбрать, хотите ли вы сохранять поля и их значения, для которых не настроены правила сопоставления (см. ниже). Эти данные сохраняются в поле события Extra в виде массива. Нормализованные события можно искать и фильтровать по данным, хранящимся в поле Extra.

    Фильтрация по данным из поля события Extra

    Условия для фильтров по данным из поля события Extra:

    • Условие – Если.
    • Левый операнд – поле события.
    • В поле события вы можете указать одно из следующих значений:
      • Поле Extra.
      • Значение из поля Extra в следующем формате:

        Extra.<название поля>

        Например, Extra.app.

        Значение этого типа указывается вручную.

      • Значение из массива, записанного в поле Extra, в следующем формате:

        Extra.<название поля>.<элемент массива>

        Например, Extra.array.0.

        Нумерация значений в массиве начинается с 0.

        Значение этого типа указывается вручную.

        Чтобы работать со значением из поля Extra на глубине 3 и ниже, следует использовать кавычки ``. Например, `Extra.lev1.lev2.lev3`.

    • Оператор – =.
    • Правый операнд – константа.
    • Значение – значение, по которому требуется фильтровать события.

    По умолчанию дополнительные поля не сохраняются.

  • Описание – описание ресурса: до 4000 символов в кодировке Unicode.

    Этот параметр недоступен для дополнительных правил парсинга.

  • Примеры событий – в это поле можно поместить пример данных, которые вы хотите обработать.

    Этот параметр недоступен для методов парсинга netflow5, netflow9, sflow5, ipfix, sql.

    Поле Примеры событий заполняется данными, полученными из сырого события, если парсинг события был выполнен успешно и тип полученных из сырого события данных совпадает с типом поля KUMA.

    Например, значение "192.168.0.1", заключенное в кавычки не будет отображено в поле SourceAddress, при этом значение 192.168.0.1 будет отображено в поле Примеры событий.

  • Блок параметров Сопоставление – здесь можно настроить сопоставление полей исходного события с полями события в формате KUMA:
    • Исходные данные – столбец для названий полей исходного события, которые вы хотите преобразовать в поля события KUMA.

      Если рядом с названиями полей в столбце Исходные данные нажать на кнопку wrench-new, откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA. В окне Преобразования добавленные правила можно менять местами, перетягивая их за значок DragIcon, а также удалять с помощью значка cross-black.

      Доступные преобразования

      Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

      Доступные преобразования:

      • lower – используется для перевода всех символов значения в нижний регистр
      • upper – используется для перевода всех символов значения в верхний регистр
      • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
      • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
      • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
        • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
        • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
      • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
      • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
      • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
      • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
        • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
        • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
      • Конвертация закодированных строк в текст:
        • decodeHexString – используется для конвертации HEX-строки в текст.
        • decodeBase64String – используется для конвертации Base64-строки в текст.
        • decodeBase64URLString – используется для конвертации Base64url-строки в текст.

        При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.

        При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, такая строка будет обрезана и не будет раскодирована.

        Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, такая строка будет обрезана до размера этого поля события.

    • Поле KUMA – раскрывающийся список для выбора требуемых полей событий KUMA. Поля можно искать, вводя в поле их названия.
    • Подпись – в этом столбце можно добавить уникальную пользовательскую метку полям событий, которые начинаются с DeviceCustom* и Flex*.

    Новые строки таблицы можно добавлять с помощью кнопки Добавить строку. Строки можно удалять по отдельности с помощью кнопки cross или все сразу с помощью кнопки Очистить все.

    Если вы загрузили данные в поле Примеры событий, в таблице отобразится столбец Примеры с примерами значений, переносимых из поля исходного события в поле события KUMA.

    Если размер поля события KUMA оказывается меньше длины помещаемого в него значения, значение обрезается до размера поля события.

В начало
[Topic 221932]

Обогащение в нормализаторе

При создании правил парсинга событий в окне параметров нормализатора в закладке Обогащение вы можете настроить правила дополнения полей нормализованного события другими данными с помощью правил обогащения. Эти правила хранятся в параметрах нормализатора, в котором они были созданы.

Обогащения создаются с помощью кнопки Добавить обогащение. Правил обогащения может быть несколько. Правила обогащения можно удалять с помощью кнопки cross-black.

Параметры, доступные в блоке параметров правила обогащения:

  • Тип источника (обязательно) – раскрывающийся список для выбора типа обогащения. В зависимости от выбранного типа отобразятся дополнительные параметры, которые также потребуется заполнить.

    Доступные типы источников обогащения:

    • константа

      Этот тип обогащения используется, если в поле события необходимо добавить константу. Параметры этого типа обогащения:

      • В поле Константа укажите значение, которое следует добавить в поле события. Значение должно состоять не более чем из 255 символов в кодировке Unicode. Если оставить это поле пустым, существующее значение поля события будет удалено.
      • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.

    • словарь

      Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Словарь.

      При выборе этого типа в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.

    • таблица

      Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Таблица.

      При выборе этого типа обогащения в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.

      Также в таблице Сопоставление необходимо настроить, из каких полей словаря и в какие поля события будут передаваться данные:

      • В столбце Поле словаря необходимо выбрать поле словаря. Доступные поля зависят от выбранного ресурса словаря.
      • В столбце Поле KUMA необходимо выбрать поле события, в которое следует записать значение. Для некоторых выбранных полей (*custom* и *flex*) в столбце Подпись можно задать название для помещаемых в них данных.

      Новые строки в таблицу можно добавлять с помощью кнопки Добавить элемент. Столбцы можно удалить с помощью кнопки cross.

    • событие

      Этот тип обогащения используется, если в поле события необходимо записать значение другого поля события. Параметры этого типа обогащения:

      • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
      • В раскрывающемся списке Исходное поле выберите поле события, значение которого будет записано в целевое поле.
      • Если нажать на кнопку wrench-new, откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA.

        Доступные преобразования

        Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

        Доступные преобразования:

        • lower – используется для перевода всех символов значения в нижний регистр
        • upper – используется для перевода всех символов значения в верхний регистр
        • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
        • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
        • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
          • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
          • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
        • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
        • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
        • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
        • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
          • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
          • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
        • Конвертация закодированных строк в текст:
          • decodeHexString – используется для конвертации HEX-строки в текст.
          • decodeBase64String – используется для конвертации Base64-строки в текст.
          • decodeBase64URLString – используется для конвертации Base64url-строки в текст.

          При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.

          При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, такая строка будет обрезана и не будет раскодирована.

          Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, такая строка будет обрезана до размера этого поля события.

    • шаблон

      Этот тип обогащения используется, если в поле события необходимо записать значение, полученное при обработке шаблонов Go. Параметры этого типа обогащения:

      • В поле Шаблон поместите шаблон Go.

        Имена полей событий передаются в формате {{.EventField}}, где EventField – это название поля события, значение которого должно быть передано в скрипт.

        Пример: Атака на {{.DestinationAddress}} со стороны {{.SourceAddress}}.

      • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
  • Целевое поле (обязательно) – раскрывающийся список для выбора поля события KUMA, в которое следует поместить данные.

    Этот параметр недоступен для типа источника обогащения таблица.

В начало
[Topic 242993]

Условия передачи данных в дополнительный нормализатор

При создании дополнительных правил парсинга событий вы можете задать условия, при выполнении которых события будут поступать на обработку в это правило парсинга. Условия можно задать в окне Дополнительное правило парсинга в закладке Условия дополнительной нормализации. В основных правилах парсинга эта закладка отсутствует.

Доступные параметры:

  • Поле, которое следует передать в нормализатор – используется для указания поля события в том случае, если вы хотите отправлять на дополнительный парсинг только события с заданными в параметрах нормализатора полями.

    Если оставить это поле пустым, в дополнительный нормализатор будет передано событие целиком.

  • Блок фильтров – используется для формулирования сложных условий, которым должны удовлетворять события, поступающие в нормализатор.

    С помощью кнопки Добавить условие можно добавить строку с полями для определения условия (см. ниже).

    С помощью кнопки Добавить группу можно добавить группу фильтров. Можно переключать групповые операторы между И, ИЛИ, НЕ. В группы фильтров можно добавить другие группы условий и отдельные условия.

    Условия и группы можно менять местами, перетягивая их за значок DragIcon, а также удалять с помощью значка cross.

Параметры условий фильтра:

  • Левый операнд и Правый операнд – используются для указания значений, которые будет обрабатывать оператор.

    В левом операнде следует указывать исходное поле событий, поступающих в нормализатор. Например, если в окне Основной парсинг событий настроено сопоставление eventType - DeviceEventClass, то в окне Дополнительный парсинг событий на вкладке Условия дополнительной нормализации в поле левого операнда для фильтра следует указать eventType. Данные обрабатываются только как текстовые строки.

  • Операторы:
    • = – полное совпадение левого и правого операндов.
    • startsWith – левый операнд начинается с символов, указанных в правом операнде.
    • endsWith – левый операнд заканчивается символами, указанными в правом операнде.
    • match – левые операнд соответствует регулярному выражению (RE2), указанному в правом операнде.
    • in – левый операнд соответствует одному из значений, указанных в правом операнде.

Поступающие данные можно предварительно преобразовать, если нажать на кнопку wrench-new: откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как над ними будут совершены какие-либо действия. В окне Преобразования добавленные правила можно менять местами, перетягивая их за значок DragIcon, а также удалять с помощью значка cross-black.

Доступные преобразования

Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

Доступные преобразования:

  • lower – используется для перевода всех символов значения в нижний регистр
  • upper – используется для перевода всех символов значения в верхний регистр
  • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
  • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
  • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
    • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
    • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
  • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
  • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
  • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
  • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
    • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
    • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
  • Конвертация закодированных строк в текст:
    • decodeHexString – используется для конвертации HEX-строки в текст.
    • decodeBase64String – используется для конвертации Base64-строки в текст.
    • decodeBase64URLString – используется для конвертации Base64url-строки в текст.

    При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.

    При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, такая строка будет обрезана и не будет раскодирована.

    Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, такая строка будет обрезана до размера этого поля события.

В начало
[Topic 221934]

Поддерживаемые источники событий

KUMA поддерживает нормализацию событий, которые поступают от систем, перечисленных в таблице "Поддерживаемые источники событий". Нормализаторы для указанных систем включены в поставку.

Поддерживаемые источники событий

Название системы

Название нормализатора

Тип

Описание нормализатора

1C EventJournal

[OOTB] 1C EventJournal Normalizer

xml

Предназначен для обработки журнала событий системы 1С. Источник событий — журнал регистрации 1C.

1C TechJournal

[OOTB] 1C TechJournal Normalizer

regexp

Предназначен для обработки технологического журнала событий. Источник событий — технологический журнал 1С.

Absolute Data and Device Security (DDS)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

AhnLab Malware Defense System (MDS)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Ahnlab UTM

[OOTB] Ahnlab UTM

regexp

Предназначен для обработки событий от системы Ahnlab. Источник событий - системные, операционные журналы, подключения, модуль IPS.

AhnLabs MDS

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Apache Cassandra

[OOTB] Apache Cassandra file

regexp

Предназначен для обработки событий в журналах СУБД Apache Cassandra версии 4.0.

Aruba ClearPass

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Avigilon Access Control Manager (ACM)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Ayehu eyeShare

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Barracuda Networks NG Firewall

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

BeyondTrust Privilege Management Console

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

BeyondTrust’s BeyondInsight

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Bifit Mitigator

[OOTB] Bifit Mitigator Syslog

Syslog

Предназначен для обработки событий от системы защиты от DDOS Mitigator, поступающих по Syslog.

Bloombase StoreSafe

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

BMC CorreLog

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Bricata ProAccel

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Brinqa Risk Analytics

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Broadcom Symantec Advanced Threat Protection (ATP)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Broadcom Symantec Endpoint Protection

[OOTB] Broadcom Symantec Endpoint Protection

regexp

Предназначен для обработки событий от системы Symantec Endpoint Protection.

Broadcom Symantec Endpoint Protection Mobile

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Broadcom Symantec Threat Hunting Center

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Canonical LXD

[OOTB] Canonical LXD syslog

Syslog

Предназначен для обработки событий, поступающих по syslog от системы Canonical LXD версии 5.18.

Checkpoint

[OOTB] Checkpoint Syslog CEF by CheckPoint

Syslog

Предназначен для обработки событий, поступающих от источника событий Checkpoint по протоколу Syslog в формате CEF.

Cisco Access Control Server (ACS)

[OOTB] Cisco ACS syslog

regexp

Предназначен для обработки событий системы Cisco Access Control Server (ACS), поступающих по Syslog.

Cisco ASA

[OOTB] Cisco ASA Extended v 0.1

Syslog

Предназначен для обработки событий устройств Cisco ASA. Cisco ASA базовый расширенный набор событий.

Cisco Email Security Appliance (WSA)

[OOTB] Cisco WSA AccessFile

regexp

Предназначен для обработки журнала событий прокси-сервера Cisco Email Security Appliance (WSA), файл access.log.

Cisco Identity Services Engine (ISE)

[OOTB] Cisco ISE syslog

regexp

Предназначен для обработки событий системы Cisco Identity Services Engine (ISE), поступающих по Syslog.

Cisco Netflow v5

[OOTB] NetFlow v5

netflow5

Предназначен для обработки событий, поступающих Cisco Netflow версии 5.

Cisco NetFlow v9

[OOTB] NetFlow v9

netflow9

Предназначен для обработки событий, поступающих Cisco Netflow версии 9.

Cisco Prime

[OOTB] Cisco Prime syslog

Syslog

Предназначен для обработки событий системы системы Cisco Prime версии 3.10, поступающих по syslog.

Cisco Secure Email Gateway (SEG)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Cisco Secure Firewall Management Center

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Citrix NetScaler

[OOTB] Citrix NetScaler

regexp

Предназначен для обработки событий, поступающих от балансировщика нагрузки Citrix Netscaller версии 13.7.

Claroty Continuous Threat Detection

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

CloudPassage Halo

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Сodemaster Mirada

[OOTB] Сodemaster Mirada syslog

Syslog

Предназначен для обработки событий системы Сodemaster Mirada, поступающих по syslog.

Corvil Network Analytics

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Cribl Stream

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

CrowdStrike Falcon Host

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

CyberArk Privileged Threat Analytics (PTA)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

CyberPeak Spektr

[OOTB] CyberPeak Spektr syslog

Syslog

Предназначен для обработки событий системы CyberPeak Spektr версии 3, поступающих по syslog.

DeepInstinct

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Delinea Secret Server

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Digital Guardian Endpoint Threat Detection

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

DNS сервер BIND

[OOTB] BIND Syslog

[OOTB] BIND file

Syslog

regexp

[OOTB] BIND Syslog предназначен для обработки событий DNS-сервера BIND, поступающих по Syslog. [OOTB] BIND file предназначен для обработки журналов событий DNS-сервера BIND.

Dovecot

[OOTB] Dovecot Syslog

Syslog

Предназначен для обработки событий почтового сервера Dovecot, поступающих по Syslog. Источник событий — журналы POP3/IMAP.

Dragos Platform

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

EclecticIQ Intelligence Center

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Edge Technologies AppBoard and enPortal

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Eltex MES Switches

[OOTB] Eltex MES Switches

regexp

Предназначен для обработки событий от сетевых устройств Eltex.

Eset Protect

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

F5 Big­IP Advanced Firewall Manager (AFM)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

FFRI FFR yarai

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

FireEye CM Series

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

FireEye Malware Protection System

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Forcepoint NGFW

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Forcepoint SMC

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Fortinet FortiGate

[OOTB] Syslog-CEF

regexp

Предназначен для обработки событий в формате CEF.

Fortinet FortiGate

[OOTB] FortiGate syslog KV

Syslog

Предназначен для обработки событий, поступающих от межсетевых экранов FortiGate по syslog. Источник событий - журналы FortiGate в формате key-value.

Fortinet Fortimail

[OOTB] Fortimail

regexp

Предназначен для обработки событий системы защиты электронной почты FortiMail. Источник событий — журналы почтовой системы Fortimail.

Fortinet FortiSOAR

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

FreeIPA

[OOTB] FreeIPA

json

Предназначен для обработки событий, поступающих от системы FreeIPA. Источник событий — журналы службы каталогов Free IPA.

FreeRADIUS

[OOTB] FreeRADIUS syslog

Syslog

Предназначен для обработки событий системы FreeRADIUS, поступающих по Syslog. Нормализатор поддерживает события от FreeRADIUS версии 3.0.

Gardatech GardaDB

[OOTB] Gardatech GardaDB syslog

Syslog

Предназначен для обработки событий системы Gardatech GardaDB, поступающих по syslog в формате, схожим с CEF.

Gardatech Perimeter

[OOTB] Gardatech Perimeter syslog

Syslog

Предназначен для обработки событий системы Gardatech Perimeter версии 5.3, поступающих по syslog.

Gigamon GigaVUE

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

HAProxy

[OOTB] HAProxy syslog

Syslog

Предназначен для обработки журналов системы HAProxy. Нормализатор поддерживает события типа HTTP log, TCP log, Error log от HAProxy версии 2.8.

Huawei Eudemon

[OOTB] Huawei Eudemon

regexp

Предназначен для обработки событий, поступающих от межсетевых экранов Huawei Eudemon. Источник событий — журналы межсетевых экранов Huawei Eudemon.

Huawei USG

[OOTB] Huawei USG Basic

Syslog

Предназначен для обработки событий, поступающих от шлюзов безопасности Huawei USG по Syslog.

IBM InfoSphere Guardium

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Ideco UTM

[OOTB] Ideco UTM Syslog

Syslog

Предназначен для обработки событий, поступающих от Ideco UTM по Syslog. Нормализатор поддерживает обработку событий Ideco UTM версии 14.7, 14.10.

Illumio Policy Compute Engine (PCE)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Imperva Incapsula

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Imperva SecureSphere

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Orion Soft

[OOTB] Orion Soft zVirt syslog

regexp

Предназначен для обработки событий системы виртуализации Orion Soft версии 3.1.  

Indeed PAM

[OOTB] Indeed PAM syslog

Syslog

Предназначен для обработки событий Indeed PAM (Privileged Access Manager) версии 2.6.

Indeed SSO

[OOTB] Indeed SSO

xml

Предназначен для обработки событий системы Indeed SSO (Single Sign-On).

InfoWatch Traffic Monitor

[OOTB] InfoWatch Traffic Monitor SQL

sql

Предназначен для обработки событий, полученных коннектором из базы данных системы InfoWatch Traffic Monitor.

Intralinks VIA

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

IPFIX

[OOTB] IPFIX

ipfix

Предназначен для обработки событий в формате IP Flow Information Export (IPFIX).

Juniper JUNOS

[OOTB] Juniper - JUNOS

regexp

Предназначен для обработки событий аудита, поступающих от сетевых устройств Juniper.

Kaspersky Anti Targeted Attack (KATA)

[OOTB] KATA

cef

Предназначен для обработки алертов или событий из журнала активности Kaspersky Anti Targeted Attack.

Kaspersky CyberTrace

[OOTB] CyberTrace

regexp

Предназначен для обработки событий Kaspersky CyberTrace.

Kaspersky Endpoint Detection and Response (KEDR)

[OOTB] KEDR telemetry

json

Предназначен для обработки телеметрии Kaspersky EDR, размеченных KATA. Источник событий — kafka, EnrichedEventTopic

Kaspersky Industrial CyberSecurity for Networks

[OOTB] KICS4Net v2.x

cef

Предназначен для обработки событий Kaspersky Industrial CyberSecurity for Networks версии 2.х.

Kaspersky Industrial CyberSecurity for Networks

[OOTB] KICS4Net v3.x

Syslog

Предназначен для обработки событий Kaspersky Industrial CyberSecurity for Networks версии 3.х.

Kaspersky Security Center

[OOTB] KSC

cef

Предназначен для обработки событий Kaspersky Security Center по Syslog.

Kaspersky Security Center

[OOTB] KSC from SQL

sql

Предназначен для обработки событий, полученных коннектором из базы данных системы Kaspersky Security Center.

Kaspersky Security for Linux Mail Server (KLMS)

[OOTB] KLMS Syslog CEF

Syslog

Предназначен для обработки событий, поступающих от Kaspersky Security for Linux Mail Server в формате CEF по Syslog.

Kaspersky Security Mail Gateway (KSMG)

[OOTB] KSMG Syslog CEF

Syslog

Предназначен для обработки событий Kaspersky Security Mail Gateway версии 2.0 в формате CEF по Syslog.

Kaspersky Web Traffic Security (KWTS)

[OOTB] KWTS Syslog CEF

Syslog

Предназначен для обработки событий, поступающих от Kaspersky Web Traffic Security в формате CEF по Syslog.

Kaspersky Web Traffic Security (KWTS)

[OOTB] KWTS (KV)

Syslog

Предназначен для обработки событий Kaspersky Web Traffic Security для формата Key-Value.

Kemptechnologies LoadMaster

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Kerio Control

[OOTB] Kerio Control

Syslog

Предназначен для обработки событий межсетевых экранов Kerio Control.

KUMA

[OOTB] KUMA forwarding

json

Предназначен для обработки событий, перенаправленных из KUMA.

Libvirt

[OOTB] Libvirt syslog

Syslog

Предназначен для обработки событий Libvirt версии 8.0.0, поступающих по syslog.

Lieberman Software ERPM

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Linux

[OOTB] Linux audit and iptables Syslog

Syslog

Предназначен для обработки событий операционной системы Linux. Этот нормализатор будет удалён из набора OOTB через релиз. Если вы используете этот нормализатор, вам необходимо перейти на использование нормализатора [OOTB] Linux audit and iptables Syslog v1.

Linux

[OOTB] Linux audit and iptables Syslog v1

Syslog

Предназначен для обработки событий операционной системы Linux.

Linux

[OOTB] Linux audit.log file

regexp

Предназначен для обработки журналов безопасности операционных систем семейства Linux, поступающих по Syslog.

MariaDB

[OOTB] MariaDB Audit Plugin Syslog

Syslog

Предназачен для обработки событий, поступающих от плагина аудита MariaDB Audit по Syslog.

Microsoft DHCP

[OOTB] MS DHCP file

regexp

Предназначен для обработки событий от DHCP-сервера Microsoft. Источник событий — журналы DHCP сервера Windows.

Microsoft DNS

[OOTB] DNS Windows

regexp

Предназначен для обработки событий DNS сервера Microsoft. Источник событий — журналы DNS сервера Windows.

Microsoft Exchange

[OOTB] Exchange CSV

csv

Предназначен для обработки журнала событий системы Microsoft Exchange. Источник событий — журналы MTA сервера Exchange.

Microsoft IIS

[OOTB] IIS Log File Format

regexp

Нормализатор обрабатывает события в формате, описанном по ссылке: https://learn.microsoft.com/en-us/windows/win32/http/iis-logging. Источник событий — журналы Microsoft IIS.

Microsoft Network Policy Server (NPS)

[OOTB] Microsoft Products

xml

Нормализатор предназначен для обработки событий операционной системы Microsoft Windows. Источник событий — события Network Policy Server.

Microsoft Sysmon

[OOTB] Microsoft Products

xml

Нормализатор предназначен для обработки событий модуля Microsoft Sysmon.

Microsoft Windows

[OOTB] Microsoft Products

xml

Нормализатор предназначен для обработки событий операционной системы Microsoft Windows.

Microsoft PowerShell

[OOTB] Microsoft Products

xml

Нормализатор предназначен для обработки событий операционной системы Microsoft Windows.

Microsoft SQL Server

[OOTB] Microsoft SQL Server xml

xml

Предназначен для обработки событий MS SQL Server версии 2008, 2012, 2014, 2016.

Microsoft Windows Remote Desktop Services

[OOTB] Microsoft Products

xml

Нормализатор предназначен для обработки событий операционной системы Microsoft Windows. Источник событий — журнал Applications and Services Logs - Microsoft - Windows - TerminalServices-LocalSessionManager - Operational

Microsoft Windows XP/2003

[OOTB] SNMP. Windows {XP/2003}

json

Предназначен для обработки событий, поступающих от рабочих станций и серверов под управлением операционных систем Microsoft Windows XP, Microsoft Windows 2003 с использованием протокола SNMP.

MikroTik

[OOTB] MikroTik syslog

regexp

Предназначен для событий, поступающих от устройств MikroTik по Syslog.

Minerva Labs Minerva EDR

[OOTB] Minerva EDR

regexp

Предназначен для обработки событий от EDR системы Minerva.

MySQL 5.7

[OOTB] MariaDB Audit Plugin Syslog

Syslog

Предназачен для обработки событий, поступающих от плагина аудита MariaDB Audit по Syslog.

NetIQ Identity Manager

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

NetScout Systems nGenius Performance Manager

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Netskope Cloud Access Security Broker

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Netwrix Auditor

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Nextcloud

[OOTB] Nextcloud syslog

Syslog

Предназначен для событий Nextcloud версии 26.0.4, поступающих по syslog. Нормализатор не сохраняет информацию из поля Trace.

Nexthink Engine

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Nginx

[OOTB] Nginx regexp

regexp

Предназначен для обработки событий журнала веб-сервера Nginx.

NIKSUN NetDetector

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

One Identity Privileged Session Management

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Open VPN

[OOTB] OpenVPN file

regexp

Предназначен для обработки журнала системы OpenVPN.

Oracle

[OOTB] Oracle Audit Trail

sql

Предназначен для обработки событий аудита БД, полученных коннектором непосредственно из базы данных Oracle.

PagerDuty

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Palo Alto Cortex Data Lake

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Palo Alto Networks NGFW

[OOTB] PA-NGFW (Syslog-CSV)

Syslog

Предназначен для обработки событий от межсетевых экранов Palo Alto Networks, поступающих по Syslog в формате CSV.

Palo Alto Networks PAN­OS

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Penta Security WAPPLES

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Positive Technologies ISIM

[OOTB] PTsecurity ISIM

regexp

Предназначен для обработки событий от системы PT Industrial Security Incident Manager.

Positive Technologies Network Attack Discovery (NAD)

[OOTB] PTsecurity NAD

Syslog

Предназначен для обработки событий от PT Network Attack Discovery (NAD), поступающих по Syslog.

Positive Technologies Sandbox

[OOTB] PTsecurity Sandbox

regexp

Предназначен для обработки событий системы PT Sandbox.

Positive Technologies Web Application Firewall

[OOTB] PTsecurity WAF

Syslog

Предназначен для обработки событий, поступающих от системы PTsecurity (Web Application Firewall).

PostgreSQL pgAudit

[OOTB] PostgreSQL pgAudit Syslog

Syslog

Предназначен для обработки событий плагина аудита pgAudit для базы данных PostgreSQL, поступающих по Syslog.

Proofpoint Insider Threat Management

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Proxmox

[OOTB] Proxmox file

regexp

Предназначен для событий системы Proxmox версии 7.2-3, хранящихся в файле. Нормализатор поддерживает обработку событий в журналах access и pveam.

PT NAD

[OOTB] PT NAD json

json

Предназначен для обработки событий, поступающий от PT NAD в формате json. Нормализатор поддерживает обработку событий PT NAD версий 11.1, 11.0.

QEMU - журналы гипервизора

[OOTB] QEMU - Hypervisor file

regexp

Предназначен для обработки событий гипервизора QEMU, хранящихся в файле. Поддерживаются версии QEMU 6.2.0, Libvirt 8.0.0.

QEMU - журналы виртуальных машин

[OOTB] QEMU - Virtual Machine file

regexp

Предназначен для обработки событий из журналов виртуальных машин гипервизора QEMU версии 6.2.0, хранящихся в файле.

Radware DefensePro AntiDDoS

[OOTB] Radware DefensePro AntiDDoS

Syslog

Предназначен для обработки событий от системы защиты от DDOS Mitigator, поступающих по Syslog.

Reak Soft Blitz Identity Provider

[OOTB] Reak Soft Blitz Identity Provider file

regexp

Предназначен для обработки событий системы Reak Soft Blitz Identity Provider версии 5.16, хранящихся в файле.

Recorded Future Threat Intelligence Platform

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

ReversingLabs N1000 Appliance

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Rubicon Communications pfSense

[OOTB] pfSense Syslog

Syslog

Предназначен для обработки событий, поступающих от межсетевого экрана pfSense, поступающих по Syslog.

Rubicon Communications pfSense

[OOTB] pfSense w/o hostname

Syslog

Предназначен для обработки событий, поступающих от межсетевого экрана pfSense. Syslog-заголовок этих событий не содержит имени хоста.

SailPoint IdentityIQ

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Sendmail

[OOTB] Sendmail syslog

Syslog

Предназначен для обработки событий Sendmail версии 8.15.2, поступающих по syslog.

SentinelOne

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Snort

[OOTB] Snort 3 json file

json

Предназначен для обработки cобытий Snort версии 3 в формате JSON.

Sonicwall TZ

[OOTB] Sonicwall TZ Firewall

Syslog

Предназначен для обработки событий, поступающих по Syslog от межсетевого экрана Sonicwall TZ.

Sophos XG

[OOTB] Sophos XG

regexp

Предназначен для обработки событий от межсетевого экрана Sophos XG.

Squid

[OOTB] Squid access Syslog

Syslog

Предназначен для обработки событий прокси-сервера Squid, поступающих по протоколу Syslog.

Squid

[OOTB] Squid access.log file

regexp

Предназначен для обработки событий журнала Squid прокси-сервера Squid. Источник событий — журналы access.log

S-Terra VPN Gate

[OOTB] S-Terra

Syslog

Предназначен для обработки событий от устройств S-Terra VPN Gate.

Suricata

[OOTB] Suricata json file

json

Пакет содержит нормализатор для событий Suricata версии 7.0.1, хранящихся в файле в формате JSON.

Нормализатор поддерживает обработку следующих типов событий: flow, anomaly, alert, dns, http, ssl, tls, ftp, ftp_data, ftp, smb, rdp, pgsql, modbus, quic, dhcp, bittorrent_dht, rfb.

ThreatConnect Threat Intelligence Platform

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

ThreatQuotient

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

TrapX DeceptionGrid

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Trend Micro Control Manager

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Trend Micro Deep Security

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Trend Micro NGFW

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Trustwave Application Security DbProtect

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Unbound

[OOTB] Unbound Syslog

Syslog

Предназначен для обработки событий, поступающих по Syslog от DNS-сервера Unbound.

UserGate

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF, поступающих от системы UserGate по Syslog.

Varonis DatAdvantage

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Veriato 360

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

VipNet TIAS

[OOTB] Vipnet TIAS syslog

Syslog

Предназначен для обработки событий системы VipNet TIAS версии 3.8, поступающих по Syslog.

VMware ESXi

[OOTB] VMware ESXi syslog

regexp

Предназначен для обработки событий VMware ESXi (поддержка ограниченного количества событий от ESXi с версиями 5.5, 6.0, 6.5, 7.0), поступающих по Syslog.

VMWare Horizon

[OOTB] VMWare Horizon - Syslog

Syslog

Предназначен для обработки событий, поступающих от системы VMWare Horizon версии 2106 по Syslog.

VMwareCarbon Black EDR

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Vormetric Data Security Manager

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Votiro Disarmer for Windows

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Wallix AdminBastion

[OOTB] Wallix AdminBastion syslog

regexp

Предназначен для событий, поступающих от системы Wallix AdminBastion по Syslog.

WatchGuard - Firebox

[OOTB] WatchGuard Firebox

Syslog

Предназначен для обработки событий межсетевых экранов WatchGuard Firebox, поступающих по Syslog.

Webroot BrightCloud

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Winchill Fracas

[OOTB] PTC Winchill Fracas

regexp

Предназначен для обработки событий системы регистрации сбоев Winchill Fracas.

Zabbix

[OOTB] Zabbix SQL

sql

Предназначен для обработки событий Zabbix версии 6.4.

ZEEK IDS

[OOTB] ZEEK IDS json file

json

Предназначен для обработки журналов системы ZEEK IDS в формате JSON. Нормализатор поддерживает события от ZEEK IDS версии 1.8.

Zettaset BDEncrypt

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Zscaler Nanolog Streaming Service (NSS)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

АйТи Бастион – СКДПУ

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF, поступающих от системы АйТи Бастион - СКДПУ по Syslog.

А-реал Интернет Контроль Сервер (ИКС)

[OOTB] A-real IKS syslog

regexp

Предназначен для обработки событий системы А-реал Интернет Контроль Сервер (ИКС), поступающих по Syslog. Нормализатор поддерживает события от A-real IKS версии 7.0 и выше.

Веб-сервер Apache

[OOTB] Apache HTTP Server file

regexp

Предназначен для обработки событий Apache HTTP Server версии 2.4, хранящихся в файле. Нормализатор поддерживает обработку событий журнала Application в форматах Common или Combined Log, и журнала Error.

Ожидаемый формат журнала Error:

"[%t] [%-m:%l] [pid %P:tid %T] [server\ %v] [client\ %a] %E: %M;\ referer\ %-{Referer}i"

Веб-сервер Apache

[OOTB] Apache HTTP Server syslog

Syslog

Предназначен для обработки событий системы Apache HTTP Server, поступающих по syslog. Нормализатор поддерживает обработку событий Apache HTTP Server версии 2.4 журнала Access в формате Common или Combined Log, и журнала Error.

Ожидаемый формат событий журнала Error:

"[%t] [%-m:%l] [pid %P:tid %T] [server\ %v] [client\ %a] %E: %M;\ referer\ %-{Referer}i"

Веб-сервер Lighttpd

[OOTB] Lighttpd syslog

Syslog

Предназначен для обработки событий Access системы Lighttpd, поступающих по syslog. Нормализатор поддерживает обработку событий Lighttpd версии 1.4.

Ожидаемый формат событий журнала Access:

$remote_addr $http_request_host_name $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent"

ИВК Кольчуга-К

[OOTB] Kolchuga-K Syslog

Syslog

Предназначен для обработки событий, поступающих от системы ИВК Кольчуга-К, версии ЛКНВ.466217.002 по Syslog.

ИнфоТеКС ViPNet IDS

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF, поступающих от системы ИнфоТеКС ViPNet IDS по Syslog.

ИнфоТеКС ViPNet Coordinator

[OOTB] VipNet Coordinator Syslog

Syslog

Предназначен для обработки событий от системы ViPNet Coordinator, поступающих по Syslog.

Код безопасности - Континент

[OOTB][regexp] Continent IPS/IDS & TLS

regexp

Предназначен для обработки журнала событий устройств Континент IPS/IDS.

Код безопасности - Континент

[OOTB] Continent SQL

sql

Предназначен для колучения событий системы Континент из базы данных.

Код Безопасности SecretNet 7

[OOTB] SecretNet SQL

sql

Предназначен для обработки событий, полученных коннектором из базы данных системы SecretNet.

Конфидент - Dallas Lock

[OOTB] Конфидент Dallas Lock

regexp

Предназначен для обработки событий, поступающих от системы защиты информации Dallas Lock версии 8.

КриптПро Ngate

[OOTB] Ngate Syslog

Syslog

Предназначен для обработки событий, поступающих от системы КриптПро Ngate по Syslog.

НТ Мониторинг и аналитика

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF, поступающих от системы НТ Мониторинг и аналитика по Syslog.

Прокси-сервер BlueCoat

[OOTB] BlueCoat Proxy v0.2

regexp

Предназначен для обработки событий прокси-сервера BlueCoat. Источник событий — журнал событий прокси-сервера BlueCoat.

СКДПУ НТ Шлюз доступа

[OOTB] Bastion SKDPU-GW 

Syslog

Предназначен для обработки событий системы СКДПУ НТ Шлюз доступа, поступающих по Syslog.

Солар Дозор

[OOTB] Solar Dozor Syslog

Syslog

Предназначен для обработки событий, поступающийх от системы Солар Дозор версии 7.9 по Syslog. Нормализатор поддерживает обработку событий в пользовательском формате и не поддерживает обработку событий в формате CEF.

-

[OOTB] Syslog header

Syslog

Предназначен для обработки событий, поступающих по Syslog. Нормализатор выполняет парсинг Syslog-заголовка события, поле message события не затрагивается. В случае необходимости вы можете выполнить парсинг поля message другими нормализаторами.

В начало
[Topic 255782]

Правила агрегации

Правила агрегации позволяют объединить однотипные повторяющиеся события и заменить их одним общим событием. Таким образом можно уменьшить количество схожих событий, передаваемых в хранилище и/или коррелятор, снизить нагрузку на сервисы, сэкономить место для хранения данных и сэкономить лицензионную квоту (EPS). Агрегационное событие создается по достижении порога по времени или порога по числу событий, смотря что произойдет раньше.

Для правил агрегации можно настроить фильтр и применять его только к событиям, которые соответствуют заданным условиям.

Можно настроить правила агрегации в разделе Ресурсы - Правила агрегации, а затем выбрать созданное правило агрегации в раскрывающемся списке в настройках коллектора. Также можно настроить правила агрегации прямо в настройках коллектора.

Доступные параметры правил агрегации

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Предел событий

Ограничение по количеству событий. После накопления заданного количества событий с идентичными полями коллектор создает агрегационное событие и начинает накопление событий для следующего агрегированного события. Значение по умолчанию: 100.

Время ожидания событий

Обязательный параметр.

Ограничение по времени в секундах. По истечении указанного срока накопление базовых событий прекращается, коллектор создает агрегированное событие и начинает сбор событий для следующего агрегированного события. Значение по умолчанию: 60.

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Группирующие поля

Обязательный параметр.

В раскрывающемся списке перечислены поля нормализованных событий, значения которых должны совпадать. Например, для сетевых событий это могут быть SourceAddress, DestinationAddress, DestinationPort. В итоговом агрегационном событии эти поля будут заполнены значениями базовых событий.

Уникальные поля

В раскрывающемся списке перечислены поля, спектр значений которых нужно сохранить в агрегированном событии. Например, если поле DestinationPort указать не в Группирующие поля, а в Уникальные поля, то агрегированное событие объединит базовые события подключения к разным портам, а поле DestinationPort агрегированного события будет содержать список всех портов, к которым выполнялись подключения.

Поля суммы

В раскрывающемся списке можно выбрать поля, значения которых при агрегации будут просуммированы и записаны в одноименные поля агрегированного события.

Фильтр

Блок параметров, в котором можно задать условия определения событий, которые будут обрабатываться этим ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Не используйте в правилах агрегации фильтры с операндом TI или операторами TIDetect, inActiveDirectoryGroup и hasVulnerability. Поля Active Directory, для которых используется оператор inActiveDirectoryGroup, появляются на этапе обогащения, то есть после выполнения правил агрегации.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В поставку KUMA включены перечисленные в таблице ниже правила агрегации.

Предустановленные правила агрегации

Название правила агрегации

Описание

[OOTB] Netflow 9

Правило сработает при достижении 100 событий или по истечении 10 секунд.

Агрегация событий выполняется по полям:

  • DestinationAddress
  • DestinationPort
  • SourceAddress
  • TransportProtocol
  • DeviceVendor
  • DeviceProduct

Поля DeviceCustomString1 и BytesIn суммируются.

В начало
[Topic 217722]

Правила обогащения

Обогащение событий – это дополнение событий информацией, которая может быть использована для выявления инцидента и при проведении расследования.

Правила обогащения позволяют добавлять в поля события дополнительную информацию путем преобразования данных, уже размещённых в полях, или с помощью запроса данных из внешних систем. Например, в событии есть имя учётной записи пользователя. С помощью правила обогащения вы можете добавить сведения об отделе, должности и руководителе этого пользователя в поля события.

Правила обогащения можно использовать в следующих сервисах и функциях KUMA:

Доступные параметры правил обогащения перечислены в таблице ниже.

Закладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Тип источника данных

Обязательный параметр.

Выпадающий список для выбора типа входящих событий. В зависимости от выбранного типа отображаются дополнительные параметры:

  • константа

    Этот тип обогащения используется, если в поле события необходимо добавить константу. Параметры этого типа обогащения:

    • В поле Константа укажите значение, которое следует добавить в поле события. Значение должно состоять не более чем из 255 символов в кодировке Unicode. Если оставить это поле пустым, существующее значение поля события будет удалено.
    • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.

     

  • словарь

    Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Словарь.

    При выборе этого типа в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.

  • таблица

    Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Таблица.

    При выборе этого типа обогащения в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.

    Также в таблице Сопоставление необходимо настроить, из каких полей словаря и в какие поля события будут передаваться данные:

    • В столбце Поле словаря необходимо выбрать поле словаря. Доступные поля зависят от выбранного ресурса словаря.
    • В столбце Поле KUMA необходимо выбрать поле события, в которое следует записать значение. Для некоторых выбранных полей (*custom* и *flex*) в столбце Подпись можно задать название для помещаемых в них данных.

    Новые строки в таблицу можно добавлять с помощью кнопки Добавить элемент. Столбцы можно удалить с помощью кнопки cross.

  • событие

    Этот тип обогащения используется, если в поле события необходимо записать значение другого поля события. Параметры этого типа обогащения:

    • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
    • В раскрывающемся списке Исходное поле выберите поле события, значение которого будет записано в целевое поле.
    • В блоке параметров Преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA. Тип преобразования можно выбрать в раскрывающемся списке. С помощью кнопок Добавить преобразование и Удалить можно добавить или удалить преобразование. Порядок преобразований имеет значение.

      Доступные преобразования

      Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

      Доступные преобразования:

      • lower – используется для перевода всех символов значения в нижний регистр
      • upper – используется для перевода всех символов значения в верхний регистр
      • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
      • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
      • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
        • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
        • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
      • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
      • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
      • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
      • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
        • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
        • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
      • Конвертация закодированных строк в текст:
        • decodeHexString – используется для конвертации HEX-строки в текст.
        • decodeBase64String – используется для конвертации Base64-строки в текст.
        • decodeBase64URLString – используется для конвертации Base64url-строки в текст.

        При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.

        При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, такая строка будет обрезана и не будет раскодирована.

        Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, такая строка будет обрезана до размера этого поля события.

  • шаблон

    Этот тип обогащения используется, если в поле события необходимо записать значение, полученное при обработке шаблонов Go. Параметры этого типа обогащения:

    • В поле Шаблон поместите шаблон Go.

      Имена полей событий передаются в формате {{.EventField}}, где EventField – это название поля события, значение которого должно быть передано в скрипт.

      Пример: Атака на {{.DestinationAddress}} со стороны {{.SourceAddress}}.

    • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
  • dns

    Этот тип обогащения используется для отправки запросов на DNS-сервер частной сети для преобразования IP-адресов в доменные имена или наоборот. Преобразование IP-адресов в DNS-имена происходит только для частных адресов: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 100.64.0.0/10.

    Доступные параметры:

    • URL – в этом поле можно указать URL DNS-сервера, которому вы хотите отправлять запросы. С помощью кнопки Добавить URL можно указать несколько URL.
    • Запросов в секунду – максимальное количество запросов к серверу в секунду. Значение по умолчанию: 1000.
    • Рабочие процессы – максимальное количество запросов в один момент времени. Значение по умолчанию: 1.
    • Количество задач – максимальное количество одновременно выполняемых запросов. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
    • Срок жизни кеша – время жизни значений, хранящихся в кеше. Значение по умолчанию: 60.
    • Кеш отключен – с помощью этого раскрывающегося списка можно включить или отключить кеширование. По умолчанию кеширование включено.
  • cybertrace

    Этот тип обогащения используется для добавления в поля события сведений из потоков данных CyberTrace.

    Доступные параметры:

    • URL (обязательно) – в этом поле можно указать URL сервера CyberTrace, которому вы хотите отправлять запросы.
    • Количество подключений – максимальное количество подключений к серверу CyberTrace, которые может одновременно установить KUMA. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
    • Запросов в секунду – максимальное количество запросов к серверу в секунду. Значение по умолчанию: 1000.
    • Время ожидания – время ожидания отклика от сервера CyberTrace в секундах. Значение по умолчанию: 30.
    • Сопоставление (обязательно) – этот блок параметров содержит таблицу сопоставления полей событий KUMA с типами индикаторов CyberTrace. В столбце Поле KUMA указаны названия полей событий KUMA, а в столбце Индикатор CyberTrace указаны типы индикаторов CyberTrace.

      Доступные типы индикаторов CyberTrace:

      • ip
      • url
      • hash

      В таблице сопоставления требуется указать как минимум одну строку. С помощью кнопки Добавить строку можно добавить строку, а с помощью кнопки cross – удалить.

  • часовой пояс

    Этот тип обогащения используется в коллекторах и корреляторах для присваивания событию определенного часового пояса. Сведения о часовом поясе могут пригодиться при поиске событий, случившихся в нетипичное время, например ночью.

    При выборе этого типа обогащения в раскрывающемся списке Часовой пояс необходимо выбрать требуемую временную зону.

    Убедитесь, что требуемый часовой пояс установлен на сервере сервиса, использующего обогащение. Например, это можно сделать с помощью команды timedatectl list-timezones, которая показывает все установленные на сервере часовые пояса. Подробнее об установке часовых поясов смотрите в документации используемой вами операционной системы.

    При обогащении события в поле события DeviceTimeZone записывается смещение времени выбранного часового пояса относительно всемирного координированного времени (UTC) в формате +-чч:мм. Например, если выбрать временную зону Asia/Yekaterinburg в поле DeviceTimeZone будет записано значение +05:00. Если в обогащаемом событии есть значение поля DeviceTimeZone, оно будет перезаписано.

    По умолчанию, если в обрабатываемом событии не указан часовой пояс и не настроены правила обогащения по часовому поясу, событию присваивается часовой пояс сервера, на котором установлен сервис (коллектор или коррелятор), обрабатывающий событие. При изменении времени сервера сервис необходимо перезапустить.

    Допустимые форматы времени при обогащении поля DeviceTimeZone

    При обработке в коллекторе поступающих "сырых" событий следующие форматы времени могут быть автоматически приведены к формату +-чч:мм:

    Формат времени в обрабатываемом событии

    Пример

    +-чч:мм

    -07:00

    +-ччмм

    -0700

    +-чч

    -07

    Если формат даты в поле DeviceTimeZone отличается от указанных выше, при обогащении события сведениями о часовом поясе в поле записывается часовой пояс серверного времени коллектора. Вы можете создать особые правила нормализации для нестандартных форматов времени.

  • геоданные

    Этот тип обогащения используется для добавления в поля событий сведений о географическом расположении IP-адресов. Подробнее о привязке IP-адресов к географическим данным.

    При выборе этого типа в блоке параметров Сопоставление геоданных с полями события необходимо указать, из какого поля события будет считан IP-адрес, а также выбрать требуемые атрибуты геоданных и определить поля событий, в которые геоданные будут записаны:

    1. В раскрывающемся списке Поле события с IP-адресом выберите поле события, из которого считывается IP-адрес. По этому IP-адресу будет произведен поиск соответствий по загруженным в KUMA геоданным.

      С помощью кнопки Добавить поле события с IP-адресом можно указать несколько полей события с IP-адресами, по которым требуется обогащение геоданными. Удалить добавленные таким образом поля событий можно с помощью кнопки Удалить поле события с IP-адресом.

      При выборе полей события SourceAddress, DestinationAddress и DeviceAddress становится доступна кнопка Применить сопоставление по умолчанию. С ее помощью можно добавить преднастроенные пары соответствий атрибутов геоданных и полей события.

    2. Для каждого поля события, откуда требуется считать IP-адрес, выберите тип геоданных и поле события, в которое следует записать геоданные.

      С помощью кнопки Добавить атрибут геоданных вы можете добавить пары полей Атрибут геоданныхПоле события для записи. Так вы можете настроить запись разных типов геоданных одного IP-адреса в разные поля события. Пары полей можно удалить с помощью значка cross-red.

      • В поле Атрибут геоданных выберите, какие географические сведения, соответствующие считанному IP-адресу, необходимо записать в событие. Доступные атрибуты геоданных: Страна, Регион, Город, Долгота, Широта.
      • В поле Поле события для записи выберите поле события, в которое необходимо записать выбранный атрибут геоданных.

      Вы можете записать одинаковые атрибуты геоданных в разные поля событий. Если вы настроите запись нескольких атрибутов геоданных в одно поле события, событие будет обогащено последним по очереди сопоставлением.

     

     

Отладка

Раскрывающийся список, в котором можно включить логирование операций сервиса. По умолчанию логирование выключено.

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Фильтр

Блок параметров, в котором можно задать условия определения событий, которые будут обрабатываться этим ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

Предустановленные правила обогащения

В поставку KUMA включены перечисленные в таблице ниже правила обогащения.

Предустановленные правила обогащения

Название правила обогащения

Описание

[OOTB] KATA alert

Используется для обогащения событий, поступивших от KATA в виде гиперссылки на алерт.

Гиперссылка размещается в поле DeviceExternalId.

В начало
[Topic 217863]

Правила корреляции

Правила корреляции используются для распознавания определенных последовательностей обрабатываемых событий и выполнения определенных действий после распознавания: например, создание корреляционных событий или алертов, взаимодействие с активным листом.

Правила корреляции можно использовать в следующих сервисах и функциях KUMA:

Доступные параметры правила корреляции зависят от выбранного типа. Типы правил корреляции:

  • standard – используется для поиска корреляций между несколькими событиями. Правила этого типа могут создавать корреляционные события.

    Этот тип правил используется для определения сложных закономерностей в последовательности событий. Для более простых комбинаций следует использовать другие типы правил корреляции, которые требуют меньше ресурсов.

  • simple – используется для создания корреляционных событий при обнаружении определенного события.
  • operational – используется для операций с активными листами. Этот тип правил не может создавать корреляционные события.

Для этих ресурсов в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов.

Если правило корреляции используется в корреляторе и по нему был создан алерт, то при изменении правила корреляции существующий алерт не будет изменен, даже если перезапустить сервис коррелятора. Например, если у правила корреляции было изменено название, название алерта останется прежним. Если существующий алерт закрыть, то новый алерт будет создан уже с учетом изменений правила корреляции.

В этом разделе

Правила корреляции типа standard

Правила корреляции типа simple

Правила корреляции типа operational

Переменные в корреляторах

Предустановленные правила корреляции

В начало
[Topic 217783]

Правила корреляции типа standard

Правила корреляции типа standard используются для определения сложных закономерностей в обрабатываемых событиях.

Поиск закономерностей происходит с помощью контейнеров

Контейнеры правила корреляции – это временные хранилища данных, которые используются ресурсами правила корреляции при определении необходимости создания корреляционных событий. Эти контейнеры выполняет следующие функции:

  • Группируют события, которые были отобраны фильтрами в группе настроек Селекторы ресурса правила корреляции. События группируются по полям, которые указываются пользователем в поле Группирующие поля.
  • Определяют момент, когда должно сработать правило корреляции, меняя соответствующим образом события, сгруппированные в контейнере.
  • Выполняют действия, указанные в группе настроек Действия.
  • Создают корреляционные события.

Доступные состояния контейнера:

  • Пусто – в контейнере нет событий. Это может произойти только в момент своего создания при срабатывании правила корреляции.
  • Частичное совпадение – в контейнере есть некоторые из ожидаемых событий (события восстановления не учитываются).
  • Полное совпадение – в корзине есть все ожидаемые события (события восстановления не учитываются). При достижении этого состояния:
    • Срабатывает правило корреляции
    • События удаляются из контейнера
    • Счетчик срабатываний контейнера обновляется
    • Контейнера переводится в состояние Пусто
  • Ложное совпадение – такое состояние контейнера возможно в следующих случаях:
    • когда было достигнуто состояние Полное совпадение, но объединяющий фильтр возвратил значение false.
    • когда при установленном флажке Обнуление были получены события восстановления.

    Когда это условие достигается, правило корреляции не срабатывает. События удаляются из контейнера, счетчик срабатываний обновляется, контейнер переводится в состояния Пусто.

Окно правила корреляции содержит следующие закладки параметров:

  • Общие – используется для указания основных параметров правила корреляции. На этой закладке можно выбрать тип правила корреляции.
  • Селекторы – используется для определения условий, которым должны удовлетворять обрабатываемые события для срабатывания правила корреляции. Доступные параметры зависят от выбранного типа правил.
  • Действия – используется для установки триггеров, срабатывающих при выполнении условий, заданных в группе настроек Селекторы. У ресурса правила корреляции должен быть хотя бы один триггер. Доступные параметры зависят от выбранного типа правил.

Закладка Общие

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – тенант, которому принадлежит правило корреляции.
  • Тип (обязательно) – раскрывающийся список для выбора типа правила корреляции. Выберите standard, если хотите создать правило корреляции типа standard.
  • Группирующие поля (обязательно) – поля событий, которые должны быть сгруппированы в контейнере. Хеш-код значений выбранных полей используется в качестве ключа контейнера. Если срабатывает селектор (см. ниже), отобранные поля копируются в корреляционное событие.

    Если в разных селекторах корреляционного правила используются поля, которые имеют разные значения в событиях, эти поля не нужно указывать в разделе Группирующие поля.

  • Уникальные поля – поля событий, которые должны быть отправлены в контейнер. Если задан этот параметр, в контейнер будут отправляться только уникальные поля. Хеш-код значений отобранных полей используется в качестве ключа контейнера.

    Вы можете использовать локальные переменные в разделах Группирующие поля и Уникальные поля. Для обращения к переменной необходимо перед ее именем указать символ "$".
    Для ознакомления с примерами использования локальных переменных в этих разделах используйте правило, поставляемое с KUMA: R403_Обращение на вредоносные ресурсы с хоста с отключенной защитой или устаревшей антивирусной базой.

  • Частота срабатываний – максимальное количество срабатываний правила корреляции в секунду. Значение по умолчанию: 100.

    Если правила корреляции, в которых реализована сложная логика обнаружения закономерностей, не срабатывают, причиной могут быть особенности подсчета срабатываний правила в KUMA. Попробуйте увеличить значение Частота срабатываний, например, до 1000000.

  • Время жизни контейнера, сек. (обязательно) – время жизни контейнера в секундах. Значение по умолчанию: 86400 секунд (24 часа). Этот таймер запускается при создании контейнера (когда он получает первое событие). Время жизни не обновляется, и когда оно истекает, срабатывает триггер По истечении времени жизни контейнера из группы настроек Действия, а контейнер удаляется. Триггеры На каждом срабатывании правила и На последующих срабатываниях правила могут срабатывать более одного раза в течение времени жизни контейнера.
  • Политика хранения базовых событий – этот раскрывающийся список используется, чтобы определить, какие базовые события должны быть сохранены в корреляционном событии:
    • first (значение по умолчанию) – поместить в корреляционное событие первое базовое событие из коллекции событий, инициировавшей создание корреляционного события.
    • last – поместить в корреляционное событие последнее базовое событие из коллекции событий, инициировавшей создание корреляционного события.
    • all – поместить в корреляционное событие все базовые события из коллекции событий, инициировавшей создание корреляционного события.
  • Уровень важности – базовый коэффициент, используемый для определения уровня важности правила корреляции. Значение по умолчанию: Низкий.
  • Сортировать по – в этом раскрывающемся списке можно выбрать поле события, по которому селекторы правила корреляции будут отслеживать изменение ситуации. Это может пригодиться, если, например, вы захотите настроить правило корреляции на срабатывание при последовательном возникновении нескольких типов событий.
  • Описание – описание ресурса. До 4000 символов в кодировке Unicode.

Закладка Селекторы

В правиле типа standard может быть несколько селекторов. Селекторы можно добавлять с помощью кнопки Добавить селектор и удалять с помощью кнопки Удалить селектор. Селекторы можно перемещать с помощью кнопки DragIcon.

Последовательность условий, заданных в селекторе корреляционного правила, имеет значение и влияет на производительность системы. Мы рекомендуем на первое место в селекторе ставить наиболее уникальный критерий отбора.

Рассмотрим два примера селекторов, осуществляющих выборку событий успешной аутентификации в Microsoft Windows.

Селектор 1:

Условие 1. DeviceProduct = Microsoft Windows

Условие 2. DeviceEventClassID =  4624

Селектор 2:

Условие 1. DeviceEventClassID = 4624

Условие 2.  DeviceProduct = Microsoft Windows

Последовательность условий, заданная в Селекторе 2, более предпочтительна, поскольку оказывает меньшую нагрузку на систему.

В селекторе корреляционного правила могут быть использованы регулярные выражения, соответствующие стандарту RE2.

Применение регулярных выражений в корреляционных правилах создаёт большую нагрузку в сравнении с другими операциями. Поэтому при разработке корреляционных правил мы рекомендуем ограничить использование регулярных выражений до необходимого минимума и применять другие доступные операции.

Для использования регулярного выражения необходимо применить оператор сравнения match. Регулярное выражение должно быть размещено в константе. Применение capture-групп в регулярных выражениях не обязательно. Для срабатывания корреляционного правила текст поля, сопоставляемый с regexp, должен полностью совпасть с регулярным выражением.

Для ознакомления с синтаксисом и примерами корреляционных правил, в селекторах которых есть регулярные выражения, используйте следующие правила, поставляемые с KUMA:

  • R105_04_Подозрительные PowerShell команды. Подозрение на обфускацию.
  • R333_Подозрительное создание файлов в директории автозапуска.

Для каждого селектора доступны две закладки Параметры и Локальные переменные.

Закладка Параметры содержит следующие параметры:

  • Название (обязательно) – уникальное имя группы событий, удовлетворяющих условиям селектора. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Порог срабатывания селектора (количество событий) (обязательно) – количество событий, которое необходимо получить для срабатывания селектора.
  • Фильтр (обязательно) – используется для установки критериев определения событий, из-за которых будет срабатывать селектор. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

    Создание фильтра в ресурсах

    1. В раскрывающемся списке Фильтр выберите Создать.
    2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

      В этом случае вы сможете использовать созданный фильтр в разных сервисах.

      По умолчанию флажок снят.

    3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
    4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
      1. Нажмите на кнопку Добавить условие.
      2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

        В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

      3. В раскрывающемся списке оператор выберите нужный вам оператор.

        Операторы фильтров

        • = – левый операнд равен правому операнду.
        • < – левый операнд меньше правого операнда.
        • <= – левый операнд меньше или равен правому операнду.
        • > – левый операнд больше правого операнда.
        • >= – левый операнд больше или равен правому операнду.
        • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
        • contains – левый операнд содержит значения правого операнда.
        • startsWith – левый операнд начинается с одного из значений правого операнда.
        • endsWith – левый операнд заканчивается одним из значений правого операнда.
        • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
        • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

          Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

          Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

        • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

          Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

        • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
        • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
        • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
        • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
        • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
        • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

        Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

        По умолчанию флажок снят.

      5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
      6. Вы можете добавить несколько условий или группу условий.
    5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
    6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

      Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

    Фильтрация по данным из поля события Extra

    Условия для фильтров по данным из поля события Extra:

    • Условие – Если.
    • Левый операнд – поле события.
    • В поле события вы можете указать одно из следующих значений:
      • Поле Extra.
      • Значение из поля Extra в следующем формате:

        Extra.<название поля>

        Например, Extra.app.

        Значение этого типа указывается вручную.

      • Значение из массива, записанного в поле Extra, в следующем формате:

        Extra.<название поля>.<элемент массива>

        Например, Extra.array.0.

        Нумерация значений в массиве начинается с 0.

        Значение этого типа указывается вручную.

        Чтобы работать со значением из поля Extra на глубине 3 и ниже, следует использовать кавычки ``. Например, `Extra.lev1.lev2.lev3`.

    • Оператор – =.
    • Правый операнд – константа.
    • Значение – значение, по которому требуется фильтровать события.
  • Обнуление – этот флажок должен быть установлен, если правило корреляции НЕ должно срабатывать при получении селектором определенного количества событий. По умолчанию этот флажок снят.

На закладке Локальные переменные с помощью кнопки Добавить переменную можно объявлять переменные, которые будут действовать в пределах этого правила корреляции.

Закладка Действия

В правиле типа standard может быть несколько триггеров.

  • На первом срабатывании правила – этот триггер срабатывает, когда контейнер регистрирует первое в течение срока своей жизни срабатывание селектора.
  • На последующих срабатываниях правила – этот триггер срабатывает, когда контейнер регистрирует в течение срока своей жизни второе и последующие срабатывания селектора.
  • На каждом срабатывании правила – этот триггер срабатывает каждый раз, когда контейнер регистрирует срабатывание селектора.
  • По истечении времени жизни контейнера – этот триггер срабатывает по истечении времени жизни контейнера и используется в связке с селектором с установленным флажком Обнуление. То есть триггер срабатывает, если в течение заданного времени ситуация, обнаруженная правилом корреляции, не разрешается.

Каждый триггер представлен в виде группы настроек со следующими доступными параметрами:

  • Отправить событие на дальнейшую обработку – если этот флажок установлен, корреляционное событие будет отправлено на пост-обработку: на внешнее обогащение вне корреляционного правила, для реагирования и в точки назначения.
  • Отправить событие снова в коррелятор – если этот флажок установлен, созданное корреляционное событие будет обрабатываться цепочкой правил текущего коррелятора. Это позволяет достичь иерархической корреляции.

    Если установлены оба флажка, правило корреляции будет отправлено сначала на пост-обработку, а затем в селекторы текущего правила корреляции.

  • Не создавать алерт – если этот флажок установлен, алерт не будет создаваться при срабатывании этого правила корреляции.
  • Группа параметров Обновление активных листов – используется для назначения триггера на одну или несколько операций с активными листами. С помощью кнопок Добавить действие с активным листом и Удалить действие с активным листом можно добавлять и удалять операции с активными листами.

    Доступные параметры:

    • Название (обязательно) – этот раскрывающийся список используется для выбора ресурсов активного листа.
    • Операция (обязательно) – этот раскрывающийся список используется для выбора операции, которую необходимо выполнить:
      • Получить – получить запись активного листа и записать значения указанных полей в корреляционное событие.
      • Установить – записать значения указанных полей корреляционного события в активный лист, создав новую или обновив существующую запись активного листа. При обновлении записи активного листа данные объединяются, и только указанные поля перезаписываются.
      • Удалить – удалить запись из активного листа.
    • Ключевые поля (обязательно) – это список полей события, используемых для создания записи активного листа. Этот список также используется в качестве ключа записи активного листа.

      Ключ записи активного листа зависит только от состава полей и не зависит от порядка их отображения в веб-интерфейсе KUMA.

    • Сопоставление (требуется для операций Получить и Установить) – используется для сопоставления полей активного листа с полями событий. Можно установить более одного правила сопоставления.
      • Левое поле используется для указания поля активного листа.

        Поле не должно содержать специальные символы или только цифры.

      • Средний раскрывающийся список используется для выбора полей событий.
      • Правое поле можно использовать для назначения константы полю активного листа, если была выбрана операция Установить.
  • Группа параметров Обогащение – вы можете менять значения полей корреляционных событий, используя правила обогащения. Эти правила обогащения хранятся в правиле корреляции, в котором они были созданы. Можно создать несколько правил обогащения. Правила обогащения можно добавлять или удалять с помощью кнопок Добавить обогащение и Удалить обогащение.
    • Тип источника – в этом раскрывающемся списке можно выбрать тип обогащения. В зависимости от выбранного типа отобразятся дополнительные параметры, которые также потребуется заполнить.

      Доступные типы обогащения:

      • константа

        Этот тип обогащения используется, если в поле события необходимо добавить константу. Параметры этого типа обогащения:

        • В поле Константа укажите значение, которое следует добавить в поле события. Значение должно состоять не более чем из 255 символов в кодировке Unicode. Если оставить это поле пустым, существующее значение поля события будет удалено.
        • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.

      • словарь

        Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Словарь.

        При выборе этого типа в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.

      • таблица

        Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Таблица.

        При выборе этого типа обогащения в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.

        Также в таблице Сопоставление необходимо настроить, из каких полей словаря и в какие поля события будут передаваться данные:

        • В столбце Поле словаря необходимо выбрать поле словаря. Доступные поля зависят от выбранного ресурса словаря.
        • В столбце Поле KUMA необходимо выбрать поле события, в которое следует записать значение. Для некоторых выбранных полей (*custom* и *flex*) в столбце Подпись можно задать название для помещаемых в них данных.

        Новые строки в таблицу можно добавлять с помощью кнопки Добавить элемент. Столбцы можно удалить с помощью кнопки cross.

      • событие

        Этот тип обогащения используется, если в поле события необходимо записать значение другого поля события. Параметры этого типа обогащения:

        • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
        • В раскрывающемся списке Исходное поле выберите поле события, значение которого будет записано в целевое поле.
        • Если нажать на кнопку wrench-new, откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA.

          Доступные преобразования

          Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

          Доступные преобразования:

          • lower – используется для перевода всех символов значения в нижний регистр
          • upper – используется для перевода всех символов значения в верхний регистр
          • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
          • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
          • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
            • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
            • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
          • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
          • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
          • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
          • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
            • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
            • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
          • Конвертация закодированных строк в текст:
            • decodeHexString – используется для конвертации HEX-строки в текст.
            • decodeBase64String – используется для конвертации Base64-строки в текст.
            • decodeBase64URLString – используется для конвертации Base64url-строки в текст.

            При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.

            При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, такая строка будет обрезана и не будет раскодирована.

            Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, такая строка будет обрезана до размера этого поля события.

      • шаблон

        Этот тип обогащения используется, если в поле события необходимо записать значение, полученное при обработке шаблонов Go. Параметры этого типа обогащения:

        • В поле Шаблон поместите шаблон Go.

          Имена полей событий передаются в формате {{.EventField}}, где EventField – это название поля события, значение которого должно быть передано в скрипт.

          Пример: Атака на {{.DestinationAddress}} со стороны {{.SourceAddress}}.

        • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
    • Отладка – с помощью этого раскрывающегося списка можно включить логирование операций сервиса.
    • Описание – описание ресурса. До 4000 символов в кодировке Unicode.
  • Группа параметров Изменение категорий – используется для изменения категорий активов, указанных в событии. Правил категоризации может быть несколько: их можно добавить или удалить с помощью кнопок Добавить категоризацию или Удалить категоризацию. Активам можно добавлять или удалять только реактивные категории.
    • Действие – этот раскрывающийся список используется для выбора операции над категорией:
      • Добавить – присвоить категорию активу.
      • Удалить – отвязать актив от категории.
    • Поле события – поле события, в котором указан актив, над которым будет совершена операция.
    • Идентификатор категории – с помощью кнопки parent-category можно выбрать категорию, над которой будет совершена операция. При нажатии на нее открывается окно Выбор категорий, где отображается дерево категорий. Можно выбрать только категорию со способом наполнения Реактивно.
В начало
[Topic 221197]

Правила корреляции типа simple

Правила корреляции типа simple используются для определения простых последовательностей событий.

Окно правила корреляции содержит следующие закладки параметров:

  • Общие – используется для указания основных параметров правила корреляции. На этой закладке можно выбрать тип правила корреляции.
  • Селекторы – используется для определения условий, которым должны удовлетворять обрабатываемые события для срабатывания правила корреляции. Доступные параметры зависят от выбранного типа правила.
  • Действия – используется для установки триггеров, срабатывающих при выполнении условий, заданных в группе настроек Селекторы. У правила корреляции должен быть хотя бы один триггер. Доступные параметры зависят от выбранного типа правил.

Закладка Общие

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – тенант, которому принадлежит правило корреляции.
  • Тип (обязательно) – раскрывающийся список для выбора типа правила корреляции. Выберите simple, если хотите создать правило корреляции типа simple.
  • Наследуемые поля (обязательно) – поля событий, по которым отбираются события. При срабатывания селектора (см. ниже) эти поля будут записаны в корреляционное событие.
  • Частота срабатываний – максимальное количество срабатываний правила корреляции в секунду. Значение по умолчанию: 100.

    Если правила корреляции, в которых реализована сложная логика обнаружения закономерностей, не срабатывают, причиной могут быть особенности подсчета срабатываний правила в KUMA. Попробуйте увеличить значение Частота срабатываний, например, до 1000000.

  • Уровень важности – базовый коэффициент, используемый для определения уровня важности правила корреляции. Значение по умолчанию: Низкий.
  • Описание – описание ресурса. До 4000 символов в кодировке Unicode.

Закладка Селекторы

В правиле типа simple может быть только один селектор, для которого доступны закладки Параметры и Локальные переменные.

Закладка Параметры содержит параметры с блоком параметров Фильтр:

  • Фильтр (обязательно) – используется для установки критериев определения событий, из-за которых будет срабатывать селектор. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

    Создание фильтра в ресурсах

    1. В раскрывающемся списке Фильтр выберите Создать.
    2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

      В этом случае вы сможете использовать созданный фильтр в разных сервисах.

      По умолчанию флажок снят.

    3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
    4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
      1. Нажмите на кнопку Добавить условие.
      2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

        В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

      3. В раскрывающемся списке оператор выберите нужный вам оператор.

        Операторы фильтров

        • = – левый операнд равен правому операнду.
        • < – левый операнд меньше правого операнда.
        • <= – левый операнд меньше или равен правому операнду.
        • > – левый операнд больше правого операнда.
        • >= – левый операнд больше или равен правому операнду.
        • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
        • contains – левый операнд содержит значения правого операнда.
        • startsWith – левый операнд начинается с одного из значений правого операнда.
        • endsWith – левый операнд заканчивается одним из значений правого операнда.
        • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
        • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

          Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

          Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

        • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

          Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

        • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
        • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
        • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
        • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
        • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
        • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

        Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

        По умолчанию флажок снят.

      5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
      6. Вы можете добавить несколько условий или группу условий.
    5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
    6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

      Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

    Фильтрация по данным из поля события Extra

    Условия для фильтров по данным из поля события Extra:

    • Условие – Если.
    • Левый операнд – поле события.
    • В поле события вы можете указать одно из следующих значений:
      • Поле Extra.
      • Значение из поля Extra в следующем формате:

        Extra.<название поля>

        Например, Extra.app.

        Значение этого типа указывается вручную.

      • Значение из массива, записанного в поле Extra, в следующем формате:

        Extra.<название поля>.<элемент массива>

        Например, Extra.array.0.

        Нумерация значений в массиве начинается с 0.

        Значение этого типа указывается вручную.

        Чтобы работать со значением из поля Extra на глубине 3 и ниже, следует использовать кавычки ``. Например, `Extra.lev1.lev2.lev3`.

    • Оператор – =.
    • Правый операнд – константа.
    • Значение – значение, по которому требуется фильтровать события.

На закладке Локальные переменные с помощью кнопки Добавить переменную можно объявлять переменные, которые будут действовать в пределах этого правила корреляции.

Последовательность условий, заданных в селекторе корреляционного правила, имеет значение и влияет на производительность системы. Мы рекомендуем на первое место в селекторе ставить наиболее уникальный критерий отбора.

Рассмотрим два примера селекторов, осуществляющих выборку событий успешной аутентификации в Microsoft Windows.

Селектор 1:

Условие 1. DeviceProduct = Microsoft Windows

Условие 2. DeviceEventClassID =  4624

Селектор 2:

Условие 1. DeviceEventClassID = 4624

Условие 2.  DeviceProduct = Microsoft Windows

Последовательность условий, заданная в Селекторе 2, более предпочтительна, поскольку оказывает меньшую нагрузку на систему.

Закладка Действия

В правиле типа simple может быть только один триггер: На каждом событии. Он активируется каждый раз, когда срабатывает селектор.

Доступные параметры триггера:

  • Отправить событие на дальнейшую обработку – если этот флажок установлен, корреляционное событие будет отправлено на пост-обработку: на обогащение, для реагирования и в точки назначения.
  • Отправить событие снова в коррелятор – если этот флажок установлен, созданное корреляционное событие будет обрабатываться текущим правилом корреляции. Это позволяет достичь иерархической корреляции.

    Если установлены оба флажка, правило корреляции будет отправлено сначала на пост-обработку, а затем в селекторы текущего правила корреляции.

  • Не создавать алерт – если этот флажок установлен, алерт не будет создаваться при срабатывании этого правила корреляции.
  • Группа параметров Обновление активных листов – используется для назначения триггера на одну или несколько операций с активными листами. С помощью кнопок Добавить действие с активным листом и Удалить действие с активным листом можно добавлять и удалять операции с активными листами.

    Доступные параметры:

    • Название (обязательно) – этот раскрывающийся список используется для выбора активного листа.
    • Операция (обязательно) – этот раскрывающийся список используется для выбора операции, которую необходимо выполнить:
      • Получить – получить запись активного листа и записать значения указанных полей в корреляционное событие.
      • Установить – записать значения указанных полей корреляционного события в активный лист, создав новую или обновив существующую запись активного листа. При обновлении записи активного листа данные объединяются, и только указанные поля перезаписываются.
      • Удалить – удалить запись из активного листа.
    • Ключевые поля (обязательно) – это список полей события, используемые для создания записи активного листа. Этот список также используется в качестве ключа записи активного листа.

      Ключ записи активного листа зависит только от состава полей и не зависит от порядка их отображения в веб-интерфейсе KUMA.

    • Сопоставление (требуется для операций Получить и Установить) – используется для сопоставления полей активного листа с полями событий. Можно установить более одного правила сопоставления.
      • Левое поле используется для указания поля активного листа.

        Поле не должно содержать специальные символы или только цифры.

      • Средний раскрывающийся список используется для выбора полей событий.
      • Правое поле можно использовать для назначения константы полю активного листа, если была выбрана операция Установить.
  • Группа параметров Обогащение – вы можете менять значения полей корреляционных событий, используя правила обогащения. Эти правила обогащения хранятся в правиле корреляции, в котором они были созданы. Можно создать несколько правил обогащения. Правила обогащения можно добавлять или удалять с помощью кнопок Добавить обогащение и Удалить обогащение.
    • Тип источника – в этом раскрывающемся списке можно выбрать тип обогащения. В зависимости от выбранного типа отобразятся дополнительные параметры, которые также потребуется заполнить.

      Доступные типы обогащения:

      • константа

        Этот тип обогащения используется, если в поле события необходимо добавить константу. Параметры этого типа обогащения:

        • В поле Константа укажите значение, которое следует добавить в поле события. Значение должно состоять не более чем из 255 символов в кодировке Unicode. Если оставить это поле пустым, существующее значение поля события будет удалено.
        • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.

      • словарь

        Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Словарь.

        При выборе этого типа в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.

      • таблица

        Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Таблица.

        При выборе этого типа обогащения в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.

        Также в таблице Сопоставление необходимо настроить, из каких полей словаря и в какие поля события будут передаваться данные:

        • В столбце Поле словаря необходимо выбрать поле словаря. Доступные поля зависят от выбранного ресурса словаря.
        • В столбце Поле KUMA необходимо выбрать поле события, в которое следует записать значение. Для некоторых выбранных полей (*custom* и *flex*) в столбце Подпись можно задать название для помещаемых в них данных.

        Новые строки в таблицу можно добавлять с помощью кнопки Добавить элемент. Столбцы можно удалить с помощью кнопки cross.

      • событие

        Этот тип обогащения используется, если в поле события необходимо записать значение другого поля события. Параметры этого типа обогащения:

        • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
        • В раскрывающемся списке Исходное поле выберите поле события, значение которого будет записано в целевое поле.
        • Если нажать на кнопку wrench-new, откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA.

          Доступные преобразования

          Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

          Доступные преобразования:

          • lower – используется для перевода всех символов значения в нижний регистр
          • upper – используется для перевода всех символов значения в верхний регистр
          • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
          • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
          • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
            • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
            • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
          • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
          • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
          • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
          • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
            • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
            • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
          • Конвертация закодированных строк в текст:
            • decodeHexString – используется для конвертации HEX-строки в текст.
            • decodeBase64String – используется для конвертации Base64-строки в текст.
            • decodeBase64URLString – используется для конвертации Base64url-строки в текст.

            При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.

            При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, такая строка будет обрезана и не будет раскодирована.

            Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, такая строка будет обрезана до размера этого поля события.

      • шаблон

        Этот тип обогащения используется, если в поле события необходимо записать значение, полученное при обработке шаблонов Go. Параметры этого типа обогащения:

        • В поле Шаблон поместите шаблон Go.

          Имена полей событий передаются в формате {{.EventField}}, где EventField – это название поля события, значение которого должно быть передано в скрипт.

          Пример: Атака на {{.DestinationAddress}} со стороны {{.SourceAddress}}.

        • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
    • Отладка – с помощью этого раскрывающегося списка можно включить логирование операций сервиса.
    • Описание – описание ресурса. До 4000 символов в кодировке Unicode.
    • Блок параметров Фильтр – позволяет выбрать, какие события будут отправляться на обогащение. Настройка происходит, как описано выше.
  • Группа параметров Изменение категорий – используется для изменения категорий активов, указанных в событии. Правил категоризации может быть несколько: их можно добавить или удалить с помощью кнопок Добавить категоризацию или Удалить категоризацию. Активам можно добавлять или удалять только реактивные категории.
    • Действие – этот раскрывающийся список используется для выбора операции над категорией:
      • Добавить – присвоить категорию активу.
      • Удалить – отвязать актив от категории.
    • Поле события – поле события, в котором указан актив, над которым будет совершена операция.
    • Идентификатор категории – с помощью кнопки parent-category можно выбрать категорию, над которой будет совершена операция. При нажатии на нее открывается окно Выбор категорий, где отображается дерево категорий.

В начало
[Topic 221199]

Правила корреляции типа operational

Правила корреляции типа operational используются для работы с активными листами.

Окно правила корреляции содержит следующие закладки:

  • Общие – используется для указания основных параметров правила корреляции. На этой закладке можно выбрать тип правила корреляции.
  • Селекторы – используется для определения условий, которым должны удовлетворять обрабатываемые события для срабатывания правила корреляции. Доступные параметры зависят от выбранного типа правил.
  • Действия – используется для установки триггеров, срабатывающих при выполнении условий, заданных в группе настроек Селекторы. У правила корреляции должен быть хотя бы один триггер. Доступные параметры зависят от выбранного типа правил.

Закладка Общие

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – тенант, которому принадлежит правило корреляции.
  • Тип (обязательно) – раскрывающийся список для выбора типа правила корреляции. Выберите operational, если хотите создать правило корреляции типа operational.
  • Частота срабатываний – максимальное количество срабатываний правила корреляции в секунду. Значение по умолчанию: 100.

    Если правила корреляции, в которых реализована сложная логика обнаружения закономерностей, не срабатывают, причиной могут быть особенности подсчета срабатываний правила в KUMA. Попробуйте увеличить значение Частота срабатываний, например, до 1000000.

  • Описание – описание ресурса. До 4000 символов в кодировке Unicode.

Закладка Селекторы

В правиле типа operational может быть только один селектор, для которого доступны закладки Параметры и Локальные переменные.

Закладка Параметры содержит параметры с блоком параметров Фильтр:

  • Фильтр (обязательно) – используется для установки критериев определения событий, из-за которых будет срабатывать селектор. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

    Создание фильтра в ресурсах

    1. В раскрывающемся списке Фильтр выберите Создать.
    2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

      В этом случае вы сможете использовать созданный фильтр в разных сервисах.

      По умолчанию флажок снят.

    3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
    4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
      1. Нажмите на кнопку Добавить условие.
      2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

        В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

      3. В раскрывающемся списке оператор выберите нужный вам оператор.

        Операторы фильтров

        • = – левый операнд равен правому операнду.
        • < – левый операнд меньше правого операнда.
        • <= – левый операнд меньше или равен правому операнду.
        • > – левый операнд больше правого операнда.
        • >= – левый операнд больше или равен правому операнду.
        • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
        • contains – левый операнд содержит значения правого операнда.
        • startsWith – левый операнд начинается с одного из значений правого операнда.
        • endsWith – левый операнд заканчивается одним из значений правого операнда.
        • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
        • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

          Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

          Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

        • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

          Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

        • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
        • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
        • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
        • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
        • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
        • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

        Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

        По умолчанию флажок снят.

      5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
      6. Вы можете добавить несколько условий или группу условий.
    5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
    6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

      Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

    Фильтрация по данным из поля события Extra

    Условия для фильтров по данным из поля события Extra:

    • Условие – Если.
    • Левый операнд – поле события.
    • В поле события вы можете указать одно из следующих значений:
      • Поле Extra.
      • Значение из поля Extra в следующем формате:

        Extra.<название поля>

        Например, Extra.app.

        Значение этого типа указывается вручную.

      • Значение из массива, записанного в поле Extra, в следующем формате:

        Extra.<название поля>.<элемент массива>

        Например, Extra.array.0.

        Нумерация значений в массиве начинается с 0.

        Значение этого типа указывается вручную.

        Чтобы работать со значением из поля Extra на глубине 3 и ниже, следует использовать кавычки ``. Например, `Extra.lev1.lev2.lev3`.

    • Оператор – =.
    • Правый операнд – константа.
    • Значение – значение, по которому требуется фильтровать события.

На закладке Локальные переменные с помощью кнопки Добавить переменную можно объявлять переменные, которые будут действовать в пределах этого правила корреляции.

Закладка Действия

В правиле типа operational может быть только один триггер: На каждом событии. Он активируется каждый раз, когда срабатывает селектор.

Доступные параметры триггера:

  • Группа параметров Обновление активных листов – используется для назначения триггера на одну или несколько операций с активными листами. С помощью кнопок Добавить действие с активным листом и Удалить действие с активным листом можно добавлять и удалять операции с активными листами.

    Доступные параметры:

    • Название (обязательно) – этот раскрывающийся список используется для выбора активного листа.
    • Операция (обязательно) – этот раскрывающийся список используется для выбора операции, которую необходимо выполнить:
      • Получить – получить запись активного листа и записать значения указанных полей в корреляционное событие.
      • Установить – записать значения указанных полей корреляционного события в активный лист, создав новую или обновив существующую запись активного листа. При обновлении записи активного листа данные объединяются, и только указанные поля перезаписываются.
      • Удалить – удалить запись из активного листа.
    • Ключевые поля (обязательно) – это список полей события, используемые для создания записи активного листа. Этот список также используется в качестве ключа записи активного листа.

      Ключ записи активного листа зависит только от состава полей и не зависит от порядка их отображения в веб-интерфейсе KUMA.

    • Сопоставление (требуется для операций Получить и Установить) – используется для сопоставления полей активного листа с полями событий. Можно установить более одного правила сопоставления.
      • Левое поле используется для указания поля активного листа.

        Поле не должно содержать специальные символы или только цифры.

      • Средний раскрывающийся список используется для выбора полей событий.
      • Правое поле можно использовать для назначения константы полю активного листа, если была выбрана операция Установить.
В начало
[Topic 221203]

Переменные в корреляторах

Если для покрытия каких-то сценариев обеспечения безопасности недостаточно отслеживания значений в полях событий, активных листах или словарях, вы можете воспользоваться глобальными и локальными переменными. С их помощью можно выполнять различные действия над поступающими в корреляторы значениями, реализуя сложную логику выявления угроз. Переменные можно объявить в корреляторе (глобальные переменные) или в правиле корреляции (локальные переменные), присвоив им какую-либо функцию, а затем обращаться к ним из правил корреляции, как к обычным полям событий, получая в ответ результат срабатывания функции.

Область применения переменных:

К переменным можно обращаться так же, как к полям события, предваряя их название символом $.

В этом разделе

Локальные переменные в группирующих и уникальных полях

Локальные переменные в селекторе

Локальные переменные в обогащении событий

Локальные переменные в обогащении активных листов

Свойства переменных

Требования к переменным

Функции переменных

Объявление переменных

В начало
[Topic 234114]

Локальные переменные в группирующих и уникальных полях

Вы можете использовать локальные переменных в разделах Группирующие поля и Уникальные поля правил корреляции типа standard. Для использования локальной переменной необходимо перед ее именем указывать символ "$".

Вы можете ознакомиться с примером использования локальных переменных в разделах Группирующие поля и Уникальные поля в правиле, поставляемом в KUMA: R403_Обращение на вредоносные ресурсы с хоста с отключенной защитой или устаревшей антивирусной базой.

В начало
[Topic 260640]

Локальные переменные в селекторе

Чтобы использовать локальную переменную в селекторе:

  1. Добавьте локальную переменную в правило.
  2. В окне Правила корреляции перейдите на вкладку Общие и добавьте созданную локальную переменную в раздел Группирующие поля. Перед именем локальной переменной укажите символ "$".
  3. В окне Правила корреляции перейдите на вкладку Селекторы, выберите существующий фильтр или создайте новый и нажмите на кнопку Добавить условие.
  4. В качестве операнда выберите поле события.
  5. В качестве значения поля события укажите локальную переменную и укажите символ "$" перед именем переменной.
  6. Укажите остальные параметры фильтра.
  7. Нажмите Сохранить.

Вы можете ознакомиться с примером использования локальных переменных в правиле, поставляемом с KUMA: R403_Обращение на вредоносные ресурсы с хоста с отключенной защитой или устаревшей антивирусной базой.

В начало
[Topic 260641]

Локальные переменные в обогащении событий

Вы можете использовать правила корреляции типа standard и simple для обогащения событий с помощью локальных переменных.

Обогащение текстом и числами

Обогащение событий можно выполнять с помощью текста (строк). Для этого могут быть использованы функции, позволяющие модифицировать строки: to_lower, to_upper, str_join, append, prepend, substring, tr, replace, str_join.

Обогащение событий можно выполнять с помощью чисел. Для этого могут быть использованы функции: сложение (оператор "+"), вычитание (оператор "-"), умножение (оператор "*"), деление (оператор "/"), round, ceil, floor, abs, pow.

Также для работы с данными в локальных переменных могут быть использованы регулярные выражения.

Применение регулярных выражений в правилах корреляции создаёт большую нагрузку в сравнении с другими операциями. Поэтому при разработке правил корреляции мы рекомендуем ограничить использование регулярных выражений до необходимого минимума и применять другие доступные операции.

Обогащение временных отметок

Обогащение событий можно выполнять с помощью временных отметок (даты и времени). Для этого могут быть использованы функции, позволяющие получать или модифицировать временные метки: now, extract_from_timestamp, parse_timestamp, format_timestamp, truncate_timestamp, time_diff.

Операции с активными списками и таблицами

Вы можете выполнять обогащение событий с помощью локальных переменных и данных, находящихся в активных списках и таблицах.

Для обогащения событий данными из активного списка необходимо воспользоваться функциями active_list, active_list_dyn.

Для обогащения событий данными из таблицы необходимо воспользоваться функциями table_dict, dict.

Вы можете создавать условные операторы при помощи функции conditional в локальных переменных. Таким образом переменная может вернуть одно из значений в зависимости от того, какие данные поступили для обработки.

Использование локальной переменной для обогащения событий

Чтобы использовать локальную переменную для обогащения событий:

  1. Добавьте локальную переменную в правило.
  2. В окне Правила корреляции перейдите на вкладку Общие и добавьте созданную локальную переменную в раздел Группирующие поля. Перед именем локальной переменной укажите символ "$".
  3. В окне Правила корреляции перейдите на вкладку Действия и в группе параметров Обогащение в раскрывающемся списке Тип источника данных выберите событие.
  4. В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое необходимо передать значение локальной переменной.
  5. В раскрывающемся списке Исходное поле выберите локальную переменную. Перед именем локальной переменной укажите символ "$".
  6. Укажите остальные параметры правила.
  7. Нажмите Сохранить.
В начало
[Topic 260642]

Локальные переменные в обогащении активных листов

Вы можете использовать локальные переменные для обогащения активных листов.

Чтобы выполнить обогащение активного списка при помощи локальной переменной:

  1. Добавьте локальную переменную в правило.
  2. В окне Правила корреляции перейдите на вкладку Общие и добавьте созданную локальную переменную в раздел Группирующие поля. Перед именем локальной переменной укажите символ "$".
  3. В окне Правила корреляции перейдите на вкладку Действия и в группе параметров Обновление активных листов добавьте локальную переменную в поле Ключевые поля. Перед именем локальной переменной укажите символ "$".
  4. В группе параметров Сопоставление укажите соответствие между полями события и полями активного списка.
  5. Нажмите на кнопку Сохранить.
В начало
[Topic 260644]

Свойства переменных

Локальные и глобальные переменные

Свойства глобальных и локальных переменных различаются.

Глобальные переменные:

  • Глобальные переменные объявляются на уровне коррелятора и действуют только в пределах этого коррелятора.
  • К глобальным переменным коррелятора можно обращаться из всех правил корреляции, которые в нем указаны.
  • В правилах корреляции типа standard одна и та же глобальная переменная в каждом селекторе может принимать разные значения.
  • Невозможно переносить глобальные переменные между разными корреляторами.

Локальные переменные:

  • Локальные переменные объявляются на уровне правила корреляции и действуют только в пределах этого правила.
  • В правилах корреляции типа standard областью действия локальной переменной является только тот селектор, в котором переменная была объявлена.
  • Локальные переменные можно объявлять в любых типах правил корреляции.
  • Невозможно переносить локальные переменные между правилами или селекторами.
  • Локальная переменная не может быть использована в качестве глобальной переменной.

Переменные в разных типах правил корреляции

  • В правилах корреляции типа operational в закладке Действия можно указывать все доступные или объявленные в этом правиле переменные.
  • В правилах корреляции типа standard в закладке Действия можно указывать только переменные, указанные в этих правилах на закладке Общие в поле Группирующие поля.
  • В правилах корреляции типа simple в закладке Действия можно указывать только переменные, указанные в этих правилах на закладке Общие в поле Наследуемые поля.

В начало
[Topic 234737]

Требования к переменным

Добавляя функцию переменной необходимо сначала указать название функции, а затем в круглых скобках перечислить ее параметры. Исключением являются простейшие математические операции (сложение, вычитание, умножение, деление), при их использовании скобками обозначается приоритет выполнения операций.

Требования к названиям функций:

  • Должно быть уникально в рамках коррелятора.
  • Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Не может начинаться с символа $.
  • Должно быть написано в camelCase или CamelCase.

Особенности указания функций переменных:

  • Последовательность указания параметров имеет значение.
  • Параметры передаются через запятую: ,.
  • Строковые параметры передаются в одинарных кавычках: '.
  • Наименования полей событий и переменные указываются без кавычек.
  • При обращении к переменной как параметру перед ее названием необходимо добавлять символ $.
  • Ставить пробел между параметрами необязательно.
  • Во всех функциях, где в качестве параметров допускается использование переменной, допускается создавать вложенные функции.
В начало
[Topic 234739]

Функции переменных

Операции с активными листами и словарями

Функции "active_list" и "active_list_dyn"

Функции позволяют получать информацию из активного листа и динамически формировать имя поля активного листа и ключа.

Необходимо указать параметры в следующей последовательности:

  1. название активного листа;
  2. выражение, возвращающее название поля активного листа;
  3. одно или несколько выражений, из результатов которых будет составлен ключ.

    Пример использования

    Результат выполнения

    active_list('Test', to_lower('DeviceHostName'), to_lower(DeviceCustomString2), to_lower(DeviceCustomString1))

    Получение значения поля активного листа.

С помощью этих функций из переменной можно обратиться к активному листу общего тенанта. Для этого после названия активного листа необходимо добавить суффикс @Shared (регистр имеет значение). Например, active_list('exampleActiveList@Shared', 'score', SourceAddress,SourceUserName).

Функция "table_dict"

Получение информации о значении в указанном столбце словаря типа таблица.

Необходимо указать параметры в следующей последовательности:

  1. название словаря;
  2. название столбца словаря;
  3. одно или несколько выражений, из результатов которых будет составлен ключ строки словаря.

    Пример использования

    Результат выполнения

    table_dict('exampleTableDict', 'office', SourceUserName)

    Получение данных из словаря exampleTableDict из строки с ключом SourceUserName из столбца office.

    table_dict('exampleTableDict', 'office', SourceAddress, to_lower(SourceUserName))

    Получение данных из словаря exampleTableDict из строки с составным ключом из значения поля SourceAddress и значения поля SourceUserName в нижнем регистре из столбца office.

С помощью этой функции из переменной можно обратиться к словарю общего тенанта. Для этого после названия активного листа необходимо добавить суффикс @Shared (регистр имеет значение). Например, table_dict('exampleTableDict@Shared', 'office', SourceUserName).

Функция "dict"

Получение информации о значении в указанном столбце словаря типа словарь.

Необходимо указать параметры в следующей последовательности:

  1. название словаря;
  2. одно или несколько выражений, из результатов которых будет составлен ключ строки словаря.

    Пример использования

    Результат выполнения

    dict('exampleDictionary', SourceAddress)

    Получение данных из словаря exampleDictionary из строки с ключом SourceAddress.

    dict('exampleDictionary', SourceAddress, to_lower(SourceUserName))

    Получение данных из словаря exampleDictionary из строки с составным ключом из значения поля SourceAddress и значения поля SourceUserName в нижнем регистре.

С помощью этой функции из переменной можно обратиться к словарю общего тенанта. Для этого после названия активного листа необходимо добавить суффикс @Shared (регистр имеет значение). Например, dict('exampleDictionary@Shared', SourceAddress).

Операции со строками

Функция "len"

Возвращает число символов в строке.

Строку можно передать строкой, названием поля или переменной.

Примеры использования

len('SomeText')

len(Message)

len($otherVariable)

Функция "to_lower"

Перевод символов в строке в нижний регистр.

Строку можно передать строкой, названием поля или переменной.

Примеры использования

to_lower(SourceUserName)

to_lower('SomeText')

to_lower($otherVariable)

Функция "to_upper"

Перевод символов в строке в верхний регистр. Строку можно передать строкой, названием поля или переменной.

Примеры использования

to_upper(SourceUserName)

to_upper('SomeText')

to_upper($otherVariable)

Функция "append"

Добавление символов в конец строки.

Необходимо указать параметры в следующей последовательности:

  1. исходная строка;
  2. добавляемая строка.

Строки можно передать строкой, названием поля или переменной.

Примеры использования

Результат использования

append(Message, '123')

Строка из поля Message, в конце которой добавлена строка 123.

append($otherVariable, 'text')

Строка из переменной otherVariable, в конце которой добавлена строка text.

append(Message, $otherVariable)

Строка из поля Message, в конце которой добавлена строка из переменной otherVariable.

Функция "prepend"

Добавление символов в начало строки.

Необходимо указать параметры в следующей последовательности:

  1. исходная строка;
  2. добавляемая строка.

Строки можно передать строкой, названием поля или переменной.

Примеры использования

Результат использования

prepend(Message, '123')

Строка из поля Message, в начало которой добавлена строка 123.

prepend($otherVariable, 'text')

Строка из переменной otherVariable, в начало которой добавлена строка text.

prepend(Message, $otherVariable)

Строка из поля Message, в начало которой добавлена строка из переменной otherVariable.

Функция "substring"

Возвращает подстроку из строки. 

Необходимо указать параметры в следующей последовательности:

  1. исходная строка;
  2. позиция начала подстроки (натуральное число или 0);
  3. (необязательно) позиция конца подстроки.

Строки можно передать строкой, названием поля или переменной. Если номер позиции больше, чем длина строки исходных данных, возвращается пустая строка.

Примеры использования

Результат использования

substring(Message, 2)

Возвращает часть строки из поля Message: от 3 символа до конца.

substring($otherVariable, 2, 5)

Возвращает часть строки из переменной otherVariable: от 3 до 6 символа.

substring(Message, 0, len(Message) - 1)

Возвращает всю строку из поля Message, кроме последнего символа.

Функция "tr"

Убирает из начала и конца строки указанные символы.

Необходимо указать параметры в следующей последовательности:

  1. исходная строка;
  2. (необязательно) строка, которую следует удалить из начала и конца исходной строки.

Строки можно передать строкой, названием поля или переменной. Если строку на удаление не указать, в начале и в конце исходной строки будут удалены пробелы.

Примеры использования

Результат использования

tr(Message)

В начале и в конце строки из поля Message удалены пробелы.

tr($otherVariable, '_')

Если переменной otherVariable соответствует значение _test_, будет возвращена строка test.

tr(Message, '@example.com')

Если в поле события Message находится строка user@example.com, будет возвращена строка user.

Функция "replace"

Замена в строке всех вхождений последовательности символов А на последовательность символов B.

Необходимо указать параметры в следующей последовательности:

  1. исходная строка;
  2. строка поиска: последовательность символов, подлежащая замене;
  3. строка замены: последовательность символов, на которую необходимо заменить строку поиска.

Строки можно передать выражением.

Примеры использования

Результат использования

replace(Name, 'UserA', 'UserB')

Возвращается строка из поля события Name, в которой все вхождения UserA заменены на UserB.

replace($otherVariable, ' text ', '_text_')

Возвращается строка из переменной otherVariable, в которой все вхождения ' text ' заменены на '_text_'.

Функция "regexp_replace"

Замена в строке последовательности символов, удовлетворяющих регулярному выражению, на последовательность символов и группы захвата регулярного выражения.

Необходимо указать параметры в следующей последовательности:

  1. исходная строка;
  2. строка поиска: регулярное выражение;
  3. строка замены: последовательность символов, на которую необходимо заменить строку поиска, и идентификаторы групп захвата регулярного выражения. Строку можно передать выражением.

Строки можно передать строкой, названием поля или переменной. Допускается использовать неименованные группы захвата.

В регулярных выражениях, используемых в функциях переменных, каждый символ обратной косой черты необходимо дополнительно экранировать. Например, вместо регулярного выражения ^example\\ необходимо указывать выражение ^example\\\\.

Примеры использования

Результат использования

regexp_replace(SourceAddress, '([0-9]{1,3}).([0-9]{1,3}).([0-9]{1,3}).([0-9]{1,3})', 'newIP: $1.$2.$3.10')

Возвращается строка из поля события SourceAddress, в которой перед IP-адресами вставлен текст newIP. Также последние цифры адреса заменены на 10.

Функция "regexp_capture"

Получение из исходной строки результата, удовлетворяющего условию регулярного выражения.

Необходимо указать параметры в следующей последовательности:

  1. исходная строка;
  2. строка поиска: регулярное выражение.

Строки можно передать строкой, названием поля или переменной. Допускается использовать неименованные группы захвата.

В регулярных выражениях, используемых в функциях переменных, каждый символ обратной косой черты необходимо дополнительно экранировать. Например, вместо регулярного выражения ^example\\ необходимо указывать выражение ^example\\\\.

Примеры использования

Примеры значений

Результат использования

regexp_capture(Message, '(\\\\d{1,3}\\\\.\\\\d{1,3}\\\\.\\\\d{1,3}\\\\.\\\\d{1,3})')

Message = 'Access from 192.168.1.1 session 1'

Message = 'Access from 45.45.45.45 translated address 192.168.1.1 session 1'

'192.168.1.1'

'45.45.45.45'

Операции с метками времени

Функция now

Получение временной метки в формате epoch. Запускается без аргументов.

Примеры использования

now()

Функция "extract_from_timestamp"

Получение атомарных представлений времени (в виде год, месяц, день, час, минута, секунда, день недели) из полей и переменных с временем в формате epoch.

Параметры необходимо указать в следующей последовательности:

  1. Поле события, имеющего тип timestamp, или переменная.
  2. Обозначение атомарного представления времени. Параметр регистрозависимый.

    Возможные варианты обозначения атомарного времени:

    • y – год в виде числа.
    • M – месяц, числовое обозначение.
    • d – число месяца.
    • wd – день недели: Monday, Tuesday, Wednesday, Thursday, Friday, Saturday, Sunday.
    • h – часы в 24-часовом формате.
    • m – минуты.
    • s – секунды.
  3. (необязательно) Обозначение часового пояса. Если параметр не указан, время высчитывается в формате UTC.

    Примеры использования

    extract_from_timestamp(Timestamp, 'wd')

    extract_from_timestamp(Timestamp, 'h')

    extract_from_timestamp($otherVariable, 'h')

    extract_from_timestamp(Timestamp, 'h', 'Europe/Moscow')

Функция "parse_timestamp"

Представление времени из формата RFC3339 (например, "2022-05-24 00:00:00", "2022-05-24 00:00:00+0300) в формат epoch.

Примеры использования

parse_timestamp(Message)

parse_timestamp($otherVariable)

Функция "format_timestamp"

Представление времени из формата epoch в формат RFC3339.

Параметры необходимо указать в следующей последовательности:

  1. Поле события, имеющего тип timestamp, или переменная.
  2. Обозначение формата времени: RFC3339.
  3. (необязательно) Обозначение часового пояса. Если параметр не указан, время высчитывается в формате UTC.

    Примеры использования

    format_timestamp(Timestamp, 'RFC3339')

    format_timestamp($otherVariable, 'RFC3339')

    format_timestamp(Timestamp, 'RFC3339', 'Europe/Moscow')

Функция "truncate_timestamp"

Округление времени в формате epoch. После округления время возвращается в формате epoch. Время округляется в меньшую сторону.

Параметры необходимо указать в следующей последовательности:

  1. Поле события, имеющего тип timestamp, или переменная.
  2. Параметр округления:
    • 1s – округление до секунд;
    • 1m – округление до минут;
    • 1h – округление до часов;
    • 24h – округление до суток.
  3. (необязательно) Обозначение часового пояса. Если параметр не указан, время высчитывается в формате UTC.

    Примеры использования

    Примеры округляемых значений

    Результат использования

    truncate_timestamp(Timestamp, '1m')

    1654631774175 (7 June 2022 г., 19:56:14.175)

    1654631760000 (7 June 2022 г., 19:56:00)

    truncate_timestamp($otherVariable, '1h')

    1654631774175 (7 June 2022 г., 19:56:14.175)

    1654628400000 (7 June 2022 г., 19:00:00)

    truncate_timestamp(Timestamp, '24h', 'Europe/Moscow')

    1654631774175 (7 June 2022 г., 19:56:14.175)

    1654560000000 (7 June 2022 г., 0:00:00)

Функция "time_diff"

Получение интервала времени между двумя метками времени в формате epoch.

Параметры необходимо указать в следующей последовательности:

  1. Время конца отрезка. Поле события, имеющего тип timestamp, или переменная.
  2. Время начала отрезка. Поле события, имеющего тип timestamp, или переменная.
  3. Представление временного интервала:
    • ms – в миллисекундах;
    • s – в секундах;
    • m – в минутах;
    • h – в часах;
    • d – в днях.

    Примеры использования

    time_diff(EndTime, StartTime, 's')  

    time_diff($otherVariable, Timestamp, 'h')

    time_diff(Timestamp, DeviceReceiptTime, 'd')

Математические операции

Представлены как простейшими математическими операциями, так и функциями.

Простейшие математические операции

Операции:

  • сложение;
  • вычитание;
  • умножение;
  • деление;
  • деление по модулю.

Использование круглых скобок определяет последовательность действий

Доступные аргументы:

  • числовые поля события;
  • числовые переменные;
  • вещественные числа.

    При делении по модулю в качестве аргументов можно использовать только натуральные числа.

Ограничения использования:

  • деление на ноль возвращает ноль;
  • математические операции между числами и строками возвращают ноль;
  • целые числа, полученные в результате операций, возвращаются без точки.

    Примеры использования

    (Type=3; otherVariable=2; Message=text)

    Результат использования

    Type + 1

    4

    $otherVariable - Type

    -1

    2 * 2.5

    5

    2 / 0

    0

    Type * Message

    0

    (Type + 2) * 2

    10

    Type % $otherVariable

    1

Функция "round"

Округление чисел. 

Доступные аргументы:

  • числовые поля события;
  • числовые переменные;
  • числовые константы.

    Примеры использования

    (DeviceCustomFloatingPoint1=7.75; DeviceCustomFloatingPoint2=7.5 otherVariable=7.2)

    Результат использования

    round(DeviceCustomFloatingPoint1)

    8

    round(DeviceCustomFloatingPoint2)

    8

    round($otherVariable)

    7

Функция "ceil"

Округление чисел в большую сторону.

Доступные аргументы:

  • числовые поля события;
  • числовые переменные;
  • числовые константы.

    Примеры использования

    (DeviceCustomFloatingPoint1=7.15; otherVariable=8.2)

    Результат использования

    ceil(DeviceCustomFloatingPoint1)

    8

    ceil($otherVariable)

    9

Функция "floor"

Округление чисел в меньшую сторону.

Доступные аргументы:

  • числовые поля события;
  • числовые переменные;
  • числовые константы.

    Примеры использования

    (DeviceCustomFloatingPoint1=7.15; otherVariable=8.2)

    Результат использования

    floor(DeviceCustomFloatingPoint1)

    7

    floor($otherVariable)

    8

Функция "abs"

Получение числа по модулю.

Доступные аргументы:

  • числовые поля события;
  • числовые переменные;
  • числовые константы.

    Примеры использования

    (DeviceCustomNumber1=-7; otherVariable=-2)

    Результат использования

    abs(DeviceCustomFloatingPoint1)

    7

    abs($otherVariable)

    2

Функция "pow"

Возведение числа в степень.

Параметры необходимо указать в следующей последовательности:

  1. База – вещественные числа.
  2. Степень – натуральные числа.

Доступные аргументы:

  • числовые поля события;
  • числовые переменные;
  • числовые константы.

    Примеры использования

    pow(DeviceCustomNumber1, DeviceCustomNumber2)

    pow($otherVariable, DeviceCustomNumber1)

Функция "str_join"

Позволяет объединить несколько строк в одну с использованием разделителя.

Параметры необходимо указать в следующей последовательности:

  1. Разделитель. Строка.
  2. Строка1, строка2, строкаN. Минимум 2 выражения.

    Примеры использования

    Результат использования

    str_join('|', to_lower(Name), to_upper(Name), Name)

    Строка.

Функция "conditional"

Позволяет получить одно значения в случае выполнения условия и другое значение, если условие не выполнится.

Параметры необходимо указать в следующей последовательности:

  1. Условие. Строка. Синтаксис аналогичен условиям в SQL Where. В условии можно использовать функции переменных KUMA и ссылаться на другие переменные.
  2. Значение при выполнении условия. Выражение.
  3. Значение при невыполнении условия. Выражение.

Поддерживаемые операторы:

  • AND
  • OR
  • NOT
  • =
  • !=
  • <
  • <=
  • >
  • >=
  • LIKE (передается регулярное выражение RE2, а не SQL-выражение)
  • ILIKE (передается регулярное выражение RE2, а не SQL-выражение)
  • BETWEEN
  • IN
  • IS NULL (проверка на пустое значение, например 0 или пустую строку)

    Примеры использования (значение зависит от аргументов 2 и 3)

    conditional('SourceUserName = \\'root\\' AND DestinationUserName = SourceUserName', 'match', 'no match')

    conditional(`DestinationUserName ILIKE 'svc_.*'`, 'match', 'no match')

    conditional(`DestinationUserName NOT LIKE 'svc_.*'`, 'match', 'no match')

В начало
[Topic 234740]

Объявление переменных

Для объявления переменных их необходимо добавить в коррелятор или правило корреляции.

Чтобы добавить глобальную переменную в существующий коррелятор:

  1. В веб-интерфейсе KUMA в разделе РесурсыКорреляторы выберите набор ресурсов нужного коррелятора.

    Откроется мастер установки коррелятора.

  2. Выберите шаг мастера установки Глобальные переменные.
  3. Нажмите на кнопку Добавить переменную и укажите следующие параметры:

    Переменных можно добавить несколько. Добавленные переменные можно изменить или удалить с помощью значка cross.

  4. Выберите шаг мастера установки Проверка параметров и нажмите Сохранить.

Глобальная переменная добавлена в коррелятор. К ней можно обращаться, как к полю события, указывая перед названием переменной символ $. Переменная будет использоваться при корреляции после перезапуска сервиса коррелятора.

Чтобы добавить локальную переменную в существующее правило корреляции:

  1. В веб-интерфейсе KUMA в разделе РесурсыПравила корреляции выберите нужное правило корреляции.

    Откроется окно параметров правила корреляции. Параметры правила корреляции можно также открыть из коррелятора, в которое оно было добавлено, перейдя на шаг мастера установки Корреляция.

  2. Откройте закладку Селекторы.
  3. В селекторе откройте закладку Локальные переменные, нажмите на кнопку Добавить переменную и укажите следующие параметры:

    Переменных можно добавить несколько. Добавленные переменные можно изменить или удалить с помощью значка cross.

    Для правил корреляции типа standard повторите этот шаг для каждого селектора, в которым вы хотите объявить переменные.

  4. Нажмите Сохранить.

Локальная переменная добавлена в правило корреляции. К ней можно обращаться, как к полю события, указывая перед названием переменной символ $. Переменная будет использоваться при корреляции после перезапуска сервиса коррелятора.

Добавленные переменные можно изменить или удалить. Если правило корреляции обращается к необъявленной переменной (например, если ее название было изменено), в качестве результата возвращается пустая строка.

Если вы измените название переменной, вам потребуется вручную изменить название этой переменной во всех правилах корреляции, где вы ее использовали.

В начало
[Topic 234738]

Предустановленные правила корреляции

В поставку KUMA включены перечисленные в таблице ниже правила корреляции.

Предустановленные правила корреляции

Название правила корреляции

Описание

[OOTB] KATA alert

Используется для обогащения событий KATA.

[OOTB] Successful Bruteforce

Срабатывает после выявления успешной попытки аутентификации после множества неуспешных попыток аутентификации. Правило работает на основе событий демона sshd.

[OOTB][AD] Account created and deleted within a short period of time

Выявляет факты создания и последующего удаления учётных записей на хостах на базе ОС Microsoft Windows.

[OOTB][AD] An account failed to log on from different hosts

Выявляет множественные неуспешные попытки аутентификации на различных хостах.

[OOTB][AD] Granted TGS without TGT (Golden Ticket)

Выявляет подозрения на атаку типа "Golden Ticket". Правило работает на основе событий ОС Microsoft Windows.

[OOTB][AD][Technical] 4768. TGT Requested

Техническое правило, используется для формирования активного списка – [OOTB][AD] List of requested TGT. EventID 4768. Правило работает на основе событий ОС Microsoft Windows.

[OOTB][AD] Membership of sensitive group was modified

Работает на базе событий ОС Microsoft Windows.

[OOTB][AD] Multiple accounts failed to log on from the same host

Срабатывает после выявления множественных неуспешных попыток аутентификации на одном хосте от имени разных учётных записей.

[OOTB][AD] Possible Kerberoasting attack

Выявляет подозрения на атаки типа "Kerberoasting". Правило работает на основе событий ОС Microsoft Windows.

[OOTB][AD] Successful authentication with the same account on multiple hosts

Выявляет подключения на разные хосты под одной учётной записью. Правило работает на основе событий ОС Microsoft Windows.

[OOTB][AD] The account added and deleted from the group in a short period of time

Выявляет добавление и последующее удаление пользователя из группы. Правило работает на основе событий ОС Microsoft Windows.

[OOTB][Net] Possible port scan

Выявляет подозрения на сканирование порта. Правило работает на основе событий Netflow, Ipfix.

В начало
[Topic 250832]

Фильтры

Фильтры используются для выбора событий на основе определенных пользователем условий.

Это неверно только тогда, когда фильтры используются в сервисе коллектор, где они выбирают все события, которые НЕ удовлетворяют условиям фильтра.

Фильтры можно использовать в следующих сервисах и функциях KUMA:

Можно использовать отдельные фильтры или встроенные фильтры, которые хранятся в сервисе или ресурсе, где они были созданы.

Для этих ресурсов в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов.

Доступные параметры фильтра:

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. Встроенные фильтры создаются в других ресурсах или сервисах и не имеют имен.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Блок параметров Условия – здесь вы можете сформулировать критерии фильтрации, создав условия фильтрации и группы фильтров, а также добавив существующие фильтры.

    С помощью кнопки Добавить группу можно добавить группу фильтров. Можно переключать групповые операторы между И, ИЛИ, НЕ. В группы фильтров можно добавить группы, условия и существующие фильтры. Условия, помещенные в подгруппу НЕ, объединяются оператором И.

    С помощью кнопки Добавить фильтр можно добавить существующий фильтр, который следует выбрать в раскрывающемся списке Выберите фильтр.

    С помощью кнопки Добавить условие можно добавить строку с полями для определения условия (см. ниже).

    Условия, группы и фильтры можно удалить с помощью кнопки cross.

Параметры условий:

  • Если (обязательно) – в этом раскрывающемся списке можно указать, требуется ли использовать инвертированную функцию оператора
  • Левый операнд и Правый операнд (обязательно) – используются для указания значений, которые будет обрабатывать оператор. Доступные типы зависят от выбранного оператора.

    Операнды фильтров

    • Поле события – используется для присвоения операнду значения поля события. Дополнительные параметры:
      • поле события (обязательно) – этот раскрывающийся список используется для выбора поля, из которого следует извлечь значение операнда.
    • Активный лист – используется для присвоения операнду значения записи активного листа. Дополнительные параметры:
      • название активного листа (обязательно) – этот раскрывающийся список используется для выбора активного листа.
      • ключевые поля (обязательно) – это список полей событий, используемых для создания записи активного листа и служащих ключом записи активного листа.
      • поле (требуется, если не выбран оператор inActiveList) – используется для ввода имени поля активного листа, из которого следует извлечь значение операнда.
    • Словарь – используется для присвоения значения операнду значения из ресурса словарь. Дополнительные параметры:
      • словарь (обязательно) – этот раскрывающийся список используется для выбора словаря.
      • ключевые поля (обязательно) – это список полей событий, используемых для формирования ключа значения словаря.
    • Константа – используется для присвоения операнду пользовательского значения. Дополнительные параметры:
      • значение (обязательно) – здесь вы вводите константу, которую хотите присвоить операнду.
    • Таблица – используется для присвоения операнду нескольких пользовательских значений. Дополнительные параметры:
      • словарь (обязательно) – этот раскрывающийся список используется для выбора словаря типа Таблица.
      • ключевые поля (обязательно) – это список полей событий, используемых для формирования ключа значения словаря.
    • Список – используется для присвоения операнду нескольких пользовательских значений. Дополнительные параметры:
      • значение (обязательно) – здесь вы вводите список констант, которые хотите назначить операнду. Когда вы вводите значение в поле и нажимаете ENTER, значение добавляется в список, и вы можете ввести новое значение.
    • TI – используется для чтения данных CyberTrace об угрозах (TI) из событий. Дополнительные параметры:
      • канал (обязательно) – в этом поле указывается категория угрозы CyberTrace.
      • ключевые поля (обязательно) – этот раскрывающийся список используется для выбора поля события с индикаторами угроз CyberTrace.
      • поле (обязательно) – в этом поле указывается поле фида CyberTrace с индикаторами угроз.
  • Оператор (обязательно) – используется для выбора оператора условия.

    В этом же раскрывающемся списке можно установить флажок без учета регистра, если требуется, чтобы оператор игнорировал регистр значений. Флажок игнорируется, если выбраны операторы inSubnet, inActiveList, inCategory, InActiveDirectoryGroup, hasBit, inDictionary. По умолчанию флажок снят.

    Операторы фильтров

    • = – левый операнд равен правому операнду.
    • < – левый операнд меньше правого операнда.
    • <= – левый операнд меньше или равен правому операнду.
    • > – левый операнд больше правого операнда.
    • >= – левый операнд больше или равен правому операнду.
    • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
    • contains – левый операнд содержит значения правого операнда.
    • startsWith – левый операнд начинается с одного из значений правого операнда.
    • endsWith – левый операнд заканчивается одним из значений правого операнда.
    • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
    • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

      Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

      Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

    • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

      Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

    • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
    • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
    • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
    • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
    • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
    • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.

Доступные типы операндов зависят от того, является ли операнд левым (L) или правым (R).

Доступные типы операндов для левого (L) и правого (R) операндов

Оператор

Тип "поле события"

Тип "активный лист"

Тип "словарь"

Тип "таблица"

Тип "TI"

Тип "константа"

Тип "список"

=

L,R

L,R

L,R

L,R

L,R

R

R

>

L,R

L,R

L,R

L,R

L

R

 

>=

L,R

L,R

L,R

L,R

L

R

 

<

L,R

L,R

L,R

L,R

L

R

 

<=

L,R

L,R

L,R

L,R

L

R

 

inSubnet

L,R

L,R

L,R

L,R

L,R

R

R

contains

L,R

L,R

L,R

L,R

L,R

R

R

startsWith

L,R

L,R

L,R

L,R

L,R

R

R

endsWith

L,R

L,R

L,R

L,R

L,R

R

R

match

L

L

L

L

L

R

R

hasVulnerability

L

L

L

L

 

 

 

hasBit

L

L

L

L

 

R

R

inActiveList

 

 

 

 

 

 

 

inDictionary

 

 

 

 

 

 

 

inCategory

L

L

L

L

 

R

R

inActiveDirectoryGroup

L

L

L

L

 

R

R

TIDetect

 

 

 

 

 

 

 

В поставку KUMA включены перечисленные в таблице ниже фильтры.

Предустановленные фильтры

Название фильтра

Описание

[OOTB][AD] A member was added to a security-enabled global group (4728)

Выбирает события добавления пользователя в группу безопасности (security-enabled global group) Active Directory.

[OOTB][AD] A member was added to a security-enabled universal group (4756)

Выбирает события добавления пользователя в группу безопасности (security-enabled universal group) Active Directory.

[OOTB][AD] A member was removed from a security-enabled global group (4729)

Выбирает события удаления пользователя из группы безопасности (security-enabled global group) Active Directory.

[OOTB][AD] A member was removed from a security-enabled universal group (4757)

Выбирает события удаления пользователя из группы безопасности (security-enabled universal group) Active Directory.

[OOTB][AD] Account Created

Выбирает события создания учётной записи в ОС Windows.

[OOTB][AD] Account Deleted

Выбирает события удаления учётной записи в ОС Windows.

[OOTB][AD] An account failed to log on (4625)

Выбирает события неуспешной попытки входа в ОС Windows.

[OOTB][AD] Successful Kerberos authentication (4624, 4768, 4769, 4770)

Выбирает события успешной попытки входа в ОС Windows и события с идентификаторами 4769, 4770, регистрирующиеся на контроллерах домена.

[OOTB][AD][Technical] 4768. TGT Requested

Выбирает события Microsoft Windows c идентификатором 4768.

[OOTB][Net] Possible port scan

Выбирает события, которые могут говорить о проведении сканирования портов.

[OOTB][SSH] Accepted Password

Выбирает события успешного подключения с использование пароля по протоколу SSH.

[OOTB][SSH] Failed Password

Выбирает события попыток подключения с использование пароля по протоколу SSH.

В начало
[Topic 217880]

Активные листы

Активный лист – это контейнер для данных, которые используются корреляторами KUMA при анализе событий по правилам корреляции.

Например, если у вас есть список IP-адресов с плохой репутацией, вы можете:

  1. Создать корреляционное правило типа operational и добавить в активный лист эти IP-адреса.
  2. Создать корреляционное правило типа standard и указать активный лист в качестве условия фильтрации.
  3. Создать коррелятор с этим правилом.

    В этом случае KUMA выберет все события, которые содержат IP-адреса, внесенные в активный лист, и создаст корреляционное событие.

Вы можете наполнять активные листы автоматически с помощью корреляционных правил типа simple или импортировать файл с данными для активного листа.

Вы можете добавлять, копировать и удалять активные листы.

Активные листы можно использовать в следующих сервисах и функциях KUMA:

Один и тот же активный лист может использоваться в разных корреляторах. При этом для каждого коррелятора создается своя сущность активного листа. Таким образом, содержимое активных листов, используемых разными корреляторами, различается, даже если идентификатор и название активных листов одинаковые.

В активный лист добавляются данные только по правилам корреляции, добавленным в коррелятор.

Вы можете добавлять, изменять, дублировать, удалять и экспортировать записи в активном листе коррелятора.

В процессе корреляции при удалении записей из активных листов в корреляторах создаются служебные события. Эти события существуют только в корреляторах, они не перенаправляются в другие точки назначения. Правила корреляции можно настроить на отслеживание этих событий, чтобы с их помощью распознавать угрозы. Поля служебных событий удаления записи из активного листа описаны ниже.

Поле события

Значение или комментарий

ID

Идентификатор события

Timestamp

Время удаления записи, срок жизни которой истек

Name

"active list record expired"

DeviceVendor

"Kaspersky"

DeviceProduct

"KUMA"

ServiceID

Идентификатор коррелятора

ServiceName

Название коррелятора

DeviceExternalID

Идентификатор активного листа

DevicePayloadID

Ключ записи, чей срок жизни истек.

BaseEventCount

Увеличенное на единицу количество обновлений удаленной записи

В начало
[Topic 217707]

Просмотр таблицы активных листов

Чтобы просмотреть таблицу активных листов коррелятора:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Сервисы нажмите на кнопку Активные сервисы.
  3. Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
  4. Нажмите на кнопку Смотреть активные листы.

Отобразится таблица Активные листы коррелятора.

Таблица содержит следующие данные:

  • Название – имя активного листа.
  • Записи – количество записей в активном листе.
  • Размер на диске – размер активного листа.
  • Каталог – путь к активному листу на сервере коррелятора KUMA.
В начало
[Topic 239552]

Добавление активного листа

Чтобы добавить активный лист:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Ресурсы нажмите на кнопку Активные листы.
  3. Нажмите на кнопку Добавить активный лист.
  4. Выполните следующие действия:
    1. В поле Название введите имя активного листа.
    2. В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
    3. В поле Срок жизни укажите время, в течение которого в активном листе будет храниться добавленная в него запись.

      По истечении указанного времени запись удаляется. Время указывается в секундах.

      Значение по умолчанию: 0. Если в поле указано значение 0, запись хранится 36000 дней (около 100 лет).

    4. В поле Описание введите любую дополнительную информацию.

      Вы можете использовать до 4000 символов в кодировке Unicode.

      Поле необязательно для заполнения.

  5. Нажмите на кнопку Сохранить.

Активный лист будет добавлен.

В начало
[Topic 239532]

Просмотр параметров активного листа

Чтобы просмотреть параметры активного листа:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Ресурсы нажмите на кнопку Активные листы.
  3. В столбце Название выберите активный лист, параметры которого вы хотите просмотреть.

Откроется окно с параметрами активного листа. В нем отображается следующая информация:

  • Идентификатор – идентификатор активного листа.
  • Название – уникальное имя ресурса.
  • Тенант – название тенанта, которому принадлежит ресурс.
  • Срок жизни – время, в течение которого в активном листе будет храниться добавленная в него запись. Указывается в секундах.
  • Описание – любая дополнительная информация о ресурсе.
В начало
[Topic 239553]

Изменение параметров активного листа

Чтобы изменить параметры активного листа:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Ресурсы нажмите на кнопку Активные листы.
  3. В столбце Название выберите активный лист, параметры которого вы хотите изменить.
  4. Укажите значения для следующих параметров:
    • Название – уникальное имя ресурса.
    • Срок жизни – время, в течение которого в активном листе будет храниться добавленная в него запись. Указывается в секундах.

      Если в поле указано значение 0, запись хранится бессрочно.

    • Описание – любая дополнительная информация о ресурсе.

    Поля Идентификатор и Тенант недоступны для редактирования.

В начало
[Topic 239557]

Дублирование параметров активного листа

Чтобы скопировать активный лист:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Ресурсы нажмите на кнопку Активные листы.
  3. Установите флажок рядом с активным листом, который вы хотите скопировать.
  4. Нажмите на кнопку Дублировать.
  5. Укажите нужные вам параметры.
  6. Нажмите на кнопку Сохранить.

Активный лист будет скопирован.

В начало
[Topic 239786]

Удаление активного листа

Чтобы удалить активный лист:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Ресурсы нажмите на кнопку Активные листы.
  3. Установите флажки рядом с активными листами, которые вы хотите удалить.

    Если вы хотите удалить все листы, установите флажок рядом со столбцом Название.

    Должен быть установлен хотя бы один флажок.

  4. Нажмите на кнопку Удалить.
  5. Нажмите на кнопку Ок.

Активные листы будут удалены.

В начало
[Topic 239785]

Просмотр записей в активном листе

Чтобы просмотреть список записей в активном листе:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Сервисы нажмите на кнопку Активные сервисы.
  3. Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
  4. Нажмите на кнопку Смотреть активные листы.

    Отобразится таблица Активные листы коррелятора.

  5. В столбце Название выберите нужный вам активный лист.

Откроется таблица записей для выбранного листа.

Таблица содержит следующие данные:

  • Ключ – значение ключа записи.
  • Повторы записи – общее количество упоминаний записи в событиях и загрузок идентичных записей при импорте активных листов в KUMA.
  • Срок действия – дата и время, когда запись должна быть удалена.

    Если при создании активного листа в поле Срок жизни было указано значение 0, записи этого активного листа хранятся 36000 дней (около 100 лет).

  • Создано – время создания активного листа.
  • Последнее обновление – время последнего обновления активного листа.
В начало
[Topic 239534]

Поиск записей в активном листе

Чтобы найти запись в активном листе:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Сервисы нажмите на кнопку Активные сервисы.
  3. Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
  4. Нажмите на кнопку Смотреть активные листы.

    Отобразится таблица Активные листы коррелятора.

  5. В столбце Название выберите нужный вам активный лист.

    Откроется окно со списком записей для выбранного листа.

  6. В поле Поиск введите значение ключа записи или несколько знаков из ее ключа.

В таблице записей активного листа отобразятся только те записи, в ключе которых есть введенные символы.

В начало
[Topic 239644]

Добавление записи в активный лист

Чтобы добавить запись в активный лист:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Сервисы нажмите на кнопку Активные сервисы.
  3. Установите флажок напротив нужного коррелятора.
  4. Нажмите на кнопку Смотреть активные листы.

    Отобразится таблица Активные листы коррелятора.

  5. В столбце Название выберите нужный вам активный лист.

    Откроется окно со списком записей для выбранного листа.

  6. Нажмите на кнопку Добавить.

    Откроется окно Создать новую запись.

  7. Укажите значения для следующих параметров:
    1. В поле Ключ введите имя записи.

      Вы можете указать несколько значений, используя символ "|".

      Поле Ключ не может быть пустым. Если поле остается пустым, при попытке сохранить изменения KUMA возвращает ошибку.

    2. В поле Значение укажите значение для полей в столбце Поле.

      KUMA берет названия полей из корреляционных правил, к которым привязан активный лист. Эти названия недоступны для редактирования. Вы можете удалить эти поля при необходимости.

    3. Если вы хотите добавить дополнительное значение, нажмите на кнопку Добавить элемент.
    4. В столбце Поле укажите название поля.

      Название должно соответствовать следующим требованиям:

      • название уникально;
      • не содержит табуляцию;
      • не содержит специальные символы, кроме символа нижнего подчеркивания;
      • максимальное количество символов – 128.

        Название не может начинаться с символа нижнего подчеркивания и содержать только цифры.

    5. В столбце Значение укажите значение для этого поля.

      Оно должно соответствовать следующим требованиям:

      • не содержит табуляцию;
      • не содержит специальные символы, кроме символа нижнего подчеркивания;
      • максимальное количество символов – 1024.

      Поле необязательно для заполнения.

  8. Нажмите на кнопку Сохранить.

Запись будет добавлена. После сохранения записи в активном листе будут отсортированы в алфавитном порядке.

В начало
[Topic 239780]

Дублирование записей в активном листе

Чтобы дублировать запись в активном листе:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Сервисы нажмите на кнопку Активные сервисы.
  3. Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
  4. Нажмите на кнопку Смотреть активные листы.

    Отобразится таблица Активные листы коррелятора.

  5. В столбце Название выберите нужный вам активный лист.

    Откроется окно со списком записей для выбранного листа.

  6. Установите флажок для записи, которую вы хотите скопировать.
  7. Нажмите на кнопку Дублировать.
  8. Укажите нужные вам параметры.

    Поле Ключ не может быть пустым. Если поле остается пустым, при попытке сохранить изменения KUMA возвращает ошибку.

    Редактирование названий полей в столбце Поле для записей, добавленных в активный лист ранее, недоступно. Вы можете менять названия только для записей, добавленных в момент редактирования. Название не может начинаться с символа нижнего подчеркивания и содержать только цифры.

  9. Нажмите на кнопку Сохранить.

Запись будет скопирована. После сохранения записи в активном листе будут отсортированы в алфавитном порядке.

В начало
[Topic 239900]

Изменение записи в активном листе

Чтобы изменить запись в активном листе:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Сервисы нажмите на кнопку Активные сервисы.
  3. Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
  4. Нажмите на кнопку Смотреть активные листы.

    Отобразится таблица Активные листы коррелятора.

  5. В столбце Название выберите нужный вам активный лист.

    Откроется окно со списком записей для выбранного листа.

  6. Нажмите на название записи в столбце Ключ.
  7. Укажите требуемые значения.
  8. Нажмите на кнопку Сохранить.

Запись будет изменена. После сохранения записи в активном листе будут выстроены в алфавитном порядке.

Ограничения, действующие при редактировании записи:

  • Название записи недоступно для редактирования. Вы можете изменить его, выполнив импорт аналогичных данных с другим названием.
  • Редактирование названий полей в столбце Поле для записей, добавленных в активный лист ранее, недоступно. Вы можете менять названия только для записей, добавленных в момент редактирования. Название не может начинаться с символа нижнего подчеркивания и содержать только цифры.
  • Значения в столбце Значение должны соответствовать следующим требованиям:
    • не содержит буквы русского алфавита;
    • не содержит пробелы и табуляцию;
    • не содержит специальные символы, кроме символа нижнего подчеркивания;
    • максимальное количество символов – 128.
В начало
[Topic 239533]

Удаление записей в активном листе

Чтобы удалить записи из активного листа:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Сервисы нажмите на кнопку Активные сервисы.
  3. Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
  4. Нажмите на кнопку Смотреть активные листы.

    Отобразится таблица Активные листы коррелятора.

  5. В столбце Название выберите нужный вам активный лист.

    Откроется окно со списком записей для выбранного листа.

  6. Установите флажки для записей, которые вы хотите удалить.

    Если вы хотите удалить все записи, установите флажок рядом с названием столбца Ключ.

    Должен быть установлен хотя бы один флажок.

  7. Нажмите на кнопку Удалить.
  8. Нажмите на кнопку Ок.

Записи будут удалены.

В начало
[Topic 239645]

Импорт данных в активный лист

Чтобы импортировать данные в активный лист:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Сервисы нажмите на кнопку Активные сервисы.
  3. Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
  4. Нажмите на кнопку Смотреть активные листы.

    Отобразится таблица Активные листы коррелятора.

  5. Наведите курсор мыши на строку с требуемым активным листом.
  6. Нажмите на More-DropDown слева от названия активного листа.
  7. Выберите Импортировать.

    Откроется окно импорта активного листа.

  8. В поле Файл выберите файл, который требуется импортировать.
  9. В раскрывающемся списке Формат выберите формат файла:
    • csv.
    • tsv.
    • internal.
  10. В поле Ключевое поле введите название столбца с ключами записей активного листа.
  11. Нажмите на кнопку Импортировать.

Данные из файла будут импортированы в активный лист. Записи, внесенные в лист ранее, сохраняются.

При импорте данные из файла не проходят проверку на допустимые символы. Если вы будете использовать эти данные в виджетах, при наличии недопустимых символов в данных виджеты будут отображаться некорректно.

В начало
[Topic 239642]

Экспорт данных из активного листа

Чтобы экспортировать активный лист:

  1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
  2. В разделе Сервисы нажмите на кнопку Активные сервисы.
  3. Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
  4. Нажмите на кнопку Смотреть активные листы.

    Отобразится таблица Активные листы коррелятора.

  5. Наведите курсор мыши на строку с требуемым активным листом.
  6. Нажмите на More-DropDown слева от нужного активного листа.
  7. Нажмите на кнопку Экспортировать.

Активный лист будет загружен в формате JSON с использованием настроек вашего браузера. Название загруженного файла соответствует названию активного листа.

В начало
[Topic 239643]

Предустановленные активные листы

В поставку KUMA включены перечисленные в таблице ниже активные листы.

Предустановленные активные листы

Название активного листа

Описание

[OOTB][AD] End-users tech support accounts

Активный список используется в качестве фильтра при работе корреляционного правила [OOTB][AD] Successful authentication with same user account on multiple hosts. В активный список могут быть добавлены учётные записи сотрудников технической поддержки. Записи не удаляются из активного списка.

[OOTB][AD] List of requested TGT. EventID 4768

Активный список наполняется правилом [OOTB][AD][Technical] 4768. TGT Requested, также данный активный список используется в селекторе правила [OOTB][AD] Granted TGS without TGT (Golden Ticket). Записи удаляются из списка через 10 часов после внесения.

[OOTB][AD] List of sensitive groups

Активный список используется в качестве фильтра при работе корреляционного правила [OOTB][AD] Membership of sensitive group was modified. В активный список могут быть добавлены критичные доменные группы, членство в которых необходимо отслеживать. Записи не удаляются из активного списка.

[OOTB][Linux] CompromisedHosts

Активный список наполняется правилом [OOTB] Successful Bruteforce потенциально скомпрометированными хостами под управлением ОС Linux. Записи удаляются из списка через 24 часа после внесения.

В начало
[Topic 249358]

Словари

Описание параметров

Словари – это ресурсы, в которых хранятся данные, которые могут использоваться другими ресурсами и сервисами KUMA.

Словари могут использоваться в следующих сервисах и функциях KUMA:

Доступные параметры:

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Описание – вы можете добавить до 4000 символов в кодировке Unicode, описывающих ресурс.
  • Тип (обязательно) – тип словаря. От выбранного типа зависит формат данных, которые может содержать словарь:
    • В тип Словарь можно добавлять пары ключ–значение.

      Не рекомендуется добавлять в словари этого типа более 50 000 записей.

      При добавлении в словарь строк с одинаковыми ключами каждая новая строка будет записана поверх уже существующий строки с тем же самым ключом. В итоге в словарь будет добавлена только одна строка.

    • В тип Таблица можно добавлять данные в виде сложных таблиц. С этим типом словарей можно взаимодействовать с помощью REST API.
  • Блок параметров Значения – содержит таблицу с данными словаря:
    • Для типа Словарь в блоке отображается перечень пар КлючЗначение. Таблицу можно дополнять строками с помощью кнопки add-button. Удалить строки можно с помощью кнопки delete-button, которая отображается при наведении курсора мыши на нужную строку.
    • Для типа Таблица в блоке отображается таблица с данными. Таблицу можно дополнять строками и столбцами с помощью кнопки add-button. Удалить строки и столбцы можно с помощью кнопок delete-button, которые отображаются при наведении курсора мыши на нужную строку или заголовок нужного столбца. Заголовки столбцов доступны для редактирования.

    Если словарь содержит больше 5000 записей, они не отображаются в веб-интерфейсе KUMA. Для просмотра содержимого таких словарей содержимое необходимо экспортировать в формат CSV. Если CSV-файл отредактировать и снова импортировать в KUMA, словарь будет обновлен.

Импорт и экспорт словарей

Данные словарей можно импортировать или экспортировать в формате CSV (в кодировке UTF-8) с помощью кнопок Импортировать CSV и Экспортировать CSV.

Формат CSV-файла зависит от типа словаря:

  • Тип Словарь:

    {КЛЮЧ},{ЗНАЧЕНИЕ}\n

  • Тип Таблица:

    {Заголовок столбца 1},{Заголовок столбца N},{Заголовок столбца N+1}\n

    {Ключ1},{ЗначениеN},{ЗначениеN+1}\n

    {Ключ2},{ЗначениеN},{ЗначениеN+1}\n

    Ключи должны быть уникальными как для CSV-файла, так и для словаря. В таблицах ключи указываются в первом столбце. Ключ должен содержать от 1 до 128 символов в кодировке Unicode.

    Значения должны содержать от нуля до 256 символов в кодировке Unicode.

При импорте содержимое словаря перезаписывается загружаемым файлом. При импорте в словарь также изменяется название ресурса, чтобы отразить имя импортированного файла.

При экспорте, если ключ или значение содержат символы запятой или кавычек (, и "), они заключаются в кавычки ("). Кроме того, символ кавычки (") экранируется дополнительной кавычкой (").

Если в импортируемом файле обнаружены некорректные строки (например, неверные разделители), то при импорте в словарь такие строки будут проигнорированы, а при импорте в таблицу процесс импорта будет прерван.

Взаимодействие со словарями через API

С помощью REST API можно считывать содержимое словарей типа Таблица, а также изменять его, даже если эти ресурсы используются активными сервисами. Это позволяет, например, настроить обогащение событий данными из динамически изменяемых таблиц, выгружаемых из сторонних приложений.

Предустановленные словари

В поставку KUMA включены перечисленные в таблице ниже словари.

Предустановленные словари

Название словаря

Тип

Описание

[OOTB] Ahnlab. Severity

dictionary

Содержит таблицу соответствия между идентификатором приоритета и его названием.

[OOTB] Ahnlab. SeverityOperational

dictionary

Содержит значения параметра SeverityOperational и соответствующее ему описание.

[OOTB] Ahnlab. VendorAction

dictionary

Содержит таблицу соответствия между идентификатором выполняемой операции и её названием.

[OOTB] Cisco ISE Message Codes

dictionary

Cодержит коды событий Cisco ISE и соотвествующие им имена.

[OOTB] DNS. Opcodes

dictionary

Содержит таблицу соответствия между десятичными кодами операций DNS и их описаниями, зарегистрированными IANA.

[OOTB] IANAProtocolNumbers

dictionary

Содержит номера портов транспортных протоколов (TCP, UDP) и соответствующие им имена сервисов, зарегистрированные IANA.

[OOTB] Juniper - JUNOS

dictionary

Содержит идентификаторы событий JUNOS и соответствующие им описания.

[OOTB] KEDR. AccountType

dictionary

Содержит идентификатор типа учетной записи и соответствующее ему наименование типа.

[OOTB] KEDR. FileAttributes

dictionary

Cодержит идентификаторы атрибутов файлов, хранимые файловой системой, и соответствующие им описания.

[OOTB] KEDR. FileOperationType

dictionary

Содержит идентификаторы операций с файлами из API KATA и соответствующие им названия операции.

[OOTB] KEDR. FileType

dictionary

Содержит идентификаторы изменённого файла из API KATA и соответствующие им описания типов файлов.

[OOTB] KEDR. IntegrityLevel

dictionary

Содержит SID параметра INTEGRITY LEVEL операционной системы Microsoft Windows и соответствующие им описания.

[OOTB] KEDR. RegistryOperationType

dictionary

Содержит идентификаторы операций с реестром из API KATA и соответствующие им значения.

[OOTB] Linux. Sycall types

dictionary

Содержит идентификаторы системных вызовов ОС Linux и соответствующие им названия.

[OOTB] MariaDB Error Codes

dictionary

Словарь содержит коды ошибок СУБД MariaDB и используется нормализатором [OOTB] MariaDB Audit Plugin syslog для обогащения событий.

[OOTB] Microsoft SQL Server codes

dictionary

Содержит идентификаторы ошибок MS SQL Server и соответствующие им описания.

[OOTB] MS DHCP Event IDs Description

dictionary

Содержит идентификаторы событий DHCP сервера Microsoft Windows и соответствующие им описания.

[OOTB] S-Terra. Dictionary MSG ID to Name

dictionary

Содержит идентификаторы событий устройств S-Terra и соответствующие им имена событий.

[OOTB] S-Terra. MSG_ID to Severity

dictionary

Содержит идентификаторы событий устройств S-Terra и соответствующие им значения Severity.

[OOTB] Syslog Priority To Facility and Severity

table

Таблица содержит значения Priority и соответствующие ему значения полей Facility and Severity.

[OOTB] VipNet Coordinator Syslog Direction

dictionary

Содержит идентификаторы направления (последовательность специальных символов), используемые в ViPNet Coordinator для обозначения направления, и соответствующие им значения.

[OOTB] Wallix EventClassId - DeviceAction

dictionary

Cодержит индентифкаторы событий Wallix AdminBastion и соответствующие им описания.

[OOTB] Windows.Codes (4738)

dictionary

Содержит коды операции, присутствующие в событии аудита MS Windows с идентификатором 4738, и соотвествующие им имена.

[OOTB] Windows.Codes (4719)

dictionary

Содержит коды операции, присутствующие в событии аудита MS Windows с идентификатором 4719, и соотвествующие им имена.

[OOTB] Windows.Codes (4663)

dictionary

Содержит коды операции, присутствующие в событии аудита MS Windows с идентификатором 4663, и соотвествующие им имена.

[OOTB] Windows.Codes (4662)

dictionary

Содержит коды операции, присутствующие в событии аудита MS Windows с идентификатором 4662, и соотвествующие им имена.

[OOTB] Windows. EventIDs and Event Names mapping

dictionary

Содержит идентификаторы событий ОС Windows и соответствующие имена событий.

[OOTB] Windows. FailureCodes (4625)

dictionary

Содержит идентификаторы из полей Failure Information\Status и Failure Information\Sub Status события 4625 Microsoft Windows и соответствующие им описания.

[OOTB] Windows. ImpersonationLevels (4624)

dictionary

Содержит идентификаторы из поля Impersonation level событий с идентификатором 4624 Microsoft Windows и соответствующие им описания.

[OOTB] Windows. KRB ResultCodes

dictionary

Содержит коды ошибок Kerberos v5 и соответствующие им описания.

[OOTB] Windows. LogonTypes (Windows all events)

dictionary

Содержит идентификаторы типов входов пользователя и соответствующие им наименования.

[OOTB] Windows_Terminal Server. EventIDs and Event Names mapping

dictionary

Содержит индентификаторы событий Microsoft Terminal Server и соотвествующие им имена.

[OOTB] Windows. Validate Cred. Error Codes

dictionary

Содержит идентификаторы типов входов пользователя и соответствующие им наименования.

[OOTB] ViPNet Coordinator Syslog Direction

dictionary

Содержит идентификаторы направления (последовательность специальных символов), используемые в ViPNet Coordinator для обозначения направления и соотвествующие им значения.

[OOTB] Syslog Priority To Facility and Severity

table

Cодержит значения Priority и соотвествуюие ему значения полей Facility and Severity.

В начало
[Topic 217843]

Правила реагирования

Правила реагирования запускают для заданных событий автоматическое выполнение задач Kaspersky Security Center, действия по реагированию для Kaspersky Endpoint Detection and Response, KICS for Networks, Active Directory и запуск пользовательского скрипта.

Автоматическое выполнение задач Kaspersky Security Center, Kaspersky Endpoint Detection and Response, KICS for Networks и Active Directory по правилам реагирования доступно при интеграции с перечисленными программами.

Можно настроить правила реагирования в разделе Ресурсы - Реагирование, а затем выбрать созданное правило реагирования в раскрывающемся списке в настройках коррелятора. Также можно настроить правила реагирования прямо в настройках коррелятора.

В этом разделе

Правила реагирования для Kaspersky Security Center

Правила реагирования для пользовательского скрипта

Правила реагирования для KICS for Networks

Правила реагирования для Kaspersky Endpoint Detection and Response

Правила реагирования через Active Directory

В начало
[Topic 217972]

Правила реагирования для Kaspersky Security Center

Вы можете настроить правила реагирования для автоматического запуска задач антивирусной проверки и обновления на активах Kaspersky Security Center.

При создании и изменении правил реагирования для Kaspersky Security Center вам требуется задать значения для следующих параметров.

Параметры правила реагирования

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Тип

Обязательный параметр, доступен при интеграции KUMA с Kaspersky Security Center.

Тип правила реагирования, ksctasks.

Задача Kaspersky Security Center

Обязательный параметр.

Название задачи Kaspersky Security Center, которую требуется запустить. Задачи должны быть созданы заранее, их названия должны начинаться со слова "KUMA". Например, KUMA antivirus check (без учета регистра и без кавычек).

С помощью KUMA можно запустить следующие типы задач Kaspersky Security Center:

  • обновление;
  • поиск вирусов.

Поле события

Обязательный параметр.

Определяет поле события для актива, для которого нужно запустить задачу Kaspersky Security Center. Возможные значения:

  • SourceAssetID.
  • DestinationAssetID.
  • DeviceAssetID.

Рабочие процессы

Количество процессов, которые сервис может запускать одновременно. По умолчанию количество рабочих процессов соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.

Описание

Описание правила реагирования. Вы можете добавить до 4000 символов в кодировке Unicode.

Фильтр

Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

Для отправки запросов в Kaspersky Security Center необходимо убедиться, что Kaspersky Security Center доступен по протоколу UDP.

Если правила реагирования принадлежат общему тенанту, то в качестве доступных для выбора задач Kaspersky Security Center отображаются задачи от сервера Kaspersky Security Center, к которому подключен главный тенант.

Если в правиле реагирования выбрана задача, которая отсутствует на сервере Kaspersky Security Center, к которому подключен тенант, для активов этого тенанта задача не будет выполнена. Такая ситуация может возникнуть, например, когда два тенанта используют общий коррелятор.

В начало
[Topic 233363]

Правила реагирования для пользовательского скрипта

Вы можете создать скрипт с командами, которые требуется выполнить на сервере KUMA при обнаружении выбранных событий, и настроить правила реагирования для автоматического запуска этого скрипта. В этом случае программа запустит скрипт при получении событий, соответствующих правилам реагирования.

Файл скрипта хранится на сервере, где установлен сервис коррелятора, использующий ресурс реагирования: /opt/kaspersky/kuma/correlator/<Идентификатор коррелятора>/scripts. Пользователю kuma этого сервера требуются права на запуск скрипта.

При создании и изменении правил реагирования для произвольного скрипта вам требуется задать значения для следующих параметров.

Параметры правила реагирования

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Тип

Обязательный параметр.

Тип правила реагирования, script.

Время ожидания

Количество секунд, в течение которого должно завершиться выполнение скрипта. Если это время превышено, выполнение скрипта прерывается.

Название скрипта

Обязательный параметр.

Имя файла скрипта.

Если ресурс реагирования прикреплен к сервису коррелятора, но в папке /opt/kaspersky/kuma/correlator/<Идентификатор коррелятора>/scripts файл скрипта отсутствует, коррелятор не будет работать.

Аргументы скрипта

Параметры или значения полей событий, которые необходимо передать скрипту.

Если в скрипте производятся какие-либо действия с файлами, к ним следует указывать абсолютный путь.

Параметры можно обрамлять кавычками (").

Имена полей событий передаются в формате {{.EventField}}, где EventField – это имя поля события, значение которого должно быть передано в скрипт.

Пример: -n "\"usr\": {{.SourceUserName}}"

Рабочие процессы

Количество процессов, которые сервис может запускать одновременно. По умолчанию количество рабочих процессов соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.

Описание

Описание ресурса. Вы можете добавить до 4000 символов в кодировке Unicode.

Фильтр

Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 233366]

Правила реагирования для KICS for Networks

Вы можете настроить правила реагирования для автоматического запуска действий по реагированию на активах KICS for Networks. Например, изменить статус актива в KICS for Networks.

При создании и изменении правил реагирования для KICS for Networks вам требуется задать значения для следующих параметров.

Параметры правила реагирования

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Тип

Обязательный параметр.

Тип правила реагирования, kics.

Поле события

Обязательный параметр.

Определяет поле события для актива, для которого нужно выполнить действия по реагированию. Возможные значения:

  • SourceAssetID.
  • DestinationAssetID.
  • DeviceAssetID.

Задача KICS for Networks

Действие по реагированию, которое требуется выполнить при получении данных, соответствующих фильтру. Доступны следующие типы действий по реагированию:

  • Изменить статус актива на Разрешенное.
  • Изменить статус актива на Неразрешенное.

При срабатывании правила реагирования из KUMA в KICS for Networks будет отправлен API-запрос на изменение статуса указанного устройства на Разрешенное или Неразрешенное.

Рабочие процессы

Количество процессов, которые сервис может запускать одновременно. По умолчанию количество рабочих процессов соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.

Описание

Описание ресурса. Вы можете добавить до 4000 символов в кодировке Unicode.

Фильтр

Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 233722]

Правила реагирования для Kaspersky Endpoint Detection and Response

Вы можете настроить правила реагирования для автоматического запуска действий по реагированию на активах Kaspersky Endpoint Detection and Response. Например, вы можете настроить автоматическую изоляцию актива от сети.

При создании и изменении правил реагирования для Kaspersky Endpoint Detection and Response вам требуется задать значения для следующих параметров.

Параметры правила реагирования

Параметр

Описание

Поле события

Обязательный параметр.

Определяет поле события для актива, для которого нужно выполнить действия по реагированию. Возможные значения:

  • SourceAssetID.
  • DestinationAssetID.
  • DeviceAssetID.

Тип задачи

Действие по реагированию, которое требуется выполнить при получении данных, соответствующих фильтру. Доступны следующие типы действий по реагированию:

  • Включить сетевую изоляцию. При выборе этого типа реагирования вам нужно задать значения для параметра:
    • Срок действия изоляции – количество часов, в течение которых будет действовать сетевая изоляция актива. Вы можете указать от 1 до 9999 часов. При необходимости вы можете добавить исключение для сетевой изоляции.

      Чтобы добавить исключение для сетевой изоляции:

      1. Нажмите на кнопку Добавить исключение.
      2. Выберите направление сетевого трафика, которое не должно быть заблокировано:
        • Входящее.
        • Исходящее.
        • Входящее/Исходящее.
      3. В поле IP актива введите IP-адрес актива, сетевой трафик которого не должен быть заблокирован.
      4. Если вы выбрали Входящее или Исходящее, укажите порты подключения в полях Удаленные порты и Локальные порты. Начиная с версии КАТА 5.1 в реагирование "Включение изоляции" нельзя вводить порты в исключение при направлении трафика "Входящий/Исходящий". Будет отображаться ошибка запуска реагирования.
      5. Если вы хотите добавить более одного исключения, нажмите на кнопку Добавить исключение и повторите действия по заполнению полей Направление трафика, IP актива, Удаленные порты и Локальные порты.
      6. Если вы хотите удалить исключение, нажмите на кнопку Удалить под нужным вам исключением.

    При добавлении исключений в правило сетей изоляции Kaspersky Endpoint Detection and Response может некорректно отображать значения портов в информации о правиле. Это не влияет на работоспособность программы. Подробнее о просмотре правила сетевой изоляции см. в справке Kaspersky Anti Targeted Attack Platform.

  • Выключить сетевую изоляцию.
  • Добавить правило запрета. При выборе этого типа реагирования вам нужно задать значения для следующих параметров:
    • Поля события для получения хеш-суммы – поля событий, из которых KUMA извлекает SHA256- или MD5-хеши файлов, запуск которых требуется запретить.
      Выбранные поля событий, а также значения, выбранные в Поле события, требуется добавить в наследуемые поля правила корреляции.
    • Хеш файла №1 – SHA256- или MD5-хеш файла, который требуется запретить.

Хотя бы одно из указанных выше полей должно быть заполнено.

  • Удалить правило запрета.
  • Запустить программу. При выборе этого типа реагирования вам нужно задать значения для следующих параметров:
    • Путь к файлу – путь к файлу процесса, который вы хотите запустить.
    • Аргументы командной строки – параметры, с которыми вы хотите запустить файл.
    • Текущая директория – директория, в которой на момент запуска располагается файл.

    При срабатывании правила реагирования для пользователей с ролью главный администратор в разделе Диспетчер задач веб-интерфейса программы отобразится задача Запустить программу. В столбце Создал таблицы задач для этой задачи отображается Задача по расписанию. Вы можете просмотреть результат выполнения задачи.

Все перечисленные операции выполняются на активах с Kaspersky Endpoint Agent для Windows. На активах с Kaspersky Endpoint Agent для Linux выполняется только запуск программы.

На программном уровне возможность создания правил запрета и сетевой изоляции для активов с Kaspersky Endpoint Agent для Linux не ограничена. KUMA и Kaspersky Endpoint Detection and Response не уведомляют о неуспешном применении этих правил.

Рабочие процессы

Количество процессов, которые сервис может запускать одновременно. По умолчанию количество рабочих процессов соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.

Описание

Описание правила реагирования. Вы можете добавить до 4000 символов в кодировке Unicode.

Фильтр

Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 237454]

Правила реагирования через Active Directory

Правила реагирования через Active Directory определяют действия, которые будут применяться к учетной записи в случае срабатывания правила.

При создании и изменении правил реагирования через Active Directory вам требуется задать значения для следующих параметров.

Параметры правила реагирования

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Тип

Обязательный параметр.

Тип правила реагирования, Реагирование через Active Directory.

Источник идентификатора аккаунта

Поле события, откуда будет взято значение идентификатора учетной записи Active Directory. Возможные значения:

  • SourceAccountID
  • DestinationAccountID

Команда Active Directory

Команда, которая будет применяться к учетной записи при срабатывании правила реагирования.

Доступные значения:

  • Добавить учетную запись в группу

    Группа Active Directory, из которой или в которую необходимо переместить учетную запись.
    В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе.
    Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru.
    В рамках одной операции можно указать только одну группу.

  • Удалить учетную запись из группы

    Группа Active Directory, из которой или в которую необходимо переместить учетную запись.
    В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе.
    Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru.
    В рамках одной операции можно указать только одну группу.

  • Сбросить пароль учетной записи

Если в вашем домене Active Directory для учетных записей допускается установка флажка User cannot change password, использование в качестве реагирования сброса пароля учетной записи приведет к коллизии требований к учетной записи: пользователь не сможет аутентифицироваться. Администратору домена потребуется снять один из флажков для затронутой учетной записи: User cannot change password или User must change password at next logon.

  • Блокировать учетную запись

Фильтр

Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

    В этом случае вы сможете использовать созданный фильтр в разных сервисах.

    По умолчанию флажок снят.

  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

      В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

    3. В раскрывающемся списке оператор выберите нужный вам оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inContextTable – существует ли запись в контекстной таблице. Этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются со значениями записей контекстной таблицы, выбранной в раскрывающемся списке контекстных таблиц.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

      Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

      По умолчанию флажок снят.

    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
    6. Вы можете добавить несколько условий или группу условий.
  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

    Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 243446]

Шаблоны уведомлений

Шаблоны уведомлений используются в уведомлениях о создании алертов.

Параметры шаблонов уведомлений

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Тема

Тема электронного письма с уведомлением о создании алерта. В теме письма можно обращаться к полям алерта.

Пример: Новый алерт в KUMA: {{.CorrelationRuleName}}. Вместо {{.CorrelationRuleName}} в теме письма с уведомлением будет подставлено название правила корреляции, содержащееся в поле алерта CorrelationRuleName.

Шаблон

Обязательный параметр.

Тело электронного письма с уведомлением о создании алерта. Шаблон поддерживает синтаксис, с помощью которого уведомление можно наполнить данными из алерта. Подробнее про синтаксис вы можете прочитать в официальной документации языка Go.

Для удобства можно открыть текст письма в отдельном окне, нажав на значок full-screen. При этом открывается окно Шаблон, в котором можно править текст письма с уведомлением. Сохранить изменения и закрыть окно можно с помощью кнопки Сохранить.

Предустановленные шаблоны уведомлений

В поставку KUMA включены перечисленные в таблице ниже шаблоны уведомлений.

Предустановленные шаблоны уведомлений

Название шаблона

Описание

[OOTB] New alert in KUMA

Базовый шаблон уведомлений.

Функции в шаблонах уведомлений

В шаблонах доступны функции, перечисленные в таблице ниже.

Функции в шаблонах

Параметр

Описание

date

Принимает первым параметром время в миллисекундах (unix time), вторым параметром можно передать формат времени по стандартам RFC. Часовой пояс изменить нельзя.

Пример вызова: {{ date .FirstSeen "02 Jan 06 15:04" }}

Результат вызова: 18 Nov 2022 13:46

Примеры форматов дат, поддерживаемые функцией:

  • "02 Jan 06 15:04 MST"
  • "02 Jan 06 15:04 -0700"
  • "Monday, 02-Jan-06 15:04:05 MST"
  • "Mon, 02 Jan 2006 15:04:05 MST"
  • "Mon, 02 Jan 2006 15:04:05 -0700"
  • "2006-01-02T15:04:05Z07:00"

limit

Функция вызывается внутри функции range для ограничения списка данных. Обрабатывает списки которые не имеют ключей, принимает любой список данных первым параметром и обрезает список по второму значению. Например, в функцию можно передавать поля алерта .Events, .Assets, .Accounts, .Actions.

Пример вызова:

{{ range (limit .Assets 5) }}

<strong>Устройство</strong>: {{ .DisplayName }},

<strong>Дата создания</strong>: {{ .CreatedAt }}

{{ end }}

link_alert

Формирует ссылку на алерт с URL, указанным в настройках подключения к SMTP-серверу в качестве псевдонима сервера Ядра KUMA или с реальным URL сервиса Ядра KUMA, если псевдоним не задан.

Пример вызова:

{{ link_alert }}

link

Принимает вид ссылки, доступной для перехода.

Пример вызова:

{{ link "https://support.kaspersky.com/KUMA/2.1/ru-RU/233508.htm" }}

Синтаксис шаблона уведомления

В шаблоне можно обращаться к полям алерта, содержащим строку или число:

{{ .CorrelationRuleName }}

В письме будет отображаться название алерта, то есть содержимое поля CorrelationRuleName.

Некоторые поля алерта содержат массивы данных. Например, это поля алерта с относящимися к нему событиями, активами, учетными записями. К таким вложенным объектам можно обращаться с помощью функции range, которая последовательно обращается к полям 50 первых вложенных объектов. При обращении с помощью функции range к полю, в котором нет массива данных, возвращается ошибка. Пример:

{{ range .Assets }}

Устройство: {{ .DisplayName }}, дата создания: {{ .CreatedAt }}

{{ end }}

В письме будут отображаться значения полей DeviceHostName и CreatedAt из 50 связанных с алертом активов:

Устройство: <значение поля DisplayName из актива 1>, дата создания: <значение поля CreatedAt из актива 1>

Устройство: <значение поля DisplayName из актива 2>, дата создания: <значение поля CreatedAt из актива 2>

...

// Всего 50 строк

С помощью параметра limit можно ограничить количество объектов, возвращаемых функцией range:

{{ range (limit .Assets 5) }}

<strong>Устройство</strong>: {{ .DisplayName }},

<strong>Дата создания</strong>: {{ .CreatedAt }}

{{ end }}

В письме будут отображаться значения полей DisplayName и CreatedAt из 5 связанных с алертом активов, слова "Устройства" и "Дата создания" выделены HTML-тегами <strong>:

<strong>Устройство</strong>: <значение поля DeviceHostName из актива 1>,

<strong>Дата создания</strong>: <значение поля CreatedAt из актива 1>

<strong>Устройство</strong>: <значение поля DeviceHostName из актива N>,

<strong>Дата создания</strong>: <значение поля CreatedAt из актива N>

...

// Всего 10 строк

Вложенные объекты могут иметь свои вложенные объекты. К ним можно обратиться с помощью вложенных функций range:

{{ range (limit .Events 5) }}

    {{ range (limit .Event.BaseEvents 10) }}

    Идентификатор сервиса: {{ .ServiceID }}

    {{ end }}

{{ end }}

В письме будет отображаться по десять идентификаторов сервисов (поле ServiceID) из базовых событий, относящихся к пяти корреляционным событиям алерта. Всего 50 строк. Обратите внимание, что обращение к событиям происходит через вложенную структуру EventWrapper, которая находится в алерте в поле Events. События доступны в поле Event этой структуры, что отражено в примере выше. Таким образом, если поле A содержит вложенную структуру [B] и в структуре [B] есть поле C, которое является строкой или числом, то чтобы обратиться к полю C необходимо указать путь {{ A.C }}.

Некоторые поля объектов содержат вложенные словари в формате "ключ - значение" (например, поле событий Extra). К ним можно обратиться с помощью функции range с переданными ей переменными: range $placeholder1, $placeholder2 := .FieldName. Значения переменных затем можно вызывать, указывая из названия. Пример:

{{ range (limit .Events 3) }}

    {{ range (limit .Event.BaseEvents 5) }}

    Список полей в поле события Extra: {{ range $name, $value := .Extra }} {{ $name }} - {{ $value }} <br> {{ end }}

    {{ end }}

{{ end }}

В письме через HTML-тег <br> будут отображаться пары "ключ - значение" из полей Extra базовых событий, принадлежащих корреляционным событиям. Вызываются данные из пяти базовых событий из каждого из трех корреляционных событий.

В шаблонах уведомлений можно использовать HTML-теги, выстраивая их в сложные структуры. Ниже приводится пример таблицы для полей корреляционного события:

<style type="text/css">

  TD, TH {

    padding: 3px;

    border: 1px solid black;

  }

</style>

<table>

  <thead>

    <tr>

        <th>Название сервиса</th>

        <th>Название корреляционного правила</th>

        <th>Версия устройства</th>

    </tr>

  </thead>

  <tbody>

    {{ range .Events }}

    <tr>

        <td>{{ .Event.ServiceName }}</td>

        <td>{{ .Event.CorrelationRuleName }}</td>

        <td>{{ .Event.DeviceVersion }}</td>

    </tr>

    {{ end }}

  </tbody>

</table>

С помощью функции link_alert в письмо с уведомлением можно вставить HTML-ссылку на алерт:

{{link_alert}}

В письме будет отображаться ссылка на окно алерта.

Ниже приведен пример, как можно из связанных с алертом данных извлечь сведения о наивысшей категории активов и поместить ее в уведомления:

{{ $criticalCategoryName := "" }}{{ $maxCategoryWeight := 0 }}{{ range .Assets }}{{ range .CategoryModels }}{{ if gt .Weight $maxCategoryWeight }}{{ $maxCategoryWeight = .Weight }}{{ $criticalCategoryName = .Name }}{{ end }}{{ end }}{{ end }}{{ if gt $maxCategoryWeight 1 }}

Наивысшая категория активов: {{ $criticalCategoryName }}{{ end }}

В начало
[Topic 233508]

Коннекторы

Коннекторы используются для установления соединений между сервисами KUMA, активного и пассивного получения событий.

В программе доступны следующие типы коннекторов:

  • internal – используется для установления связи между сервисами KUMA.
  • tcp – используется для пассивного получения событий по протоколу TCP. Доступен для агентов Windows и Linux.
  • udp – используется для пассивного получения событий по протоколу UDP. Доступен для агентов Windows и Linux.
  • netflow – используется для пассивного получения событий в формате NetFlow.
  • sflow – используется для пассивного получения событий в формате SFlow.
  • nats-jetstream – используется для взаимодействия с брокером сообщений NATS. Доступен для агентов Windows и Linux.
  • kafka – используется для коммуникации с шиной данных Apache Kafka. Доступен для агентов Windows и Linux.
  • http – используется для получения событий по протоколу HTTP. Доступен для агентов Windows и Linux.
  • sql – используется для выборки данных из СУБД.

    Программа поддерживает работу со следующими типами баз данных SQL:

    • SQLite.
    • MSSQL.
    • MySQL.
    • PostgreSQL.
    • Cockroach.
    • Oracle.
    • Firebird.
  • file – используется для получения данных из текстового файла. Доступен для агентов Linux.
  • 1c-log и 1c-xml – используются для получения данных из журналов 1С. Доступны для агентов Linux.
  • diode – используется для однонаправленной передачи данных в промышленных ICS-сетях с использованием диодов данных.
  • ftp – используется для получения данных по протоколу File Transfer Protocol. Доступен для агентов Windows и Linux.
  • nfs – используется для получения данных по протоколу Network File System. Доступен для агентов Windows и Linux.
  • wmi – используется для получения данных с помощью Windows Management Instrumentation. Доступен для агентов Windows.
  • wec – используется для получения данных с помощью Windows Event Forwarding (WEF) и Windows Event Collector (WEC) или локальных журналов ОС хоста под управлением Windows. Доступен для агентов Windows.
  • snmp – используется для получения данных с помощью Simple Network Management Protocol. Доступен для агентов Windows и Linux.
  • snmp-trap – используется для получения данных с помощью "ловушек" Simple Network Management Protocol (SNMP Trap). Доступен для агентов Windows и Linux.

В этом разделе

Просмотр параметров коннектора

Добавление коннектора

Параметры коннекторов

Предустановленные коннекторы

В начало
[Topic 217776]

Просмотр параметров коннектора

Чтобы просмотреть параметры коннектора:

  1. В веб-интерфейсе KUMA перейдите в раздел РесурсыКоннекторы.
  2. В структуре папок выберите папку, в которой располагается нужный вам коннектор.
  3. Выберите коннектор, параметры которого вы хотите просмотреть.

Параметры коннекторов отображаются на двух вкладках: Основные параметры и Дополнительные параметры. Подробное описание параметров каждого коннектора см. в разделе Параметры коннекторов.

В начало
[Topic 233566]

Добавление коннектора

Вы можете включить отображение непечатаемых символов для всех полей ввода, кроме поля Описание.

Чтобы добавить коннектор:

  1. В веб-интерфейсе KUMA перейдите в раздел РесурсыКоннекторы.
  2. В структуре папок выберите папку, в которой должен располагаться коннектор.

    Корневые папки соответствуют тенантам. Для того, чтобы коннектор был доступен определенному тенанту, его следует создать в папке этого тенанта.

    Если в дереве папок отсутствует требуемая папка, вам нужно создать ее.

    По умолчанию добавляемые коннекторы создаются в папке Общий.

  3. Нажмите на кнопку Добавить коннектор.
  4. Укажите параметры для выбранного типа коннектора.

    Параметры, которые требуется указать для каждого типа коннектора, приведены в разделе Параметры коннекторов.

  5. Нажмите на кнопку Сохранить.
В начало
[Topic 233570]

Параметры коннекторов

Этот раздел содержит описание параметров всех поддерживаемых KUMA типов коннекторов.

В этом разделе

Тип internal

Тип tcp

Тип udp

Тип netflow

Тип sflow

Тип nats-jetstream

Тип kafka

Тип http

Тип sql

Тип file

Тип 1c-xml

Тип 1c-log

Тип diode

Тип ftp

Тип nfs

Тип wmi

Тип wec

Тип snmp

Тип snmp-trap

В начало
[Topic 233592]

Тип internal

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

Закладка Основные параметры:

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Тип (обязательно) – тип коннектора, internal.
  • URL (обязательно) – URL, с которым необходимо установить связь.
  • Доступные форматы: hostname:port, IPv4:port, IPv6:port, :port.
  • Описание – описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры:

  • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса.

    По умолчанию указывается значение Выключено.

В начало
[Topic 220738]

Тип tcp

При создании этого типа коннектора вам требуется указать значения следующих параметров:

Закладка Основные параметры:

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Тип (обязательно) – тип коннектора, tcp.
  • URL (обязательно) – URL, с которым необходимо установить связь. Доступные форматы: hostname:port, IPv4:port, IPv6:port, :port.
  • Разделитель – используется для указания символа, определяющего границу между событиями. Доступные значения: \n, \t, \0. Если разделитель не задан (выбрано пустое значение), то по умолчанию используется значение: \n.
  • Описание – описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры:

  • Размер буфера – используется для установки размера буфера коннектора. Значение по умолчанию: 1 МБ; максимальное: 64 МБ.
  • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
  • Режим TLS – режим шифрования TLS с использованием сертификатов в формате pem x509:
    • Выключено (по умолчанию) – не использовать шифрование TLS.
    • Включено – использовать шифрование, но без верификации сертификатов.
    • С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
    • Нестандартный PFX – использовать шифрование. При выборе этого варианта требуется сформировать сертификат с закрытым ключом в формате PKCS#12-контейнера во внешнем центре сертификации, экспортировать сертификат из хранилища и загрузить его в веб-интерфейс KUMA в виде PFX-секрета. Добавить PFX-секрет.
      1. Если вы загрузили PFX-сертификат ранее, выберите его в раскрывающемся списке Секрет.

        Если ранее не было добавлено ни одного сертификата, в раскрывающемся списке отобразится Нет данных.

      2. Если вы хотите добавить новый сертификат, справа от списка Секрет нажмите на кнопку AD_plus.

        Откроется окно Секрет.

      3. В поле Название введите название, под которым секрет будет отображаться в списке доступных.
      4. По кнопке Загрузить PFX выберите файл, в который вы экспортировали сертификат с закрытым ключом, в формате PKCS#12-контейнера.
      5. В поле Пароль введите пароль для защиты сертификата, заданный в мастере экспорта сертификата.
      6. Нажмите на кнопку Сохранить.

      Сертификат будет добавлен и отобразится в списке Секрет.

      При использовании TLS невозможно указать IP-адрес в качестве URL.

  • Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
  • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
В начало
[Topic 220739]

Тип udp

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

Закладка Основные параметры:

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Тип (обязательно) – тип коннектора, udp.
  • URL (обязательно) – URL, с которым необходимо установить связь. Доступные форматы: hostname:port, IPv4:port, IPv6:port, :port.
  • Разделитель – используется для указания символа, определяющего границу между событиями. Доступные значения: \n, \t, \0. Если разделитель не задан (выбрано пустое значение), то события не разделяются.
  • Описание – описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры:

  • Размер буфера – используется для установки размера буфера коннектора. Значение по умолчанию: 16 Кб; максимальное: 64 Кб.
  • Рабочие процессы – используется для установки числа рабочих процессов для коннектора. Значение по умолчанию: 1.
  • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
  • Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
  • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
В начало
[Topic 220740]

Тип netflow

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, netflow.
    • URL (обязательно) – URL, с которым необходимо установить связь.
    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
  • Закладка Дополнительные параметры:
    • Размер буфера – используется для установки размера буфера коннектора. Значение по умолчанию: 16 Кб; максимальное: 64 Кб.
    • Рабочие процессы – используется для установки числа рабочих процессов для коннектора. Значение по умолчанию: 1.
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
В начало
[Topic 220741]

Тип sflow

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

Закладка Основные параметры:

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Тип (обязательно) – тип коннектора, sflow.
  • URL (обязательно) – URL, с которым требуется установить связь. Доступные форматы: hostname:port, IPv4:port, IPv6:port, :port.
  • Описание – описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры:

  • Размер буфера – используется для установки размера буфера коннектора. Значение по умолчанию: 1 МБ; максимальное: 64 МБ.
  • Рабочие процессы – используется для установки количества рабочих процессов для коннектора. Значение по умолчанию: 1.
  • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
  • Отладка – раскрывающийся список, позволяющий включить логирование ресурса. По умолчанию указывается значение Выключено.
В начало
[Topic 233206]

Тип nats-jetstream

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

Закладка Основные параметры:

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Тип (обязательно) – тип коннектора, nats-jetstream.
  • URL (обязательно) – URL, с которым необходимо установить связь.
  • Топик (обязательно) – тема сообщений NATS. Должно содержать символы в кодировке Unicode.
  • Разделитель – используется для указания символа, определяющего границу между событиями. Доступные значения: \n, \t, \0. Если разделитель не задан (выбрано пустое значение), то события не разделяются.
  • Описание – описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры:

  • Размер буфера – используется для установки размера буфера коннектора. Значение по умолчанию: 16 Кб; максимальное: 64 Кб.
  • Идентификатор группы – параметр GroupID для сообщений NATS. Должно содержать от 1 до 255 символов в кодировке Unicode. Значение по умолчанию: default.
  • Рабочие процессы – используется для установки числа рабочих процессов для коннектора. Значение по умолчанию: 1.
  • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
  • Идентификатор кластера – идентификатор кластера NATS.
  • Режим TLS – использование шифрования TLS:
    • Выключено (по умолчанию) – не использовать шифрование TLS.
    • Включено – использовать шифрование, но без верификации сертификата.
    • С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
    • Нестандартный CA – использовать шифрование с верификацией сертификата, подписанного центром сертификации. Секрет с сертификатом выбирается в раскрывающемся списке Нестандартный CA, который отображается при выборе этого пункта.

      Создание сертификата, подписанного центром сертификации

      Для использования этого режима TLS необходимо выполнить следующие действия на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL):

      1. Создать ключ, который будет использоваться центром сертификации.

        Пример команды:

        openssl genrsa -out ca.key 2048

      2. Создать сертификат для только что созданного ключа.

        Пример команды:

        openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt

      3. Создать приватный ключ и запрос на его подписание в центре сертификации.

        Пример команды:

        openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr

      4. Создать сертификат, подписанный центром сертификации. Необходимо включить в subjectAltName доменные имена или IP-адреса сервера, для которого создается сертификат.

        Пример команды:

        openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

      5. Полученный сертификат server.crt следует загрузить в веб-интерфейсе KUMA в секрет типа certificate, который затем следует выбрать в раскрывающемся списке Нестандартный CA.

      При использовании TLS невозможно указать IP-адрес в качестве URL.

      Для использования сертификатов KUMA на сторонних устройствах необходимо изменить расширение файла сертификата с CERT на CRT. В противном случае может возвращаться ошибка x509: certificate signed by unknown authority.

  • Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
  • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
В начало
[Topic 220742]

Тип kafka

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

Закладка Основные параметры:

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Тип (обязательно) – тип коннектора, kafka.
  • URL – URL, с которым необходимо установить связь. Доступные форматы: hostname:port, IPv4:port, IPv6:port.
  • Топик – тема сообщений Kafka. Должен содержать от 1 до 255 следующих символов: a–z, A–Z, 0–9, ".", "_", "-".
  • Авторизация – необходимость агентам проходить авторизацию при подключении к коннектору:
    • выключена (по умолчанию).
    • PFX.

      При выборе этого варианта требуется сформировать сертификат с закрытым ключом в формате PKCS#12-контейнера во внешнем центре сертификации, экспортировать сертификат из хранилища и загрузить его в веб-интерфейс KUMA в виде PFX-секрета.

      Добавить PFX-секрет

      1. Если вы загрузили PFX-сертификат ранее, выберите его в раскрывающемся списке Секрет.

        Если ранее не было добавлено ни одного сертификата, в раскрывающемся списке отобразится Нет данных.

      2. Если вы хотите добавить новый сертификат, справа от списка Секрет нажмите на кнопку AD_plus.

        Откроется окно Секрет.

      3. В поле Название введите название, под которым секрет будет отображаться в списке доступных.
      4. По кнопке Загрузить PFX выберите файл, в который вы экспортировали сертификат с закрытым ключом, в формате PKCS#12-контейнера.
      5. В поле Пароль введите пароль для защиты сертификата, заданный в мастере экспорта сертификата.
      6. Нажмите на кнопку Сохранить.

      Сертификат будет добавлен и отобразится в списке Секрет.

    • обычная.

      При выборе этого варианта требуется указать секрет, содержащий данные учетной записи пользователя для авторизации при подключении к коннектору.

      Добавить секрет

      1. Если вы создали секрет ранее, выберите его в раскрывающемся списке Секрет.

        Если ранее не было добавлено ни одного секрета, в раскрывающемся списке отобразится Нет данных.

      2. Если вы хотите добавить новый секрет, справа от списка Секрет нажмите на кнопку AD_plus.

        Откроется окно Секрет.

      3. В поле Название введите название, под которым секрет будет отображаться в списке доступных.
      4. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору.
      5. Если требуется, в поле Описание добавьте любую дополнительную информацию о секрете.
      6. Нажмите на кнопку Сохранить.

      Секрет будет добавлен и отобразится в списке Секрет.

  • Идентификатор группы – параметр GroupID для сообщений Kafka. Должен содержать от 1 до 255 следующих символов: a–z, A–Z, 0–9, ".", "_", "-".
  • Описание – описание ресурса: до 4000 символов в кодировке Unicode.

Закладка Дополнительные параметры:

  • Размер одного сообщения в запросе – размер сообщения в запросе следует указывать в байтах. Значение по умолчанию 16 Мб.
  • Максимальное время ожидания одного сообщения – время ожидания сообщения заданного размера. Значение по умолчанию 5 секунд.
  • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
  • Режим TLS – использование шифрования TLS:
    • Выключено (по умолчанию) – не использовать шифрование TLS.
    • Включено – использовать шифрование, но без верификации сертификата.
    • С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
    • Нестандартный CA – использовать шифрование с верификацией сертификата, подписанного центром сертификации. Секрет с сертификатом выбирается в раскрывающемся списке Нестандартный CA, который отображается при выборе этого пункта.

      Создание сертификата, подписанного центром сертификации

      Для использования этого режима TLS необходимо выполнить следующие действия на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL):

      1. Создать ключ, который будет использоваться центром сертификации.

        Пример команды:

        openssl genrsa -out ca.key 2048

      2. Создать сертификат для только что созданного ключа.

        Пример команды:

        openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt

      3. Создать приватный ключ и запрос на его подписание в центре сертификации.

        Пример команды:

        openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr

      4. Создать сертификат, подписанный центром сертификации. Необходимо включить в subjectAltName доменные имена или IP-адреса сервера, для которого создается сертификат.

        Пример команды:

        openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

      5. Полученный сертификат server.crt следует загрузить в веб-интерфейсе KUMA в секрет типа certificate, который затем следует выбрать в раскрывающемся списке Нестандартный CA.

      При использовании TLS невозможно указать IP-адрес в качестве URL.

      Для использования сертификатов KUMA на сторонних устройствах необходимо изменить расширение файла сертификата с CERT на CRT. В противном случае может возвращаться ошибка x509: certificate signed by unknown authority.

  • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
В начало
[Topic 220744]

Тип http

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, http.
    • URL (обязательно) – URL, с которым необходимо установить связь. Доступные форматы: hostname:port, IPv4:port, IPv6:port, :port.
    • Разделитель – используется для указания символа, определяющего границу между событиями. Доступные значения: \n, \t, \0. Если разделитель не задан (выбрано пустое значение), то события не разделяются.
    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
  • Закладка Дополнительные параметры:
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Режим TLS – использование шифрования TLS:
      • Выключено (по умолчанию) – не использовать шифрование TLS.
      • Включено – использовать шифрование, но без верификации.
      • С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.

      При использовании TLS невозможно указать IP-адрес в качестве URL.

    • Прокси-сервер – раскрывающийся список, в котором можно выбрать ресурс прокси-сервера.
    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
В начало
[Topic 220745]

Тип sql

KUMA поддерживает работу с несколькими типами баз данных.

Программа поддерживает работу со следующими типами баз данных SQL:

  • SQLite.
  • MsSQL.
  • MySQL.
  • PostgreSQL.
  • Cockroach.
  • Oracle.
  • Firebird.

При создании коннектора вам требуется задать значения для общих параметров коннектора и индивидуальных параметров подключения к базе данных.

Для коннектора на закладке Основные параметры вам требуется задать значения следующих параметров:

  • Название (обязательно) – уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тип (обязательно) – тип коннектора, sql.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Запрос по умолчанию (обязательно) – SQL-запрос, который выполняется при подключении к базе данных.
  • Переподключаться к БД каждый раз при отправке запроса – по умолчанию флажок снят.
  • Интервал запросов, сек. – интервал выполнения SQL-запросов. Указывается в секундах. Значение по умолчанию: 10 секунд.
  • Описание – описание ресурса: до 4000 символов в кодировке Unicode.

Для подключения к базе данных на закладке Основные параметры вам требуется задать значения следующих параметров:

  • URL (обязательно) – секрет, в котором хранится список URL-адресов для подключения к базе данных.

    При необходимости вы можете изменить или создать секрет.

    1. Нажмите на кнопку AddResource.

      Откроется окно секрета.

    2. Укажите значения для следующих параметров:
      1. Название – имя добавляемого секрета.
      2. Типurls.

        Значение установлено по умолчанию, его редактирование недоступно.

      3. URL – URL-адрес базы данных.

        Вам требуется учитывать, что для подключения к каждому типу базы данных используется свой формат URL-адреса.

        Доступные форматы URL-адресов:

        • Для SQLite:
          • sqlite3://file:<file_path>

          В качестве плейсхолдера используется знак вопроса: ?.

        • Для MsSQL:
          • sqlserver://<user>:<password>@<server:port>/<instance_name>?database=<database> (рекомендуется)
          • sqlserver://<user>:<password>@<server>?database=<database>&encrypt=disable

          В качестве плейсхолдера используются символы @p1.

        • Для MySQL:
          • mysql://<user>:<password>@tcp(<server>:<port>)/<database>

          В качестве плейсхолдера используются символы %s.

        • Для PostgreSQL:
          • postgres://<user>:<password>@<server>/<database>?sslmode=disable

          В качестве плейсхолдера используются символы $1.

        • Для Cockroach:
          • postgres://<user>:<password>@<server>:<port>/<database>?sslmode=disable

          В качестве плейсхолдера используются символы $1.

        • Для Firebird:
          • firebirdsql://<user>:<password>@<server>:<port>/<database>

          В качестве плейсхолдера используется знак вопроса: ?.

      4. Описание – любая дополнительная информация.
    3. При необходимости нажмите на кнопку Добавить и укажите дополнительный URL-адрес.

      В этом случае при недоступности одного URL-адреса программа подключается к следующему URL-адресу, указанному в списке адресов.

    4. Нажмите на кнопку Сохранить.
    1. Нажмите на кнопку EditResource.

      Откроется окно секрета.

    2. Укажите значения для параметров, которые требуется изменить.

      Вы можете изменить значения для следующих параметров:

      1. Название – имя добавляемого секрета.
      2. URL – URL-адрес базы данных.

        Вам требуется учитывать, что для подключения к каждому типу базы данных используется свой формат URL-адреса.

        Доступные форматы URL-адресов:

        • Для SQLite:
          • sqlite3://file:<file_path>

          В качестве плейсхолдера используется знак вопроса: ?.

        • Для MsSQL:
          • sqlserver://<user>:<password>@<server:port>/<instance_name>?database=<database> (рекомендуется)
          • sqlserver://<user>:<password>@<server>?database=<database>&encrypt=disable

          В качестве плейсхолдера используются символы @p1.

        • Для MySQL:
          • mysql://<user>:<password>@tcp(<server>:<port>)/<database>

          В качестве плейсхолдера используется символ ?.

        • Для PostgreSQL:
          • postgres://<user>:<password>@<server>/<database>?sslmode=disable

          В качестве плейсхолдера используются символы $1.

        • Для Cockroach:
          • postgres://<user>:<password>@<server>:<port>/<database>?sslmode=disable

          В качестве плейсхолдера используются символы $1.

        • Для Firebird:
          • firebirdsql://<user>:<password>@<server>:<port>/<database>

          В качестве плейсхолдера используется знак вопроса: ?.

      3. Описание – любая дополнительная информация.
    3. При необходимости нажмите на кнопку Добавить и укажите дополнительный URL-адрес.

      В этом случае при недоступности одного URL-адреса программа подключается к следующему URL-адресу, указанному в списке адресов.

    4. Нажмите на кнопку Сохранить.

    При создании подключений могут некорректно обрабатываться строки с учетными данными, содержащими специальные символы. Если при создании подключения возникает ошибка, но вы уверены в том, что значения параметров корректны, укажите специальные символы в процентной кодировке.

    Коды специальных символов

    !

    #

    $

    %

    &

    '

    (

    )

    *

    +

    %21

    %23

    %24

    %25

    %26

    %27

    %28

    %29

    %2A

    %2B

    ,

    /

    :

    ;

    =

    ?

    @

    [

    ]

    \

    %2C

    %2F

    %3A

    %3B

    %3D

    %3F

    %40

    %5B

    %5D

    %5C

    Следующие специальные символы не поддерживаются в паролях доступа к базам SQL: пробел, [, ], :, /, #, %, \.

  • Столбец идентификатора (обязательно) – название столбца, содержащего идентификатор для каждой строки таблицы.
  • Начальное значение идентификатора (обязательно) – значение в столбце идентификатора, по которому будет определена строка, с которой требуется начать считывание данных из SQL-таблицы.
  • Запрос – поле для дополнительного SQL-запроса. Запрос, указанный в этом поле, выполняется вместо запроса по умолчанию.
  • Интервал запросов, сек. – интервал выполнения SQL-запросов. Интервал, указанный в этом поле, используется вместо интервала, указанного по умолчанию для коннектора.

    Указывается в секундах. Значение по умолчанию: 10 секунд.

Для коннектора на закладке Дополнительные параметры вам требуется задать значения следующих параметров:

  • Кодировка символов – кодировка символов. Значение по умолчанию: UTF-8.

    KUMA конвертирует ответы SQL в кодировку UTF-8. Вы можете настроить SQL-сервер на отправку ответов в кодировке UTF-8 или выбрать их кодировку на стороне KUMA.

  • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.

В рамках одного коннектора вы можете создать подключение для нескольких поддерживаемых баз данных.

Чтобы создать подключение для нескольких баз данных SQL:

  1. Нажмите на кнопку Добавить подключение.
  2. Задайте значение для параметров URL, Столбец идентификатора, Начальное значение идентификатора, Запрос, Интервал запросов, сек.
  3. Повторите шаги 1–2 для каждого требуемого подключения.

Поддерживаемые типы SQL и особенности их использования

Оператор UNION не поддерживается коннекторами типа SQL.

Поддерживаются следующие типы SQL:

  • MSSQL

    Примеры URL:

    • sqlserver://{user}:{password}@{server:port}/{instance_name}?database={database} – (рекомендуемый вариант)
    • sqlserver://{user}:{password}@{server}?database={database}

    В качестве плейсхолдера в SQL-запросе используются символы @p1.

    Если вам требуется подключиться с доменными учетными данными, укажите имя учетной записи в формате <домен>%5C<пользователь>. Например: sqlserver://domain%5Cuser:password@ksc.example.com:1433/SQLEXPRESS?database=KAV.

  • MySQL

    Пример URL: mysql://{user}:{password}@tcp({server}:{port})/{database}

    В качестве плейсхолдера в SQL-запросе используются символ ?.

  • PostgreSQL

    Пример URL: postgres://{user}:{password}@{server}/{database}?sslmode=disable

    В качестве плейсхолдера в SQL-запросе используются символы $1.

  • CockroachDB

    Пример URL: postgres://{user}:{password}@{server}:{port}/{database}?sslmode=disable

    В качестве плейсхолдера в SQL-запросе используются символы $1.

  • SQLite3

    Пример URL: sqlite3://file:{file_path}

    В качестве плейсхолдера в SQL-запросе используется знак вопроса: ?.

    При обращении к SQLite3, если начальное значение идентификатора используется в формате datetime, в SQL-запрос нужно добавить преобразование даты с помощью функции sqlite datetime. Например, select * from connections where datetime(login_time) > datetime(?, 'utc') order by login_time. В этом примере connections – это таблица SQLite, а значение переменной ? берется из поля Начальное значение идентификатора, и его следует указывать в формате {date}T{time}Z (например, - 2021-01-01T00:10:00Z).

  • Oracle DB

    Начиная с версии 2.1.3 KUMA использует новый драйвер для подключения к oracle. При обновлении KUMA переименует секрет для подключения в oracle-deprecated и коннектор продолжит работу. Если после запуска коллектора с типом драйвера oracle-deprecated не удается получить события, создайте новый секрет с драйвером oracle и используйте его для подключения.

    Мы рекомендуем использовать новый драйвер.

    Пример URL секрета с новым драйвером oracle:

    oracle://{user}:{password}@{server}:{port}/{service_name}

    oracle://{user}:{password}@{server}:{port}/?SID={SID_VALUE}

    Пример URL секрета с прежним драйвером oracle-deprecated:

    oracle-deprecated://{user}/{password}@{server}:{port}/{service_name}

    В качестве плейсхолдера в SQL-запросе используется переменная :val.

    При обращении к Oracle DB, если начальное значение идентификатора используется в формате datetime, нужно учитывать тип поля в самой базе данных и при необходимости добавить дополнительные преобразования строки со временем в запросе для обеспечения корректной работы sql коннектора. Например, если в базе создана таблица Connections, в которой есть поле login_time, возможны следующие преобразования:

    • Если у поля login_time тип TIMESTAMP, то в зависимости от настроек базы в поле login_time может лежать значение в формате YYYY-MM-DD HH24:MI:SS (например, 2021-01-01 00:00:00). Тогда в поле Начальное значение идентификатора следует указать значение 2021-01-01T00:00:00Z, а в запросе произвести преобразование с помощью функции to_timestamp. Например:

      select * from connections where login_time > to_timestamp(:val, 'YYYY-MM-DD"T"HH24:MI:SS"Z"')

    • Если у поля login_time тип TIMESTAMP WITH TIME ZONE, то в зависимости от настроек базы в поле login_time может лежать значение в формате YYYY-MM-DD"T"HH24:MI:SSTZH:TZM (например, 2021-01-01T00:00:00+03:00). Тогда в поле Начальное значение идентификатора следует указать значение 2021-01-01T00:00:00+03:00, а в запросе произвести преобразование с помощью функции to_timestamp_tz. Например:

      select * from connections_tz where login_time > to_timestamp_tz(:val, 'YYYY-MM-DD"T"HH24:MI:SSTZH:TZM')

      Подробнее о функциях to_timestamp и to_timestamp_tz см. в официальной документации Oracle.

    Для обращения к Oracle DB необходимо установить пакет Astra Linux libaio1.

  • Firebird SQL

    Пример URL:

    firebirdsql://{user}:{password}@{server}:{port}/{database}

    В качестве плейсхолдера в SQL-запросе используется знак вопроса: ?.

    Если возникает проблема подключения к firebird на Windows, используйте полный путь до файла с базой данных. Например:

    firebirdsql://{user}:{password}@{server}:{port}/C:\Users\user\firebird\db.FDB

В SQL-запросах поддерживается последовательный запрос сведений из базы данных. Например, если в поле Запрос указать запрос select * from <название таблицы с данными> where id > <плейсхолдер>, то при первом обращении к таблице в качестве значения плейсхолдера будет использоваться значение поля Начальное значение идентификатора. При этом в сервисе, в котором используется SQL-коннектор, сохраняется идентификатор последней прочитанной записи, и во время следующего обращения к базе данных в качестве значения плейсхолдера в запросе будет использоваться идентификатор этой записи.

Примеры SQL-запросов

SQLite, Firebird – select * from table_name where id > ?

MsSQL – select * from table_name where id > @p1

MySQL – select * from table_name where id > ?

PostgreSQL, Cockroach – select * from table_name where id > $1

Oracle – select * from table_name where id > :val

В начало
[Topic 220746]

Тип file

Тип file используется для получения данных из любого текстового файла. Одна строка файла считается одним событием. Разделители между строк: \n. Коннектор этого типа доступен для Linux-агентов.

Чтобы обеспечить передачу файлов с сервера Windows для обработки коллектором KUMA, выполните следующие действия:

  1. На сервере Windows предоставьте доступ для чтения по сети к папке с файлами, подлежащими обработке.
  2. На сервере Linux примонтируйте сетевую папку с файлами на сервере Linux (cм. список поддерживаемых ОС).
  3. На сервере Linux установите коллектор, который будет обрабатывать файлы из примонтированной сетевой папки.

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, file.
    • URL (обязательно) – полный путь до файла, с которым требуется выполнять взаимодействие. Например, /var/log/*som?[1-9].log.

      Шаблоны масок для файлов и директорий

      Маски:

      • '*' – соответствует любой последовательности символов;
      • '[' [ '^' ] { диапазон символов } ']' – класс символов (не должен быть пустым);
      • '?' – соответствует любому одиночному символу.

      Диапазоны символов:

      • [0-9] – числа;
      • [a-zA-Z] – буквы латинского алфавита.

      Примеры:

      • /var/log/*som?[1-9].log
      • /mnt/dns_logs/*/dns.log
      • /mnt/proxy/access*.log

      Ограничения при использовании префиксов к путям файлов

      Префиксы, которые невозможно использовать при указании путей к файлам:

      • /*
      • /bin
      • /boot
      • /dev
      • /etc
      • /home
      • /lib
      • /lib64
      • /proc
      • /root
      • /run
      • /sys
      • /tmp
      • /usr/*
      • /usr/bin/
      • /usr/local/*
      • /usr/local/sbin/
      • /usr/local/bin/
      • /usr/sbin/
      • /usr/lib/
      • /usr/lib64/
      • /var/*
      • /var/lib/
      • /var/run/
      • /opt/kaspersky/kuma/

      Файлы по указанным ниже путям доступны:

      • /opt/kaspersky/kuma/clickhouse/logs/
      • /opt/kaspersky/kuma/mongodb/log/
      • /opt/kaspersky/kuma/victoria-metrics/log/

      Ограничение количества отслеживаемых файлов по маске

      Количество одновременно отслеживаемых файлов по маске может быть ограничено параметром Ядра max_user_watches. Чтобы просмотреть значение параметра, выполните следующую команду:

      cat /proc/sys/fs/inotify/max_user_watches

      Если количество файлов для отслеживания превышает значение параметра max_user_watches, коллектор больше не сможет считывать события из файлов и в журнале коллектора появится следующая ошибка:

      Failed to add files for watching {"error": "no space left on device"}

      Чтобы коллектор продолжил корректно работать, вы можете настроить правильную ротацию файлов, чтобы количество файлов не превышало значение параметра max_user_watches, или увеличить значение max_user_watches.

      Чтобы увеличить значение параметра:

      sysctl fs.inotify.max_user_watches=<количество файлов>

      sysctl -p

      Также вы можете добавить значение параметра max_user_watches в sysctl.conf, чтобы значение сохранялось всегда.

      После того, как вы увеличите значение параметра max_user_watches, коллектор успешно продолжит работу.

    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
  • Закладка Дополнительные параметры:
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
В начало
[Topic 220748]

Тип 1c-xml

Тип 1c-xml используется для получения данных из журналов регистрации программы 1С. При обработке коннектором многострочные события преобразовываются в однострочные. Коннектор этого типа доступен для Linux-агентов.

При создании этого типа коннектора требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, 1c-xml.
    • URL (обязательно) – полный путь до директории с файлами, с которыми требуется выполнять взаимодействие. Например, /var/log/1c/logs/.

      Ограничения при использовании префиксов к путям файлов

      Префиксы, которые невозможно использовать при указании путей к файлам:

      • /*
      • /bin
      • /boot
      • /dev
      • /etc
      • /home
      • /lib
      • /lib64
      • /proc
      • /root
      • /run
      • /sys
      • /tmp
      • /usr/*
      • /usr/bin/
      • /usr/local/*
      • /usr/local/sbin/
      • /usr/local/bin/
      • /usr/sbin/
      • /usr/lib/
      • /usr/lib64/
      • /var/*
      • /var/lib/
      • /var/run/
      • /opt/kaspersky/kuma/

      Файлы по указанным ниже путям доступны:

      • /opt/kaspersky/kuma/clickhouse/logs/
      • /opt/kaspersky/kuma/mongodb/log/
      • /opt/kaspersky/kuma/victoria-metrics/log/
    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
  • Закладка Дополнительные параметры:
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.

Схема работы коннектора:

  1. Происходит поиск всех файлов с журналами 1C с расширением XML внутри указанной директории. Журналы помещаются в директорию или вручную, или через приложение, написанное на языке 1С, например, с помощью функции ВыгрузитьЖурналРегистрации(). Коннектор поддерживает журналы, полученные только таким образом. Подробнее о том, как получить журналы 1С, см. в официальной документации 1С.
  2. Файлы сортируются по возрастанию времени последнего изменения и отбрасываются все файлы, измененные раньше, чем последний прочитанный.

    Сведения об обработанных файлах хранятся в файле /<рабочая директория коллектора>/1c_xml_connector/state.ini и имеют следующий формат: "offset=<число>\ndev=<число>\ninode=<число>".

  3. В каждом непрочитанном файле определяются события.
  4. События из файла по очереди принимаются на обработку, при этом многострочные события преобразовываются в однострочные события.

Ограничения коннектора:

  • Установка коллектора с коннектором 1c-xml на ОС Windows не поддерживается. Чтобы обеспечить передачу файлов с журналами 1С для обработки коллектором KUMA, выполните следующие действия:
    1. На сервере Windows предоставьте доступ для чтения по сети к папке с журналами 1С.
    2. На сервере Linux примонтируйте сетевую папку с журналами 1С на сервере Linux (cм. список поддерживаемых ОС).
    3. На сервере Linux установите коллектор, который будет обрабатывать файлы с журналами 1С из примонтированной сетевой папки.
  • Не читаются файлы с некорректным форматом событий. Например, если теги события в файле на русском языке, коллектор не прочитает такие события.

    Пример корректного XML файла с событием.

    XML_sample

    Пример обработанного события.

    XML_processed_event_example

  • Если дополнить уже прочитанный коннектором файл новыми событиями и если этот файл не является последним прочитанным файлом в директории, все события из файла будут обработаны заново.
В начало
[Topic 244776]

Тип 1c-log

Тип 1c-log используется для получения данных из технологических журналов программы 1С. Разделители между строк: \n. Из многострочной записи о событии коннектор принимает только первую строку. Коннектор этого типа доступен для Linux-агентов.

При создании этого типа коннектора требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, 1c-log.
    • URL (обязательно) – полный путь до директории с файлами, с которыми требуется выполнять взаимодействие. Например, /var/log/1c/logs/.

      Ограничения при использовании префиксов к путям файлов

      Префиксы, которые невозможно использовать при указании путей к файлам:

      • /*
      • /bin
      • /boot
      • /dev
      • /etc
      • /home
      • /lib
      • /lib64
      • /proc
      • /root
      • /run
      • /sys
      • /tmp
      • /usr/*
      • /usr/bin/
      • /usr/local/*
      • /usr/local/sbin/
      • /usr/local/bin/
      • /usr/sbin/
      • /usr/lib/
      • /usr/lib64/
      • /var/*
      • /var/lib/
      • /var/run/
      • /opt/kaspersky/kuma/

      Файлы по указанным ниже путям доступны:

      • /opt/kaspersky/kuma/clickhouse/logs/
      • /opt/kaspersky/kuma/mongodb/log/
      • /opt/kaspersky/kuma/victoria-metrics/log/
    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
  • Закладка Дополнительные параметры:
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.

Схема работы коннектора:

  1. Происходит поиск всех файлов технологических журналов 1C.

    Требования к файлам журналов:

    • Файлы с расширением LOG создаются в директории журналов (по умолчанию /var/log/1c/logs/) в поддиректории каждого процесса.

      Пример поддерживаемый структуры технологических журналов 1c

      1c-log-fileStructure

    • События записываются в файл в течение часа, после чего создается следующий файл журнала.
    • Название файлов имеет следующий формат: <ГГ><ММ><ДД><ЧЧ>.log. Например, 22111418.log – файл, созданный в 2022 году, в 11 месяце, 14 числа в 18 часов.
    • Каждое событие начинается с времени события в формате <мм>:<cc>.<микросекунды>-<длительность_в_микросекундах>.
  2. Отбрасываются уже обработанные файлы.

    Сведения об обработанных файлах хранятся в файле /<рабочая директория коллектора>/1c_log_connector/state.json.

  3. Принимаются на обработку новые события, при этом время события приводится к формату RFC3339.
  4. Обрабатывается следующий в очереди файл.

Ограничения коннектора:

  • Установка коллектора с коннектором 1c-log на ОС Windows не поддерживается. Чтобы обеспечить передачу файлов с журналами 1С для обработки коллектором KUMA, выполните следующие действия:
    1. На сервере Windows предоставьте доступ для чтения по сети к папке с журналами 1С.
    2. На сервере Linux примонтируйте сетевую папку с журналами 1С на сервере Linux (cм. список поддерживаемых ОС).
    3. На сервере Linux установите коллектор, который будет обрабатывать файлы с журналами 1С из примонтированной сетевой папки.
  • Из многострочной записи о событии на обработку принимается только первая строка.
  • Нормализатор обрабатывает только следующие типы событий:
    • ADMIN
    • ATTN
    • CALL
    • CLSTR
    • CONN
    • DBMSSQL
    • DBMSSQLCONN
    • DBV8DBENG
    • EXCP
    • EXCPCNTX
    • HASP
    • LEAKS
    • LIC
    • MEM
    • PROC
    • SCALL
    • SCOM
    • SDBL
    • SESN
    • SINTEG
    • SRVC
    • TLOCK
    • TTIMEOUT
    • VRSREQUEST
    • VRSRESPONSE
В начало
[Topic 244775]

Тип diode

Используется для передачи событий с помощью диода данных.

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, diode.
    • Директория с событиями от диода данных (обязательно) – полный путь до директории на сервере коллектора KUMA, в которую диод данных перемещает файлы с событиями из изолированного сегмента сети. После считывания коннектором файлы удаляются из директории. Путь может содержать до 255 символов в кодировке Unicode.

      Ограничения при использовании префиксов к путям

      Префиксы, которые невозможно использовать при указании путей к файлам:

      • /*
      • /bin
      • /boot
      • /dev
      • /etc
      • /home
      • /lib
      • /lib64
      • /proc
      • /root
      • /run
      • /sys
      • /tmp
      • /usr/*
      • /usr/bin/
      • /usr/local/*
      • /usr/local/sbin/
      • /usr/local/bin/
      • /usr/sbin/
      • /usr/lib/
      • /usr/lib64/
      • /var/*
      • /var/lib/
      • /var/run/
      • /opt/kaspersky/kuma/

      Файлы по указанным ниже путям доступны:

      • /opt/kaspersky/kuma/clickhouse/logs/
      • /opt/kaspersky/kuma/mongodb/log/
      • /opt/kaspersky/kuma/victoria-metrics/log/
    • Разделитель – используется для указания символа, определяющего границу между событиями. Доступные значения: \n, \t, \0. Если разделитель не задан (выбрано пустое значение), то по умолчанию используется значение: \n.

      Этот параметр должен совпадать для коннектора и точки назначения, используемых для передачи событий из изолированного сегмента сети с помощью диода данных.

    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
  • Закладка Дополнительные параметры:
    • Рабочие процессы – количество служб, обрабатывающих очередь запросов. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
    • Интервал запросов, сек. – регулярность считывания файлов из директории с событиями от диода данных. Значение по умолчанию: 2. Значение указывается в секундах.
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.

      Этот параметр должен совпадать для коннектора и точки назначения, используемых для передачи событий из изолированного сегмента сети с помощью диода данных.

    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.

В начало
[Topic 232912]

Тип ftp

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, ftp.
    • URL (обязательно) – Действительный URL файла или маски файлов, который начинается со схемы 'ftp://'. Для маски файлов допустимо использование * ? [...].

      Шаблоны масок для файлов

      Маски:

      • '*' – соответствует любой последовательности символов;
      • '[' [ '^' ] { диапазон символов } ']' – класс символов (не должен быть пустым);
      • '?' – соответствует любому одиночному символу.

      Диапазоны символов:

      • [0-9] – числа;
      • [a-zA-Z] – буквы латинского алфавита.

      Примеры:

      • /var/log/*som?[1-9].log
      • /mnt/dns_logs/*/dns.log
      • /mnt/proxy/access*.log

      Если в URL не содержится порт ftp сервера, подставляется 21 порт.

    • Учетные данные для URL – для указания логина и пароля к FTP серверу. При отсутствии логина и пароля строка остается пустой.
    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
  • Закладка Дополнительные параметры:
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
В начало
[Topic 220749]

Тип nfs

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, nfs.
    • URL (обязательно) – путь до удаленной директории в формате nfs://host/path.
    • Маска имени файла (обязательно) – маска, по которой фильтруются файлы с событиями. Допустимо использование масок "*", "?", "[...]".
    • Интервал запросов, сек. – интервал опроса. Промежуток времени, через который перечитываются файлы с удаленной системы. Значение указывается в секундах. По умолчанию указано значение: 0.
    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
  • Закладка Дополнительные параметры:
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
В начало
[Topic 220750]

Тип wmi

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, wmi.
    • URL (обязательно) – URL создаваемого коллектора, например kuma-collector.example.com:7221.

      При создании коллектора для получения данных с помощью Windows Management Instrumentation автоматически создается агент, который будет получать необходимые данные на удаленном устройстве и перенаправлять их в сервис коллектора. В поле URL требуется указать адрес этого коллектора. URL известен заранее, если вы знаете, на каком сервере планируете установить сервис, но это поле можно заполнить и после завершения мастера установки, скопировав данные из раздела РесурсыАктивные сервисы.

    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
    • Учетные данные по умолчанию – раскрывающийся список, в котором выбирать значение не требуется. Учетные данные для подключения к хостам необходимо указывать в таблице Удаленные хосты (см. ниже).
    • В таблице Удаленные хосты перечисляются удаленные устройства Windows, к которым требуется установить подключение. Доступные столбцы:
      • Хост (обязательно) – IP-адрес или имя устройства, с которого необходимо принимать данные. Например, "machine-1".
      • Домен (обязательно) – название домена, в котором расположено удаленное устройство. Например, "example.com".
      • Тип журналов – раскрывающийся список для выбора названия журналов Windows, которые требуется получить. По умолчанию в списке отображаются только предварительно настроенные журналы, но вы можете расширить список пользовательскими журналами, введя их название в поле Журналы Windows, а затем нажав ENTER. Конфигурация сервисов и ресурсов KUMA может потребовать дополнительных изменений для правильной обработки настраиваемых журналов.

        Журналы, доступные по умолчанию:

        • Application
        • ForwardedEvents
        • Security
        • System
        • HardwareEvents

      Если в одном из подключений WMI используется хотя бы один журнал с неверным названием, в этом случае агент, использующий коннектор, не будет получать события из всех журналов данного подключения, даже если названия остальных журналов указаны верно. При этом подключения WMI-агента, в которых все названия журналов указаны правильно, будет работать корректно.

      • Секрет – учетные данные для доступа к удаленному устройству Windows с правами на чтение журналов. Если оставить это поле пустым, то будут использоваться учетные данные из секрета, выбранного в раскрывающемся списке Учетные данные, используемые по умолчанию. Логин в секрете необходимо указывать без домена, значение домена для доступа к хосту берется из столбца Домен таблицы Удаленные хосты.

        Можно выбрать ресурс секрета в раскрывающемся списке или создать его с помощью кнопки AddResource. Выбранный секрет можно изменить, нажав на кнопку EditResource.

  • Закладка Дополнительные параметры:
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.

Получение событий с удаленного устройства

Условия для получения событий с удаленного устройства Windows с агентом KUMA:

  • Для запуска агента KUMA на удаленном устройстве необходимо использовать учетную запись с правами Log on as a service.
  • Для получения событий от агента KUMA необходимо использовать учетную запись с правами Event Log Readers. Для серверов домена может быть создана одна такая учетная запись, чтобы через групповую политику ее права на чтение логов можно было распространить на все серверы и рабочие станции домена.
  • На удаленных устройствах Windows необходимо открыть следующие TCP-порты 135, 445, 49152-65535.
  • На удаленных устройствах требуется запустить следующие службы:
    • Remote Procedure Call (RPC)
    • RPC Endpoint Mapper
В начало
[Topic 220751]

Тип wec

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, wec.
    • URL (обязательно) – URL создаваемого коллектора, например kuma-collector.example.com:7221.

      При создании коллектора для получения данных с помощью Windows Event Collector автоматически создается агент, который будет получать необходимые данные на удаленном устройстве и перенаправлять их в сервис коллектора. В поле URL требуется указать адрес этого коллектора. URL известен заранее, если вы знаете, на каком сервере планируете установить сервис, но это поле можно заполнить и после завершения мастера установки, скопировав данные из раздела РесурсыАктивные сервисы.

    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
    • Журналы Windows (обязательно) – в этом раскрывающемся списке необходимо выбрать названия журналов Windows, которые требуется получить. По умолчанию в списке отображаются только предварительно настроенные журналы, но вы можете расширить список пользовательскими журналами, введя их название в поле Журналы Windows, а затем нажав ENTER. Конфигурация сервисов и ресурсов KUMA может потребовать дополнительных изменений для правильной обработки настраиваемых журналов.

      Преднастроенные журналы:

      • Application
      • ForwardedEvents
      • Security
      • System
      • HardwareEvents

      Если неверно указать название хотя бы одного журнала, в этом случае агент, использующий коннектор, не будет получать события из всех журналов, даже если названия остальных журналов указаны верно.

  • Закладка Дополнительные параметры:
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.

Для запуска агента KUMA на удаленном устройстве необходимо использовать сервисную учетную запись с правами Log on as a service. Для получения событий из журнала ОС сервисная учётная запись также должна обладать правами Event Log Readers.

Вы можете создать одну учетную запись с правами Log on as a service и Event Log Readers, а затем права этой учетной записи на чтение журналов распространить на все серверы и рабочие станции домена с помощью групповой политики.

Мы рекомендуем запретить для сервисной учётной записи возможность интерактивного входа.

В начало
[Topic 220752]

Тип snmp

Для обработки событий, полученных по SNMP, необходимо использовать нормализатор типа json.

Доступен для Windows- и Linux-агентов. Поддерживаемые версии протокола:

  • snmpV1
  • snmpV2
  • snmpV3

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, snmp.
    • Версия SNMP (обязательно) – в этом раскрывающемся списке можно выбрать версию используемого протокола.
    • Хост (обязательно) – имя хоста или его IP-адрес. Доступные форматы: hostname, IPv4, IPv6.
    • Порт (обязательно) – порт для подключения к хосту. Обычно используются значения 161 или 162.

    С помощью параметров Версия SNMP, Хост и Порт определяется одно подключение к SNMP-ресурсу. Таких подключений в одном коннекторе можно создать несколько, добавляя новые с помощью кнопки SNMP-ресурс. Удалить подключения можно с помощью кнопки delete-icon.

    • Секрет (обязательно) – раскрывающийся список для выбора секрета, в котором хранятся учетные данные для подключения через Simple Network Management Protocol. Тип секрета должен соответствовать версии SNMP. При необходимости секрет можно создать в окне создания коннектора с помощью кнопки AddResource. Выбранный секрет можно изменить, нажав на кнопку EditResource.
    • В таблице Данные источника можно задать правила именования получаемых данных, по которым идентификаторы объектов OID будут преобразовываться в ключи, с которыми сможет взаимодействовать нормализатор. Доступные столбцы таблицы:
      • Название параметра (обязательно) – произвольное название для типа данных. Например, "Имя узла" или "Время работы узла".
      • OID (обязательно) – уникальный идентификатор, который определяет, где искать требуемые данные на источнике событий. Например, "1.3.6.1.2.1.1.5".
      • Ключ (обязательно) – уникальный идентификатор, возвращается в ответ на запрос к устройству со значением запрошенного параметра. Например, "sysName". К этому ключу можно обращаться при нормализации данных.
    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
  • Закладка Дополнительные параметры:
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
В начало
[Topic 220753]

Тип snmp-trap

Коннектор типа snmp-trap используется в агентах и коллекторах для пассивного приема SNMP-Trap сообщений. В коннекторе сообщения принимаются и подготавливаются к нормализации путем сопоставления идентификаторов SNMP-объектов с временными ключами. Затем сообщение необходимо передать в JSON-нормализатор, где временные ключи будут сопоставлены с полями KUMA и будет создано событие.

Для обработки событий, полученных по SNMP, необходимо использовать нормализатор типа json.

Доступен для Windows- и Linux-агентов. Поддерживаемые версии протокола:

  • snmpV1
  • snmpV2

При создании этого типа коннектора вам требуется указать значения для следующих параметров:

  • Закладка Основные параметры:
    • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
    • Тип (обязательно) – тип коннектора, snmp-trap.
    • Версия SNMP (обязательно) – в этом раскрывающемся списке необходимо выбрать версию используемого протокола: snmpV1 или snmpV2.

      Например, Windows по умолчанию использует версию snmpV2.

    • URL (обязательно) – URL, на котором будут ожидаться сообщения SNMP Trap. Доступные форматы: hostname:port, IPv4:port, IPv6:port, :port.

    С помощью параметров Версия SNMP и URL определяется одно соединение для приема событий SNMP Trap. Таких соединений в одном коннекторе можно создать несколько, добавляя новые с помощью кнопки SNMP-ресурс. Удалить соединения можно с помощью кнопки delete-icon.

    • В таблице Данные источника необходимо задать правила именования получаемых данных, по которым идентификаторы объектов OID будут преобразовываться в ключи, с которыми сможет взаимодействовать нормализатор.

      При создании коннектора таблица предзаполняется примерами значений идентификаторов объектов и их ключей. Если в поступающих событиях необходимо определить и нормализовать больше данных, дополните таблицу строками с перечнем OID-объектов и их ключей.

      С помощью кнопки Применить значения OID для WinEventLog таблицу можно заполнить сопоставлениями для значений OID, поступающих в журналах WinEventLog.

      Доступные столбцы таблицы:

      • Название параметра – произвольное название для типа данных. Например, "Имя узла" или "Время работы узла".
      • OID (обязательно) – уникальный идентификатор, который определяет, где искать требуемые данные на источнике событий. Например, "1.3.6.1.2.1.1.1".
      • Ключ (обязательно) – уникальный идентификатор, возвращается в ответ на запрос к устройству со значением запрошенного параметра. Например, "sysDescr". К этому ключу можно обращаться при нормализации данных.

      Данные обрабатываются по принципу списка разрешенных: объекты, которые не указаны в таблице, не будут переданы в нормализатор для дальнейшей обработки.

    • Описание – описание ресурса: до 4000 символов в кодировке Unicode.
  • Закладка Дополнительные параметры:
    • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
    • Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
    • Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.

В этом разделе

Настройка источника SNMP-trap сообщений для Windows

В начало
[Topic 239700]

Настройка источника SNMP-trap сообщений для Windows

Настройка устройства Windows для отправки SNMP-trap сообщений в коллектор KUMA происходит в несколько этапов:

  1. Настройка и запуск служб SNMP и SNMP Trap
  2. Настройка службы Event to Trap Translator

События от источника SNMP-trap сообщений должен принимать коллектор KUMA, в котором используется коннектор типа snmp-trap и нормализатор типа json.

В этом разделе

Настройка и запуск служб SNMP и SNMP Trap

Настройка службы Event to Trap Translator

В начало
[Topic 239863]

Настройка и запуск служб SNMP и SNMP Trap

Чтобы настроить и запустить службы SNMP и SNMP Trap в Windows 10:

  1. Откройте раздел SettingsAppsApps and featuresOptional featuresAdd featureSimple Network Management Protocol (SNMP) и нажмите Install.
  2. Дождитесь завершения установки и перезагрузите компьютер.
  3. Убедитесь, что служба SNMP запущена. Если какие-то из перечисленных ниже служб не запущены, включите их:
    • ServicesSNMP Service.
    • ServicesSNMP Trap.
  4. Нажмите правой кнопкой мыши на службе ServicesSNMP Service, в контекстном меню выберите Properties и задайте следующие параметры:
    • На закладке Log On установите флажок Local System account.
    • На закладке Agent заполните поля Contact (например, укажите User-win10) и Location (например, укажите ekaterinburg).
    • На закладке Traps:
      • В поле Community Name введите community public и нажмите Add to list.
      • В поле Trap destination нажмите Add, укажите IP-адрес или хост сервера KUMA, на котором развернут коллектор, ожидающий SNMP-события, и нажмите Add.
    • На закладке Security:
      • Установите флажок Send authentication trap.
      • В таблице Accepted community names нажмите Add, а затем введите Community Name public, указав в качестве Community rights значение READ WRITE.
      • Установите флажок Accept SNMP packets from any hosts.
  5. Нажмите Apply и подтвердите выбор.
  6. Нажмите правой кнопкой мыши на службу ServicesSNMP Service и выберите Restart.

Чтобы настроить и запустить службы SNMP и SNMP Trap в Windows XP:

  1. Откройте раздел StartControl PanelAdd or Remove ProgramsAdd/Remove Windows ComponentsManagement and Monitoring ToolsDetails.
  2. Выберите Simple Network Management Protocol и WMI SNMP Provider, затем нажмите OKNext.
  3. Дождитесь завершения установки и перезагрузите компьютер.
  4. Убедитесь, что служба SNMP запущена. Если какие-то из перечисленных ниже служб не запущены, включите их, выбрав для параметра Startup type значение Automatic:
    • ServicesSNMP Service.
    • ServicesSNMP Trap.
  5. Нажмите правой кнопкой мыши на службе ServicesSNMP Service, в контекстном меню выберите Properties и задайте следующие параметры:
    • На закладке Log On установите флажок Local System account.
    • На закладке Agent заполните поля Contact (например, укажите User-win10) и Location (например, укажите ekaterinburg).
    • На закладке Traps:
      • В поле Community Name введите community public и нажмите Add to list.
      • В поле Trap destination нажмите Add, укажите IP-адрес или хост сервера KUMA, на котором развернут коллектор, ожидающий SNMP-события, и нажмите Add.
    • На закладке Security:
      • Установите флажок Send authentication trap.
      • В таблице Accepted community names нажмите Add, а затем введите Community Name public, указав в качестве Community rights значение READ WRITE.
      • Установите флажок Accept SNMP packets from any hosts.
  6. Нажмите Apply и подтвердите выбор.
  7. Нажмите правой кнопкой мыши на службу ServicesSNMP Service и выберите Restart.

Изменение порта службы snmptrap

При необходимости вы можете изменить порт службы snmptrap.

Чтобы изменить порт службы snmptrap:

  1. Откройте папку C:\Windows\System32\drivers\etc.
  2. Откройте файл services с помощью программы Notepad от имени администратора.
  3. В разделе файла service name для службы snmptrap укажите порт коннектора snmp-trap, добавленный в коллектор KUMA.
  4. Сохраните файл.
  5. Откройте панель управления и выберите Administrative ToolsServices.
  6. Нажмите на службу SNMP Service правой кнопкой мыши и выберите Restart.
В начало
[Topic 239864]

Настройка службы Event to Trap Translator

Чтобы настроить службу Event to Trap Translator, с помощью которой события Windows переводятся в SNMP-trap сообщения:

  1. Наберите в командной строке evntwin и нажмите Enter.
  2. В переключателе Configuration type выберите Custom, а затем нажмите на кнопку Edit.
  3. В блоке параметров Event sources найдите и добавьте с помощью кнопки Add события, которые вы хотите отправить в коллектор KUMA с установленным коннектором SNMP Trap.
  4. Нажмите на кнопку Settings, в открывшемся окне установите флажок Don't apply throttle и нажмите OK.
  5. Нажмите Apply и подтвердите выбор.
В начало
[Topic 239865]

Предустановленные коннекторы

В поставку KUMA включены перечисленные в таблице ниже коннекторы.

Предустановленные коннекторы

Название коннектора

Комментарий

[OOTB] Continent SQL

Собирает события из СУБД АПКШ Континент.

Для использования необходимо настроить параметры соответствующего типа секрета.

[OOTB] InfoWatch Trafic Monitor SQL

Собирает события из СУБД системы InfoWatch Trafic Monitor.

Для использования необходимо настроить параметры соответствующего типа секрета.

[OOTB] KSC MSSQL

Собирает события из СУБД MS SQL системы Kaspersky Security Center.

Для использования необходимо настроить параметры соответствующего типа секрета.

[OOTB] KSC MySQL

Собирает события из СУБД MySQL системы Kaspersky Security Center.

Для использования необходимо настроить параметры соответствующего типа секрета.

[OOTB] KSC PostgreSQL

Собирает события из СУБД PostgreSQL системы Kaspersky Security Center версии 15.0.

Для использования необходимо настроить параметры соответствующего типа секрета.

[OOTB] Oracle Audit Trail SQL

Собирает события аудита из СУБД Oracle.

Для использования необходимо настроить параметры соответствующего типа секрета.

[OOTB] SecretNet SQL

Собирает события из СУБД системы SecretNet SQL.

Для использования необходимо настроить параметры соответствующего типа секрета.

В начало
[Topic 250627]

Секреты

Секреты используются для безопасного хранения конфиденциальной информации, такой как логины и пароли, которые должны использоваться KUMA для взаимодействия с внешними службами. Если секрет хранит данные учётной записи, такие как логин и пароль, то при подключении коллектора к источнику событий учётная запись, заданная в секрете, может быть заблокирована согласно настроенной в системе-источнике событий парольной политике.

Секреты можно использовать в следующих сервисах и функциях KUMA:

Доступные параметры:

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Тип (обязательно) – тип секрета.

    При выборе в раскрывающемся списке типа секрета отображаются параметры для настройки выбранного типа секрета. Эти параметры описаны ниже.

  • Описание – вы можете добавить до 4000 символов в кодировке Unicode.

В зависимости от типа секрета доступны различные поля для заполнения. Вы можете выбрать один из следующих типов секрета:

  • credentials – тип секрета используется для хранения данных учетных записей, с помощью которых осуществляется подключение к внешним службам, например к SMTP-серверам. При выборе этого типа секрета требуется заполнить поля Пользователь и Пароль. При использовании в ресурсе Секрет типа credentials для подключения коллектора к источнику событий, например СУБД, учётная запись, заданная в секрете, может быть заблокирована согласно настроенной в системе-источнике событий парольной политике.
  • token – тип секрета используется для хранения токенов для API-запросов. Токены используются, например, при подключении к IRP-системам. При выборе этого типа секрета требуется заполнить поле Токен.
  • ktl – тип секрета используется для хранения данных учетной записи Kaspersky Threat Intelligence Portal. При выборе этого типа секрета требуется заполнить следующие поля:
    • Пользователь и Пароль (обязательные поля) – имя пользователя и пароль вашей учетной записи Kaspersky Threat Intelligence Portal.
    • Файл обмена личной информацией - PKCS (.PFX) (обязательно) – позволяет загрузить ключ сертификата Kaspersky Threat Intelligence Portal.
    • Пароль PFX-файла (обязательно) – пароль для доступа к ключу сертификата Kaspersky Threat Intelligence Portal.
  • urls – тип секрета используется для хранения URL для подключения к базам SQL и прокси-серверам. В поле Описание требуется описать, для какого именно подключения вы используете секрет urls.

    Вы можете указать URL в следующих форматах: hostname:port, IPv4:port, IPv6:port, :port.

  • pfx – тип секрета используется для импорта PFX-файла с сертификатами. При выборе этого типа секрета требуется заполнить следующие поля:
    • Файл обмена личной информацией - PKCS (.PFX) (обязательно) – используется для загрузки PFX-файла. Файл должен содержать сертификат и ключ. В PFX-файлы можно включать сертификаты, подписанными центрами сертификации, для проверки сертификатов сервера.
    • Пароль PFX-файла (обязательно) – используется для ввода пароля для доступа к ключу сертификата.
  • kata/edr – тип секрета используется для хранения файла сертификата и закрытого ключа, требуемых при подключении к серверу Kaspersky Endpoint Detection and Response. При выборе этого типа секрета вам требуется загрузить следующие файлы:
    • Файл сертификата – сертификат сервера KUMA.

      Файл должен иметь формат PEM. Вы можете загрузить только один файл сертификата.

    • Закрытый ключ шифрования соединения – RSA-ключ сервера KUMA.

      Ключ должен быть без пароля и с заголовком PRIVATE KEY. Вы можете загрузить только один файл ключа.

      Вы можете сгенерировать файлы сертификата и ключа по кнопке download.

  • snmpV1 – тип секрета используется для хранения значения Уровень доступа (например, public или private), которое требуется при взаимодействии по протоколу Simple Network Management Protocol.
  • snmpV3 – тип секрета используется для хранения данных, требуемых при взаимодействии по протоколу Simple Network Management Protocol. При выборе этого типа секрета требуется заполнить поля:
    • Пользователь – имя пользователя, указывается без домена.
    • Уровень безопасности – уровень безопасности пользователя:
      • NoAuthNoPriv – сообщения отправляются без аутентификации и без обеспечения конфиденциальности.
      • AuthNoPriv – сообщения посылаются с аутентификацией, но без обеспечения конфиденциальности.
      • AuthPriv – сообщения посылаются с аутентификацией и обеспечением конфиденциальности.

      В зависимости от выбранного уровня могут отобразиться дополнительные параметры.

    • Пароль – пароль аутентификации пользователя SNMP. Это поле становится доступно при выборе уровней безопасности AuthNoPriv и AuthPriv.
    • Протокол аутентификации – доступны следующие протоколы: MD5, SHA, SHA224, SHA256, SHA384, SHA512. Это поле становится доступно при выборе уровней безопасности AuthNoPriv и AuthPriv.
    • Протокол шифрования – протокол, используемый для шифрования сообщений. Доступны следующие протоколы: DES, AES. Это поле становится доступно при выборе уровня безопасности AuthPriv.
    • Пароль обеспечения безопасности – пароль шифрования, который был указан при создании пользователя SNMP. Это поле становится доступно при выборе уровня безопасности AuthPriv.
  • certificate – тип секрета используется для хранения файлов сертификатов. Файлы загружаются в ресурс с помощью кнопки Загрузить файл сертификата. Поддерживаются открытые ключи сертификата X.509 в Base64.

Предустановленные секреты

В поставку KUMA включены перечисленные в таблице ниже секреты.

Предустановленные секреты

Название секрета

Описание

[OOTB] Continent SQL connection

Хранит конфиденциальные данные и параметры подключения к БД АПКШ Континент. Для использования необходимо указать логин и пароль БД.

[OOTB] KSC MSSQL connection

Хранит конфиденциальные данные и параметры подключения к БД MS SQL Kaspersky Security Center (KSC). Для использования необходимо указать логин и пароль БД.

[OOTB] KSC MySQL Connection

Хранит конфиденциальные данные и параметры подключения к БД MySQL Kaspersky Security Center (KSC). Для использования необходимо указать логин и пароль БД.

[OOTB] Oracle Audit Trail SQL Connection

Хранит конфиденциальные данные и параметры подключения к БД Oracle. Для использования необходимо указать логин и пароль БД.

[OOTB] SecretNet SQL connection

Хранит конфиденциальные данные и параметры подключения к БД MS SQL системы SecretNet. Для использования необходимо указать логин и пароль БД.

В начало
[Topic 217990]

Правила сегментации

В KUMA можно настроить правила сегментации алертов, то есть правила разделения однотипных корреляционных событий по разным алертам.

По умолчанию, если в корреляторе какое-то правило корреляции сработает несколько раз, все созданные в результате этого корреляционные события будут присоединены к одному алерту. Правила сегментации алертов дают возможность определить условия, при которых на основе таких однотипных корреляционных событий будут создаваться разные алерты. Это может пригодиться, если вы хотите разделить поток корреляционных событий, например, по количеству событий или объединить некоторых из событий, отличающиеся чем-то важным от других, в отдельный алерт.

Сегментация алертов настраивается в два этапа:

  1. Создаются правила сегментации, в которых определяются условия, по которым будет разделяться поток корреляционных событий.
  2. К правилам сегментации привязываются правила корреляции, в которых должны срабатывать правила сегментации.

В этом разделе

Параметры правил сегментации

Привязка правил сегментации к правилам корреляции

В начало
[Topic 222426]

Параметры правил сегментации

Правила сегментации создаются в разделе РесурсыПравила сегментации веб-интерфейса KUMA.

Доступные параметры:

  • Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Тип (обязательно) – тип правила сегментации. Доступные значения:
    • По фильтру – алерты создаются, если корреляционные события соответствуют условиям фильтра, заданным в блоке параметров Фильтр.

      С помощью кнопки Добавить условие можно добавить строку с полями для определения условия. С помощью кнопки Добавить группу можно добавить группу фильтров. Можно переключать групповые операторы между И, ИЛИ, НЕ. В группы фильтров можно добавить другие группы условий и отдельные условия. Условия и группы можно менять местами, перетягивая их за значок DragIcon, а также удалять с помощью значка cross.

      • Левый операнд и Правый операнд – используются для указания значений, которые будет обрабатывать оператор.

        В левом операнде указываются названия полей событий, которые обрабатывает фильтр.

        В правом операнде можно выбрать тип значения – константа или список, – а также указать само значение.

      • Доступные операторы
        • = – левый операнд равен правому операнду.
        • < – левый операнд меньше правого операнда.
        • <= – левый операнд меньше или равен правому операнду.
        • > – левый операнд больше правого операнда.
        • >= – левый операнд больше или равен правому операнду.
        • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
        • contains – левый операнд содержит значения правого операнда.
        • startsWith – левый операнд начинается с одного из значений правого операнда.
        • endsWith – левый операнд заканчивается одним из значений правого операнда.
        • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
        • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
    • По группирующим полям – алерт создается, если корреляционное событие содержит поля событий, указанные в блоке параметров Группирующие поля правила корреляции.

      Поля добавляются с помощью кнопки Добавить поле. Добавленные поля можно удалить, нажав на значок креста или на кнопку Сбросить.

      Пример использования группирующих полей

      Правило, детектирующее сканирование сети, создаст только один алерт, даже если в сети есть несколько устройств, сканирующих сеть. Если создать правило сегментации обнаружений по группирующему полю событий SourceAddress, а затем привязать это правило сегментации к правилу корреляции, при срабатывании правила будут созданы алерты для каждого адреса, с которого происходит сканирование.

      В этом примере, если правило корреляции называется "Network. Possible port scan", а в ресурсе правила сегментации в качестве шаблона именования обнаружений указано "from {{.SourceAddress}}", будут созданы алерты такого вида:

      • Network. Possible port scan (from 10.20.20.20 <Дата создания алерта>)
      • Network. Possible port scan (from 10.10.10.10 <Дата создания алерта>)
    • По количеству событий – алерт создается, если количество корреляционных событий в предыдущем алерте превысило значение, указанное в поле Количество корреляционных событий.
  • Шаблон именование алертов (обязательно) – шаблон, по которому будут получать название алерты, создаваемые по этому правилу сегментации. Значение по умолчанию: {{.Timestamp}}.

    В поле шаблона можно указывать текст, а также поля события в формате {{.<название поля события>}}. При формировании названия алерта вместо названия поля события будет подставляться содержащееся в нем значение.

    Название алерта, созданного с помощью правил сегментации, имеет следующий формат: "<Название правила корреляции, создавшего алерт> (<текст из поля шаблона именования алертов> <дата создания алерта>)".

  • Описание – описание ресурса: до 4000 символов в кодировке Unicode.

В начало
[Topic 243124]

Привязка правил сегментации к правилам корреляции

Связи правила сегментации и правил корреляции создаются отдельно для каждого тенанта. Они отображаются в разделе ПараметрыАлертыСегментация веб-интерфейса KUMA в таблице со следующими столбцами:

  • Тенант – название тенанта, которому принадлежат правила сегментации.
  • Обновлено – дата и время последнего обновления правил сегментации.
  • Выключено – в этом столбце отображается метка, если правила сегментации выключены.

Чтобы привязать правило сегментации алерта к правилам корреляции:

  1. Откройте раздел ПараметрыАлертыСегментация веб-интерфейса KUMA.
  2. Выберите тенант, для которого вы хотите создать правило сегментации:
    • Если у тенанта уже есть правила сегментации, выберите его в таблице.
    • Если у тенанта нет правил сегментации, нажмите Добавить параметры для нового тенанта и в раскрывающемся списке Тенант выберите нужный тенант.

    Отображается таблица с созданными связями правил сегментации и корреляции.

  3. В блоке параметров Связи правил сегментации нажмите Добавить и укажите параметры правила сегментации:
    • Название (обязательно) – в этом поле укажите название правила сегментации. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Тенанты и правила корреляции (обязательно) – в этом раскрывающемся списке выберите тенант и принадлежащее ему правило корреляции, события которого вы хотите выделить в отдельный алерт. Можно выбрать более одного правила корреляции.
    • Правило сегментации (обязательно) – в этом блоке параметров требуется выбрать ранее созданное правило сегментации, в котором определены условия сегментации.
    • Выключено – установите этот флажок при необходимости выключить связь правила сегментации.
  4. Нажмите Сохранить.

Правило сегментации и правила корреляции связаны. Корреляционные события, создаваемые указанными правилами корреляции, будут объединены в отдельный алерт с названием, определенном в правиле сегментации.

Чтобы выключить связи правил сегментации и правил корреляции для тенанта:

  1. Откройте раздел ПараметрыАлерты веб-интерфейса KUMA и выберите тенант, правила сегментации которого вы хотите выключить.
  2. Установите флажок Выключено.
  3. Нажмите Сохранить.

Связи правил сегментации и правил корреляции для выбранного тенанта выключены.

В начало
[Topic 243127]

Пример расследования инцидента с помощью KUMA

Выявление атаки на IT-инфраструктуру организации с помощью KUMA состоит из следующих шагов:

  1. Предварительная подготовка
  2. Назначение алерта пользователю
  3. Проверка на соответствие между сработавшим правилом корреляции и данными событий алерта
  4. Анализ информации об алерте
  5. Проверка на ложное срабатывание
  6. Определение критичности алерта
  7. Создание инцидента
  8. Расследование
  9. Поиск связанных активов
  10. Поиск связанных событий
  11. Запись причин инцидента
  12. Реагирование
  13. Восстановление работоспособности активов
  14. Закрытие инцидента

В описании шагов приводится пример действий по реагированию, которые мог бы выполнить аналитик при обнаружении инцидента в IT-инфраструктуре организации. Вы можете посмотреть описание и пример для каждого шага, перейдя по ссылке в его названии. Примеры относятся непосредственно к описываемому шагу.

Условия инцидента, для которого приводятся примеры, см. в разделе Условия возникновения инцидента.

Более подробную информацию о способах и инструментах реагирования вы можете посмотреть в документе Руководство по реагированию на инциденты информационной безопасности. На сайте Securelist "Лаборатории Касперского" вы также можете ознакомиться с дополнительными рекомендациями по выявлению инцидентов и реагированию.

В этом разделе справки

Условия возникновения инцидента

Шаг 1. Предварительная подготовка

Шаг 2. Назначение алерта пользователю

Шаг 3. Проверка на соответствие между сработавшим правилом корреляции и данными событий алерта

Шаг 4. Анализ информации об алерте

Шаг 5. Проверка на ложное срабатывание

Шаг 6. Определение критичности алерта

Шаг 7. Создание инцидента

Шаг 8. Расследование

Шаг 9. Поиск связанных активов

Шаг 10. Поиск связанных событий

Шаг 11. Запись причин инцидента

Шаг 12. Реагирование на инцидент

Шаг 13. Восстановление работоспособности активов

Шаг 14. Закрытие инцидента

В начало
[Topic 245892]

Условия возникновения инцидента

Параметры компьютера (далее также "актива"), на котором произошел инцидент:

  • ОС актива – Windows 10.
  • Программное обеспечение актива – Kaspersky Administration Kit, Kaspersky Endpoint Security.

Параметры KUMA:

  • Настроена интеграция с Active Directory, Kaspersky Security Center, Kaspersky Endpoint Detection and Response.
  • Установлены правила корреляции SOC_package из комплекта поставки программы.

Злоумышленник, заметив не заблокированный компьютер администратора, выполнил следующие действия на этом компьютере:

  1. Скачал вредоносный файл со своего сервера.
  2. Выполнил команду для создания ключа реестра в ветви \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
  3. Добавил скачанный на первом шаге файл в автозапуск с помощью реестра.
  4. Очистил журнал событий безопасности Windows.
  5. Завершил сессию.
В начало
[Topic 245800]

Шаг 1. Предварительная подготовка

Предварительная подготовка включает следующие этапы:

  1. Мониторинг событий.

    Когда в KUMA создан и настроен коллектор, программа записывает события информационной безопасности, зарегистрированные на контролируемых элементах IT-инфраструктуры организации, в базу событий. Вы можете найти и просмотреть эти события.

  2. Создание коррелятора и правил корреляции.

    При обнаружении последовательности событий, удовлетворяющих условиям правила корреляции, программа создает алерты. Если для нескольких событий срабатывает одно и то же правило корреляции, все эти события привязываются к одному алерту. Вы можете использовать правила корреляции из комплекта поставки и создавать их вручную.

  3. Настройка отправки уведомлений об алерте на один или несколько адресов электронной почты.

    Если отправка уведомлений настроена, при получении нового алерта KUMA отправляет на указанный адрес или адреса электронной почты уведомление. В уведомлении отображается ссылка на алерт.

  4. Добавление активов.

    Вы можете выполнить на активе действия по реагированию (например, заблокировать запуск файла), только если актив добавлен в KUMA.

    Для выполнения действий по реагированию необходима интеграция KUMA с Kaspersky Security Center и Kaspersky Endpoint Detection and Response.

    Пример

    В рамках предварительной подготовки аналитик выполнил следующие действия:

    • Установил и привязал к коррелятору правила корреляции SOC_package из комплекта поставки.
    • Настроил отправку уведомлений об алертах на свой адрес электронной почты.
    • Импортировал в KUMA активы из Kaspersky Security Center.

      Согласно условиям инцидента, после того, как администратор выполнил вход в свою учетную запись, был запущен вредоносный файл, который злоумышленник добавил в автозапуск Windows. От актива в KUMA поступили события из журнала событий безопасности Windows. Для этих событий сработали правила корреляции.

      В результате в базу алертов KUMA были записаны следующие алерты:

    • R223_Сбор информации о процессах.
    • R050_Очистка журнала событий Windows.R295_Манипуляции с системой непривилегированным процессом.
    • R097_Манипуляции с загрузочным скриптом.
    • R093_Изменение критичных веток реестра.

    В информации об алерте указаны названия правил корреляции, по которым были созданы алерты, и время первого и последнего событий, созданных при повторном срабатывании правил.

    На адрес электронной почты аналитика пришли уведомления об алертах. Аналитик перешел по ссылке на алерт R093_Изменение критичных веток реестра из уведомления.

В начало
[Topic 245796]

Шаг 2. Назначение алерта пользователю

Вы можете назначить алерт себе или другому пользователю.

Пример

В рамках рассматриваемого инцидента аналитик назначает алерт себе.

В начало
[Topic 245804]

Шаг 3. Проверка на соответствие между сработавшим правилом корреляции и данными событий алерта

На этом этапе вам нужно просмотреть информацию об алерте и убедиться, что данные событий алерта соответствуют сработавшему правилу корреляции.

Пример

В названии алерта указано, что была изменена критичная ветвь реестра. В информации об алерте, в разделе Связанные события отображается таблица событий, относящихся к алерту. Аналитик видит, что в таблице записано одно событие, где указан путь к измененному ключу реестра, исходное и новое значение ключа. Следовательно, правило корреляции соответствует событию.

В начало
[Topic 245829]

Шаг 4. Анализ информации об алерте

На этом этапе вам нужно проанализировать информацию об алерте, чтобы определить, какие данные требуется для дальнейшего анализа алерта.

Пример

Из информации об алерте аналитик узнает следующие данные:

  • какой ключ реестра был изменен;
  • на каком активе;
  • имя учетной записи, под которой был изменен ключ.

Эту информацию можно просмотреть в информации о событии, вызвавшем создание алерта (Алерты → алерт R093_Изменение критичных веток реестраСвязанные события → событие 2022-08-23 17:27:05), в полях FileName, DeviceHostName, SourceUserName соответственно.

В начало
[Topic 245830]

Шаг 5. Проверка на ложное срабатывание

На этом этапе вам нужно убедиться, что активность, по которой сработало правило корреляции, не является нормальной для IT-инфраструктуры организации.

Пример

На этом этапе аналитик проверяет, может ли обнаруженная активность быть легитимной в связи с нормальной работой системы (например, обновлением). В информации о событии видно, что под учетной записью пользователя с помощью утилиты reg.exe был создан ключ реестра. Также ключ реестра был создан в ветви \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, отвечающей за автозапуск программ при входе пользователя в систему. По этим данным можно определить, что активность не является легитимной и срабатывание не было ложным.

В начало
[Topic 245873]

Шаг 6. Определение критичности алерта

При необходимости вы можете изменить уровень критичности алерта.

Пример

Аналитик присваивает алерту высокую степень критичности.

В начало
[Topic 245874]

Шаг 7. Создание инцидента

Если в ходе выполнения шагов 3–6 становится понятно, что алерт требует расследования, вы можете создать инцидент.

Пример

Для проведения расследования аналитик создает инцидент.

В начало
[Topic 245877]

Шаг 8. Расследование

Этот этап включает просмотр информации о связанных с инцидентом активах, учетных записях, алертах в информации об инциденте.

Информация о затронутых активах и учетных записях отображается на вкладке Связанные активы и Связанные пользователи в информации об инциденте.

Пример

Аналитик открывает информацию о затронутом в рамках инцидента активе (Инциденты → необходимый инцидент → Связанные алерты → необходимый алерт → Связанные активы → необходимый актив). В информации об активе видно, что актив привязан к категориям Business impact/HIGH и Device type/Workstation, которые являются критичными для IT-инфраструктуры организации.

Также в информации об активе могут быть полезны следующие данные:

  • FQDN, IP-адрес и MAC-адрес актива.
  • Время создания актива и последнего обновления информации.
  • Количество алертов, с которыми этот актив связан.
  • Категории, к которым привязан актив.
  • Уязвимости актива.
  • Информация об установленном программном обеспечении.
  • Информация об аппаратных характеристиках актива.

    Аналитик открывает информацию о связанной учетной записи пользователя (Инциденты → необходимый инцидент → Связанные алерты → ссылка с необходимым алертом → Связанные пользователи → учетная запись).

    В информации об учетной записи могут быть полезны следующие данные:

  • Имя пользователя.
  • Имя учетной записи.
  • Адрес электронной почты.
  • Группы, в которых состоит учетная запись.
  • Дата истечения пароля.
  • Дата создания пароля.
  • Время последнего неверного ввода пароля.

В начало
[Topic 245880]

Шаг 9. Поиск связанных активов

Вы можете просмотреть алерты, которые происходили на связанных с инцидентом активах.

Пример

Аналитик проверяет другие алерты, которые происходили на связанных с инцидентом активах (Инциденты → необходимый инцидент → Связанные алерты → необходимый алерт → Связанные активы → необходимый актив → Связанные алерты). В окне с алертами можно настроить фильтрацию по времени или статусу, чтобы исключить устаревшие или уже обработанные алерты. По времени, в которое были записаны алерты актива, аналитик определяет, что эти алерты связаны между собой, поэтому их можно привязать к инциденту (отметить флажками необходимые алерты → Привязать → необходимый инцидент → Привязать).

Также аналитик находит связанные алерты для учетной записи и привязывает их к инциденту. Все связанные активы, которые были в новых алертах, также проверяются.

В начало
[Topic 245881]

Шаг 10. Поиск связанных событий

Вы можете расширить расследование, выполнив поиск событий из связанных алертов.

События можно найти в базе событий KUMA вручную или выбрать любой из связанных алертов и в информации о нем нажать на кнопку Найти в событиях (Инциденты → необходимый инцидент → Связанные алерты → необходимый алерт → Связанные активыНайти в событиях). Найденные события можно привязать к выбранному алерту, предварительно отвязав алерт от инцидента.

Пример

В результате поиска аналитику удалось найти событие A new process has been created, в котором была записана команда для создания нового ключа реестра. Исходя из данных события, аналитик обнаружил, что родительским процессом для reg.exe был cmd.exe. То есть злоумышленник запустил командную строку и выполнил команду в ней. В информации о событии была записана информация о файле ChromeUpdate.bat, для которого был выполнен автозапуск. Чтобы узнать происхождение этого файла, аналитик выполнил поиск событий по базе событий по полю FileName = ‘C:\\Users\\UserName\\Downloads\\ChromeUpdate.bat’ и по маске доступа %%4417 (тип доступа WriteData (or AddFile)):

SELECT * FROM 'events' WHERE DeviceCustomString1 like '%4417%' and FileName like ‘C:\\Users\\UserName\\Downloads\\ChromeUpdate.bat’ AND Device Vendor 'Microsoft' ORDER BY Timestamp DESC LIMIT 250

В результате поиска аналитик обнаружил, что файл был скачан из внешнего источника с помощью процесса msedge.exe. Это событие аналитик также привязал к алерту.

Произведя поиск связанных событий для каждого алерта инцидента, аналитик выявил всю цепочку атаки.

В начало
[Topic 245884]

Шаг 11. Запись причин инцидента

Вы можете внести необходимую для расследования информацию в журнал изменений инцидента.

Пример

По результатам, полученным в ходе поиска связанных с инцидентом событий, аналитик выявил причины инцидента и записал результаты анализа в поле Журнал изменений в информации об инциденте, чтобы передать информацию другим аналитикам.

В начало
[Topic 245885]

Шаг 12. Реагирование на инцидент

Вы можете выполнить следующие действия по реагированию:

  1. Выполнить сетевую изоляцию актива.
  2. Запустить антивирусную проверку.
  3. Запретить запуск файла на активах.

    Перечисленные действия доступны при интеграции KUMA с Kaspersky Security Center и Kaspersky Endpoint Detection and Response.

    Пример

    У аналитика есть информация о связанных с инцидентом активах и об индикаторах компрометации, которая поможет в выборе действий по реагированию.

    В рамках рассмотренного инцидента рекомендуется выполнить следующие действия:

    • Запустить внеплановую антивирусную проверку актива, на котором был добавлен файл в автозапуск.

      Задача антивирусной проверки запускается через Kaspersky Security Center.

    • Изолировать актив от сети на время антивирусной проверки.

      Изоляция актива выполняется с помощью Kaspersky Endpoint Detection and Response.

    • Поместить файл ChromeUpdate.bat в карантин и создать правила запрета на запуск этого файла на других активах организации.

      Правило запрета на запуск файла создается с помощью Kaspersky Endpoint Detection and Response.

В начало
[Topic 245887]

Шаг 13. Восстановление работоспособности активов

После того как IT-инфраструктура будет очищена от следов присутствия злоумышленника, вы можете отключить правила запрета и сетевой изоляции активов в Kaspersky Endpoint Detection and Response.

Пример

После выполнения действий по расследованию, реагированию и очистке IT-инфраструктуры организации от следов атаки можно приступить к восстановлению работоспособности активов. Для этого можно отключить правила запрета на запуск файла и правила сетевой изоляции активов в Kaspersky Endpoint Detection and Response, если они не были отключены автоматически.

В начало
[Topic 245889]

Шаг 14. Закрытие инцидента

После того как были приняты меры по очистке IT-инфраструктуры организации от следов присутствия злоумышленника, вы можете закрыть инцидент.

В начало
[Topic 245916]

Аналитика

KUMA предоставляет обширную аналитику по данным, доступным программе из следующих источников:

  • События в хранилище
  • Алерты
  • Активы
  • Учетные записи, импортированные из Active Directory
  • Сведения из коллекторов о количестве обработанных событий
  • Метрики

Вы можете настроить и получать аналитику в разделах Панель мониторинга, Отчеты, Состояние источников веб-интерфейса KUMA. Для построения аналитики используются только данные из тенантов, к которым у пользователя есть доступ.

Формат даты зависит от языка локализации, выбранного в настройках программы. Возможные варианты формата даты:

  • Английская локализация: ГГГГ-ММ-ДД.
  • Русская локализация: ДД.ММ.ГГГГ.

В этом разделе справки

Панель мониторинга

Отчеты

Виджеты

Работа с алертами

Работа с инцидентами

Ретроспективная проверка

В начало
[Topic 217736]

Панель мониторинга

В разделе Панель мониторинга вы можете контролировать состояние безопасности сети вашей организации.

Панель мониторинга представляет собой набор виджетов, которые отображают аналитику данных безопасности сети. Вы можете просмотреть данные только по тем тенантам, к которым вы имеете доступ.

Набор виджетов, используемых на панели мониторинга, называется макетом. Вы можете создавать макеты вручную или воспользоваться преднастроенными макетами. Параметры виджетов в преднастроенных макетах можно редактировать при необходимости. По умолчанию на панели мониторинга отображается преднастроенный макет Alerts Overview.

Создавать, редактировать и удалять макеты могут только пользователи с ролями Администратор и Аналитик. Пользователи с учетными записями всех ролей могут просматривать макеты и назначать макеты по умолчанию. Если макет назначен по умолчанию, этот макет отображается для учетной записи при каждом переходе в раздел Панель мониторинга. Выбранный макет по умолчанию сохраняется для текущей учетной записи пользователя.

Информация на панели мониторинга обновляется в соответствии с расписанием, заданным в параметрах макета. При необходимости вы можете обновить данные принудительно.

Для удобства представления данных на панели мониторинга вы можете включить режим ТВ. В этом случае вы перейдете в режим полноэкранного просмотра панели мониторинга в FullHD-разрешении. В режиме ТВ вы также можете настроить показ слайд-шоу для выбранных макетов.

В этом разделе

Создание макета панели мониторинга

Выбор макета панели мониторинга

Выбор макета панели мониторинга в качестве макета по умолчанию

Редактирование макета панели мониторинга

Удаление макета панели мониторинга

Включение и отключение режима ТВ

Преднастроенные макеты панели мониторинга

В начало
[Topic 217827]

Создание макета панели мониторинга

Чтобы создать макет:

  1. Откройте веб-интерфейс KUMA и выберите раздел Панель мониторинга.
  2. Откройте раскрывающийся список в правом верхнем углу окна Панель мониторинга и выберите Создать макет.

    Откроется окно Новый макет.

  3. В раскрывающемся списке Тенанты выберите тенантов, которым будет принадлежать создаваемый макет и данными из которых будут наполняться виджеты макета.

    Выбор танантов в этом раскрывающемся списке не имеет значения, если вы хотите создать универсальный макет (см. ниже).

  4. В раскрывающемся списке Период выберите период времени, по которому требуется аналитика:
    • 1 час
    • 1 день (это значение выбрано по умолчанию)
    • 7 дней
    • 30 дней
    • В течение периода – получать аналитику за выбранный период времени. Период времени устанавливается с помощью календаря, который отображается при выборе этого параметра.

      Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период День1, 00:00:00 – День 2, 00:00:00, а не День 1, 00:00:00 – День 1, 23:59:59.

  5. В раскрывающемся списке Обновлять каждые выберите частоту обновления данных в виджетах макета:
    • 1 минута
    • 5 минут
    • 15 минут
    • 1 час (это значение выбрано по умолчанию)
    • 24 часа
  6. В раскрывающемся списке Добавить виджет выберите требуемый виджет и настройте его параметры.

    В макет можно добавить более одного виджета.

    Виджеты также можно перетаскивать по окну и изменять их размер с помощью кнопки DashboardResize, которая появляется при наведении указателя мыши на виджет.

    Добавленные в макет виджеты можно редактировать или удалять, нажав на значок gear, а затем выбрав требуемое действие: Изменить или Удалить.

    • Добавление виджетов

      Чтобы добавить виджет:

      1. В раскрывающемся списке Добавить виджет выберите требуемый виджет.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

      2. Настройте параметры виджета и нажмите Добавить.
    • Редактирование виджетов

      Чтобы отредактировать виджет:

      1. Наведите указатель мыши на нужный виджет и нажмите на появляющийся значок gear.
      2. В раскрывающемся списке выберите значение Изменить.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

      3. Измените параметры виджета и нажмите Сохранить.
  7. В поле Название макета введите уникальное имя макета. Должно содержать от 1 до 128 символов в кодировке Unicode.
  8. При необходимости нажмите на значок gear справа от поля названия макета и установите флажки напротив дополнительных параметров макета:
    • Универсальный – если вы установите этот флажок, в виджетах макета будут отображаться данные из тенантов, которых вы выберите в разделе Выбрано тенантов, расположенном в меню слева. Это означает, что данные в виджетах макета будут меняться в зависимости от выбранных вами тенантов, при этом вам не придется редактировать параметры макета. Для универсальных макетов тенанты, выбранные в раскрывающемся списке Тенанты, не учитываются.

      Если флажок не установить, в виджетах макета будут отображаться данные из тенантов, выбранных в раскрывающемся списке Тенанты в параметрах макета. Если какие-либо из выбранных в макете тенантов вам недоступны, их данные не будут отображаться в виджетах макета.

      В универсальных макетах невозможно использовать виджет активные листы.

      Универсальные макеты могут создавать и редактировать только главные администраторы. Просматривать такие макеты могут все пользователи.

    • Отображать данные по КИИ – если вы установите этот флажок, в виджетах макета будут в том числе отображаться данные об активах, алертах и инцидентах, имеющих отношение к критической информационной инфраструктуре (КИИ). При этом такие макеты будут доступы для просмотра только пользователям, в параметрах которых установлен флажок Доступ к объектам КИИ.

      Если флажок не установить, в виджетах макета не будут отображаться данные об активах, алертах и инцидентах, относящихся к КИИ, даже если у пользователя есть доступ к объектам КИИ.

  9. Нажмите Сохранить.

Новый макет создан и отображается в разделе Панель мониторинга веб-интерфейса KUMA.

В начало
[Topic 252198]

Выбор макета панели мониторинга

Чтобы выбрать макет панели мониторинга:

  1. Раскройте список в верхнем правом углу окна Панель мониторинга.
  2. Выберите нужный макет.

Выбранный макет отобразится в разделе Панель мониторинга веб-интерфейса KUMA.

В начало
[Topic 217992]

Выбор макета панели мониторинга в качестве макета по умолчанию

Чтобы выбрать макет, который будет отображаться на панели мониторинга по умолчанию:

  1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
  2. Раскройте список в верхнем правом углу окна Панель мониторинга.
  3. Наведите указатель мыши на требуемый макет.
  4. Нажмите на значок StarOffIcon.

Выбранный макет будет отображаться на панели мониторинга по умолчанию.

В начало
[Topic 217993]

Редактирование макета панели мониторинга

Чтобы отредактировать макет панели мониторинга:

  1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
  2. Раскройте список в верхнем правом углу окна.
  3. Наведите указатель мыши на требуемый макет.
  4. Нажмите на значок EditResource.

    Откроется окно Настройка макета.

  5. Внесите необходимые изменения. Параметры, доступные для изменения, аналогичны параметрам, доступным при создании макета.
  6. Нажмите на кнопку Сохранить.

Макет панели мониторинга будет отредактирован и отобразится в разделе Панель мониторинга веб-интерфейса KUMA.

Если макет был удален или присвоен другому тенанту, пока вы вносили в него изменения, при нажатии на кнопку Сохранить отобразится ошибка. Макет не будет сохранен. Обновите страницу веб-интерфейса KUMA, чтобы в раскрывающемся списке просмотреть перечень доступных макетов.

В начало
[Topic 217855]

Удаление макета панели мониторинга

Чтобы удалить макет:

  1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
  2. Раскройте список в верхнем правом углу окна.
  3. Наведите указатель мыши на требуемый макет.
  4. Нажмите на значок delete-icon и подтвердите действие.

Макет будет удален.

В начало
[Topic 217835]

Включение и отключение режима ТВ

Мы рекомендуем для отображения аналитики в режиме ТВ создать отдельного пользователя с минимально необходимым набором прав.

Чтобы включить режим ТВ:

  1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
  2. В правом верхнем углу нажмите на кнопку GearGrey.

    Откроется окно Параметры.

  3. Переведите переключатель Режим ТВ в положение Включено.
  4. Если вы хотите настроить показ макетов в режиме слайд-шоу, выполните следующие действия:
    1. Переведите переключатель Слайд-шоу в положение Включено.
    2. В поле Время ожидания укажите, через сколько секунд должно происходить переключение макетов.
    3. В раскрывающемся списке Очередь выберите макеты для просмотра. Если не выбран ни один макет, в режиме слайд-шоу будут по очереди отображаться все макеты, доступные пользователю.
    4. Если требуется, измените порядок показа макетов, перетаскивая их с помощью кнопки DragIcon.
  5. Нажмите на кнопку Сохранить.

Режим ТВ будет включен. Чтобы вернуться к работе с веб-интерфейсом KUMA, нужно отключить режим ТВ.

Чтобы отключить режим ТВ:

  1. Откройте веб-интерфейс KUMA и выберите раздел Панель мониторинга.
  2. В правом верхнем углу нажмите на кнопку GearGrey.

    Откроется окно Параметры.

  3. Переведите переключатель Режим ТВ в положение Выключено.
  4. Нажмите на кнопку Сохранить.

Режим ТВ будет отключен. В левой части экрана отобразится панель с разделами веб-интерфейса KUMA.

При внесении изменений в макеты, выбранные для слайд-шоу, эти изменения будут автоматически отображаться в активных сессиях слайд-шоу.

В начало
[Topic 230361]

Преднастроенные макеты панели мониторинга

KUMA поставляется с набором преднастроенных макетов, которые содержат следующие виджеты:

  • Макет Alerts Overview (Обзор алертов):
    • Active alerts (Активные алерты) – количество незакрытых алертов.
    • Unassigned alerts (Неназначенные алерты) – количество алертов со статусом Новый.
    • Latest alerts (Последние алерты) – таблица с информацией о последних 10 незакрытых алертах, принадлежащих выбранным в макете тенантам.
    • Alerts distribution (Распределение алертов) – количество алертов, созданных в течение указанного для виджета периода.
    • Alerts by priority (Алерты по уровню важности) – количество незакрытых алертов, сгруппированных по уровню важности.
    • Alerts by assignee (Алерты по исполнителю) – количество алертов со статусом Назначен. Сгруппированы по имени учетной записи.
    • Alerts by status (Алерты по статусу) – количество алертов, имеющих статус Новый, Открыт, Назначен или Эскалирован. Сгруппированы по статусу.
    • Affected users in alerts (Затронутые пользователи) – количество пользователей, связанных с алертами, имеющими статус Новый, Назначен или Эскалирован. Сгруппированы по имени учетной записи.
    • Affected assets (Затронутые активы) – таблица с информацией об уровне важности активов и количестве незакрытых алертов, с которыми они связаны.
    • Affected assets categories (Затронутые категории активов) – категории активов, привязанных к незакрытым алертам.
    • Top event source by alerts number (Топ источников событий по количеству алертов) – количество алертов со статусом Новый, Назначен или Эскалирован, сгруппированных по источнику алерта (поле события DeviceProduct).

      На виджете отображается не более 10 источников событий.

    • Alerts by rule (Количество алертов по правилу) – количество алертов со статусом Новый, Назначен или Эскалирован, сгруппированных по правилам корреляции.
  • Макет Incidents Overview (Обзор инцидентов):
    • Active incidents (Активные инциденты) – количество незакрытых инцидентов.
    • Unassigned Incidents (Неназначенные инциденты) – количество инцидентов со статусом Открыт.
    • Latest Incidents (Последние инциденты) – таблица с информацией о последних 10 незакрытых инцидентах, принадлежащих выбранным в макете тенантам.
    • Incidents distribution (Распределение инцидентов) – количество инцидентов, созданных в течение указанного для виджета периода.
    • Incidents by priority (Инциденты по уровню важности) – количество незакрытых инцидентов, сгруппированных по уровню важности.
    • Incidents by assignee (Инциденты по исполнителю) – количество инцидентов со статусом Назначен. Сгруппированы по имени учетной записи пользователя.
    • Incidents by status (Инциденты по статусам) – количество инцидентов, сгруппированных по статусу.
    • Affected assets in incidents (Активы в инцидентах) – количество активов, связанных с незакрытыми инцидентами.
    • Affected users in incidents (Пользователи в инцидентах) – пользователи, связанные с инцидентами.
    • Affected asset categories in incidents (Категории активов в инцидентах) – категории активов, связанных с незакрытыми инцидентами.
    • Active incidents by tenant (Инциденты по тенантам) – количество инцидентов всех статусов, сгруппированных по тенантам.
  • Макет Network Overview (Обзор сетевой активности):
    • Netflow top internal IPs (Топ внутренних IP-адресов по полученному netflow-трафику) – суммарный размер полученного активом netflow-трафика в байтах. Данные сгруппированы по внутренним IP-адресам активов.

      На виджете отображается не более 10 IP-адресов.

    • Netflow top external IPs (Топ внешних IP-адресов по полученному netflow-трафику) – суммарный размер полученного активом netflow-трафика в байтах. Данные сгруппированы по внешним IP-адресам активов.
    • Netflow top hosts for remote control (Топ активов, на которые были обращения на порты для удаленного управления) – количество событий, связанных с обращением на один из следующих портов: 3389, 22, 135. Данные сгруппированы по именам активов.
    • Netflow total bytes by internal ports (Топ внутренних портов по приему netflow-трафика) – количество байт, переданное на внутренние порты активов. Данные сгруппированы по номерам портов.
    • Top Log Sources by Events count (Топ источников событий) – 10 источников, от которых было получено наибольшее количество событий.

По умолчанию для преднастроенных макетов указан период обновления Никогда. Вы можете редактировать эти макеты при необходимости.

В начало
[Topic 222445]

Отчеты

В KUMA можно настроить регулярное формирование отчетов о процессах программы.

Отчеты формируются с помощью шаблонов отчетов, которые созданы и хранятся в закладке Шаблоны раздела Отчеты.

Сформированные отчеты хранятся в закладке Сформированные отчеты раздела Отчеты.

Для возможности сохранять сформированные отчеты в форматах HTML и PDF необходимо установить требуемые пакеты на устройстве с Ядром KUMA.

При развертывании KUMA в отказоустойчивом варианте временная зона сервера Ядра программы и время в браузере пользователя могут различаться. Это различие проявляется в расхождении времени, которое проставляется в отчетах, сформированных по расписанию, и данных, которые пользователь может экспортировать из виджетов. Чтобы избежать расхождения, рекомендуется настроить расписание формирования отчетов с учетом разницы временной зоны пользователей и временем UTC.

В этом разделе

Шаблон отчета

Сформированные отчеты

В начало
[Topic 217966]

Шаблон отчета

Шаблоны отчетов используются для указания аналитических данных, которые следует включать в отчет, а также для настройки частоты создания отчетов. Администраторы и аналитики могут создавать, редактировать и удалять шаблоны отчетов. Отчеты, созданные с использованием шаблонов отчетов, отображаются на закладке Сформированные отчеты.

Шаблоны отчетов доступны на закладке Шаблоны раздела Отчеты, где отображается таблица существующих шаблонов. В таблице есть следующие столбцы:

Вы можете настроить набор столбцов таблицы и их порядок, а также изменить сортировку данных:

  • Отображение столбцов можно включить или выключить в меню, открываемом с помощью значка gear.
  • Порядок столбцов можно изменить, перетаскивая заголовки столбцов.
  • Если заголовок столбца таблицы имеет зеленый цвет, на него можно нажать, чтобы сортировать таблицу по данным этого столбца.
  • Название – имя шаблона отчетов.

    Вы можете отсортировать таблицу по этому столбцу, нажав заголовок и выбрав По возрастанию или По убыванию.

    Вы также можете искать шаблоны отчетов, используя поле Поиск, которое открывается по нажатию на заголовок столбца Название.

    При поиске шаблонов отчетов используются регулярные выражения.

  • Расписание – периодичность, с которой отчеты должны формироваться по созданным шаблонам. Если расписание отчета не настроено, отображается значение выключено.
  • Создал – имя пользователя, создавшего шаблон отчета.
  • Последнее обновление – дата последнего обновления шаблона отчета.

    Вы можете отсортировать таблицу по этому столбцу, нажав заголовок и выбрав По возрастанию или По убыванию.

  • Последний отчет – дата и время формирования последнего отчета по шаблону отчета.
  • Отправить по электронной почте – в этом столбце отображается метка напротив шаблонов отчетов, для которых настроено уведомление пользователей по почте о сформированных отчетах.
  • Тенант – название тенанта, которому принадлежит шаблон отчета.

Вы можете нажать имя шаблона отчета, чтобы открыть раскрывающийся список с доступными командами:

  • Создать отчет – используйте эту команду, чтобы немедленно сформировать отчет. Созданные отчеты отображаются на закладке Сформированные отчеты.
  • Изменить расписание – используйте эту команду, чтобы настроить расписание для формирования отчетов и определить пользователей, которые должны получать уведомления по электронной почте о сформированных отчетах.
  • Изменить шаблон отчета – используйте эту команду, чтобы настроить виджеты и период времени, за который должна быть извлечена аналитика.
  • Дублировать шаблон отчета – используйте эту команду, чтобы создать копию существующего шаблона отчета.
  • Удалить шаблон отчета – используйте эту команду, чтобы удалить шаблон отчета.

В этом разделе

Создание шаблона отчета

Настройка расписания отчетов

Изменение шаблона отчета

Копирование шаблона отчета

Удаление шаблона отчета

В начало
[Topic 217965]

Создание шаблона отчета

Чтобы создать шаблон отчета:

  1. Откройте веб-интерфейс KUMA и выберите раздел ОтчетыШаблоны.
  2. Нажмите на кнопку Новый шаблон.

    Откроется окно Новый шаблон отчета.

  3. В раскрывающемся списке Тенанты выберите один или несколько тенантов, которым будет принадлежать создаваемый макет.
  4. В раскрывающемся списке Период выберите период времени, по которому требуется аналитика:
    • Сегодня (это значение выбрано по умолчанию)
    • На этой неделе
    • В этом месяце
    • В течение периода – получать аналитику за выбранный период времени.

      Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период День1, 00:00:00 – День 2, 00:00:00, а не День 1, 00:00:00 – День 1, 23:59:59.

    • Другой – получать аналитику за последние N дней/недель/месяцев/лет.
  5. В поле Срок хранения укажите, на протяжении какого времени следует хранить сформированные по этому шаблону отчеты.
  6. В поле Название шаблона введите уникальное название шаблона отчета. Должно содержать от 1 до 128 символов в кодировке Unicode.
  7. В раскрывающемся списке Добавить виджет выберите требуемый виджет и настройте его параметры.

    В шаблон отчета можно добавить более одного виджета.

    Виджеты также можно перетаскивать по окну и изменять их размер с помощью кнопки DashboardResize, которая появляется при наведении указателя мыши на виджет.

    Добавленные в макет виджеты можно редактировать или удалять, наведя на них указатель мыши, нажав появившийся значок gear, а затем выбрав требуемое действие: Изменить или Удалить.

    • Добавление виджетов

      Чтобы добавить виджет:

      1. В раскрывающемся списке Добавить виджет выберите требуемый виджет.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

      2. Настройте параметры виджета и нажмите Добавить.
    • Редактирование виджетов

      Чтобы отредактировать виджет:

      1. Наведите указатель мыши на нужный виджет и нажмите на появляющийся значок gear.
      2. В раскрывающемся списке выберите значение Изменить.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

      3. Измените параметры виджета и нажмите Сохранить.
  8. При необходимости можно поменять логотип шаблона отчетов с помощью кнопки Загрузить логотип.

    Если нажать на кнопку Загрузить логотип, открывается окно загрузки, в котором можно указать файл изображения для логотипа. Изображение должно быть файлом .jpg, .png или .gif размером не более 3 МБ.

    Добавленный логотип будет отображаться в отчете вместо логотипа KUMA.

  9. При необходимости установите флажок Отображать данные по КИИ, чтобы в виджетах макета в том числе отображались данные об активах, алертах и инцидентах, имеющих отношение к критической информационной инфраструктуре (КИИ). При этом такие макеты будут доступы для просмотра только пользователям, в параметрах которых установлен флажок Доступ к объектам КИИ.

    Если флажок не установить, в виджетах макета не будут отображаться данные об активах, алертах и инцидентах, относящихся к КИИ, даже если у пользователя есть доступ к объектам КИИ.

  10. Нажмите Сохранить.

Новый шаблон отчета создан и отображается в закладке ОтчетыШаблоны веб-интерфейса KUMA. Вы можете сформировать этот отчет вручную. Если вы хотите, чтобы отчеты создавались автоматически, требуется настроить расписание.

В начало
[Topic 217811]

Настройка расписания отчетов

Чтобы настроить расписание отчетов:

  1. Откройте веб-интерфейс KUMA и выберите раздел ОтчетыШаблоны.
  2. В таблице шаблонов отчета нажмите имя шаблона отчета и в раскрывающемся списке выберите Изменить расписание.

    Откроется окно Параметры отчета.

  3. Если вы хотите, чтобы отчет формировался регулярно:
    1. Включите переключатель Расписание.

      В группе настроек Повторять каждый задайте периодичность создания отчетов.

      Периодичность формирования отчетов можно указать по дням, неделям, месяцам или годам. В зависимости от выбранного периода требуется задать время, день недели, число месяца или дату формирования отчета.

    2. В поле Время укажите время, когда должен быть сформирован отчет. Вы можете ввести значение вручную или с помощью значка часов.
  4. Чтобы выбрать формат отчетов и указать адресатов для рассылки, настройте следующие параметры:
    1. В группе настроек Отправить нажмите Добавить.
    2. В открывшемся окне Добавление адресов электронной почты в разделе Группы пользователей нажмите Добавить группу.
    3. В появившемся поле укажите адрес электронной почты и нажмите Enter или щелкните вне поля ввода - адрес электронной почты будет добавлен. Можно добавить несколько адресов. Отчеты будут отправлены по указанным адресам каждый раз, когда вы сформируете отчет вручную или KUMA сформирует отчет автоматически по расписанию.

      Чтобы сформированные отчеты можно было отправлять по электронной почте, следует настроить SMTP-соединение.

      Если адресаты, которым отчет пришел на почту, являются пользователями KUMA, они смогут скачать отчет или просмотреть отчет по ссылкам из письма. Если адресаты не являются пользователями KUMA, переход по ссылкам будет доступен, но авторизоваться в KUMA адресаты не смогут, поэтому им будут доступны только вложения.

      Мы рекомендуем просматривать отчеты в формате HTML по ссылкам в веб-интерфейсе, поскольку при некоторых значениях разрешения экрана HTML-отчет из вложения может отображаться некорректно.

      Вы можете отправить письмо без вложений, тогда адресатам будут доступны отчеты только по ссылкам и только с авторизацией в KUMA, без ограничений по ролям или тенантам.

    4. В раскрывающемся списке выберите формат отчета для отправки. Доступные форматы: PDF, HTML, , Excel.
  5. Нажмите Сохранить.

Расписание отчетов настроено.

В начало
[Topic 217771]

Изменение шаблона отчета

Чтобы изменить шаблон отчета:

  1. Откройте веб-интерфейс KUMA и выберите раздел ОтчетыШаблоны.
  2. В таблице шаблонов отчета нажмите имя шаблона отчета и в раскрывающемся списке выберите Изменить шаблон отчета.

    Откроется окно Изменить шаблон отчета.

    Это окно также можно открыть на закладке ОтчетыСформированные отчеты, нажав имя существующего отчета и выбрав в раскрывающемся списке Изменить шаблон отчета.

  3. Внесите необходимые изменения:
    • Измените список тенантов, которым принадлежит шаблон отчета.
    • Обновите период времени, за который вам требуется аналитика.
    • Добавьте виджеты

      Чтобы добавить виджет:

      1. В раскрывающемся списке Добавить виджет выберите требуемый виджет.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

      2. Настройте параметры виджета и нажмите Добавить.
    • Измените расположение виджетов, перетаскивая их.
    • Измените размер виджетов с помощью кнопки DashboardResize, которая появляется при наведении указателя мыши на виджет.
    • Отредактируйте виджеты

      Чтобы отредактировать виджет:

      1. Наведите указатель мыши на нужный виджет и нажмите на появляющийся значок gear.
      2. В раскрывающемся списке выберите значение Изменить.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

      3. Измените параметры виджета и нажмите Сохранить.
    • Удалите виджеты, наведя на них указатель мыши, а затем нажав на появившийся значок gear и выбрав Удалить.
    • В поле справа от раскрывающегося списка Добавить виджет введите уникальное имя шаблона отчета. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Измените логотип отчета, загрузив его с помощью кнопки Загрузить логотип. Если в шаблоне уже есть логотип, его предварительно потребуется удалить.
    • Измените срок хранения отчетов, сформированных по этому шаблону.
    • При необходимости установите или снимите флажок Отображать данные по КИИ.
  4. Нажмите Сохранить.

Шаблон отчета изменен и отображается в закладке ОтчетыШаблоны веб-интерфейса KUMA.

В начало
[Topic 217856]

Копирование шаблона отчета

Чтобы создать копию шаблона отчета:

  1. Откройте веб-интерфейс KUMA и выберите раздел ОтчетыШаблоны.
  2. В таблице шаблонов отчета нажмите имя шаблона отчета и в раскрывающемся списке выберите Дублировать шаблон отчета.

    Откроется окно Новый шаблон отчета. Название виджета изменено на <Шаблон отчета> - копия.

  3. Внесите необходимые изменения:
    • Измените список тенантов, которым принадлежит шаблон отчета.
    • Обновите период времени, за который вам требуется аналитика.
    • Добавьте виджеты

      Чтобы добавить виджет:

      1. В раскрывающемся списке Добавить виджет выберите требуемый виджет.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

      2. Настройте параметры виджета и нажмите Добавить.
    • Измените расположение виджетов, перетаскивая их.
    • Измените размер виджетов с помощью кнопки DashboardResize, которая появляется при наведении указателя мыши на виджет.
    • Отредактируйте виджеты

      Чтобы отредактировать виджет:

      1. Наведите указатель мыши на нужный виджет и нажмите на появляющийся значок gear.
      2. В раскрывающемся списке выберите значение Изменить.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

      3. Измените параметры виджета и нажмите Сохранить.
    • Удалите виджеты, наведя на них указатель мыши, а затем нажав на появившийся значок gear и выбрав Удалить.
    • В поле справа от раскрывающегося списка Добавить виджет введите уникальное имя шаблона отчета. Должно содержать от 1 до 128 символов в кодировке Unicode.
    • Измените логотип отчета, загрузив его с помощью кнопки Загрузить логотип. Если в шаблоне уже есть логотип, его предварительно потребуется удалить.
  4. Нажмите Сохранить.

Шаблон отчета создан и отображается в закладке ОтчетыШаблоны веб-интерфейс KUMA.

В начало
[Topic 217778]

Удаление шаблона отчета

Чтобы удалить шаблон отчета:

  1. Откройте веб-интерфейс KUMA и выберите раздел ОтчетыШаблоны.
  2. В таблице шаблонов отчета нажмите имя шаблона отчета и в раскрывающемся списке выберите Удалить шаблон отчета.

    Откроется окно подтверждения.

  3. Если вы хотите удалить только шаблон отчета, нажмите на кнопку Удалить.
  4. Если вы хотите удалить шаблон отчета и все отчеты, сформированные с помощью этого шаблона, нажмите Удалить с отчетами.

Шаблон отчета удален.

В начало
[Topic 217838]

Сформированные отчеты

Все отчеты формируются с помощью шаблонов отчетов. Сформированные отчеты доступны на закладке Сформированные отчеты в разделе Отчеты и отображаются в таблице со следующими столбцами:

Вы можете настроить набор столбцов таблицы и их порядок, а также изменить сортировку данных:

  • Отображение столбцов можно включить или выключить в меню, открываемом с помощью значка gear.
  • Порядок столбцов можно изменить, перетаскивая заголовки столбцов.
  • Если заголовок столбца таблицы имеет зеленый цвет, на него можно нажать, чтобы сортировать таблицу по данным этого столбца.
  • Название – имя шаблона отчетов.

    Вы можете отсортировать таблицу по этому столбцу, нажав заголовок и выбрав По возрастанию или По убыванию.

  • Период – период времени, за который была извлечена аналитика отчета.
  • Последний отчет – дата и время создания отчета.

    Вы можете отсортировать таблицу по этому столбцу, нажав заголовок и выбрав По возрастанию или По убыванию.

  • Тенант – название тенанта, которому принадлежит отчет.
  • Пользователь – имя пользователя, который сформировал отчет вручную. Если отчет был сформирован по расписанию, значение будет пустым. Если отчет был сформирован в версии KUMA ниже 2.1, значение будет пустым.

Вы можете нажать на название отчета, чтобы открыть раскрывающийся список с доступными командами:

  • Открыть отчет – используйте эту команду, чтобы открыть окно с данными отчета.
  • Сохранить как – используйте эту команду, чтобы сохранить сформированный отчет в нужном формате. Доступные форматы: HTML, PDF, CSV, разделенный CSV, Excel.
  • Создать отчет – используйте эту команду, чтобы немедленно сформировать отчет. Обновите окно браузера, чтобы увидеть вновь созданный отчет в таблице.
  • Изменить шаблон отчета – используйте эту команду, чтобы настроить виджеты и период времени, за который должна быть извлечена аналитика.
  • Удалить отчет – используйте эту команду, чтобы удалить отчет.

В этом разделе

Просмотр отчетов

Создание отчетов

Сохранение отчетов

Удаление отчетов

В начало
[Topic 217882]

Просмотр отчетов

Чтобы просмотреть отчет:

  1. Откройте веб-интерфейс KUMA и выберите раздел ОтчетыСформированные отчеты.
  2. В таблице отчета нажмите имя сформированного отчета и в раскрывающемся списке выберите Открыть отчет.

    Откроется новая закладка браузера с виджетами, отображающими аналитику отчетов. Если виджет отображает данные о событиях, алертах, инцидентах или активных листах, при нажатии на его заголовок открывается соответствующий раздел веб-интерфейса KUMA с активным фильтром и/или поисковым запросом, с помощью которых отображаются данные из виджета. К виджетам применяются ограничения по умолчанию.

    С помощью кнопки CSV данные, отображаемые на каждом виджете, можно скачать в формате CSV в кодировке UTF-8. Название скачиваемого файла имеет формат <название виджета>_<дата скачивания (ГГГГММДД)>_<время скачивания (ЧЧММСС)>.CSV.

    Если вы хотите просмотреть полные данные, выгрузите отчет в формате CSV с указанными параметрами из запроса.

  3. Отчет можно сохранить в выбранном формате с помощью кнопки Сохранить как.
В начало
[Topic 217945]

Создание отчетов

Вы можете создать отчет вручную или настроить расписание, чтобы отчеты создавались автоматически.

Чтобы создать отчет вручную:

  1. Откройте веб-интерфейс KUMA и выберите раздел ОтчетыШаблоны.
  2. В таблице шаблонов отчета нажмите имя шаблона отчета и в раскрывающемся списке выберите Создать отчет.

    Отчет также можно создать на закладке ОтчетыСформированные отчеты, нажав имя существующего отчета и выбрав в раскрывающемся списке Создать отчет.

Отчет создается и помещается на закладку ОтчетыСформированные отчеты.

Чтобы создавать отчеты автоматически, настройте расписание отчетов.

В начало
[Topic 217883]

Сохранение отчетов

Чтобы сохранить отчет в нужном формате:

  1. Откройте веб-интерфейс KUMA и выберите раздел ОтчетыСформированные отчеты.
  2. В таблице отчета нажмите имя сформированного отчета и в раскрывающемся списке выберите Сохранить как, а затем выберите нужный формат: HTML, PDF, CSV, разделенный CSV, Excel.

    Отчет сохраняется в папку загрузки, настроенную в вашем браузере.

Отчет также можно сохранить в выбранном формате при просмотре.

В начало
[Topic 217985]

Удаление отчетов

Чтобы удалить отчет:

  1. Откройте веб-интерфейс KUMA и выберите раздел ОтчетыСформированные отчеты.
  2. В таблице отчета нажмите имя сформированного отчета и в раскрывающемся списке выберите Удалить отчет.

    Откроется окно подтверждения.

  3. Нажмите ОК.
В начало
[Topic 217837]

Виджеты

С помощью виджетов вы можете осуществлять мониторинг работы приложения.

Виджеты организованы в группы, каждая из которых связана с типом аналитики, которую она предоставляет. В KUMA доступны следующие группы виджетов и виджеты:

  • События – виджет для создания аналитики на основе событий.
  • Активные листы – виджет для создания аналитики на основе активных листов корреляторов.
  • Алерты – группа для аналитики об алертах.

    В группу входят следующие виджеты:

    • Активные алерты – количество незакрытых алертов.
    • Активные алерты по тенантам – количество незакрытых алертов для каждого тенанта.
    • Алерты по тенантам – количество алертов всех статусов для каждого тенанта.
    • Неназначенные алерты – количество алертов со статусом Новый.
    • Алерты по исполнителю – количество алертов со статусом Назначен. Сгруппированы по имени учетной записи.
    • Алерты по статусу – количество алертов, имеющих статус Новый, Открыт, Назначен или Эскалирован. Сгруппированы по статусу.
    • Алерты по уровню важности – количество незакрытых алертов, сгруппированных по уровню важности.
    • Алерты по правилу корреляции – количество незакрытых алертов, сгруппированных по правилам корреляции.
    • Последние алерты – таблица с информацией о последних 10 незакрытых алертах, принадлежащих выбранным в макете тенантам.
    • Распределение алертов – количество алертов, созданных в течение указанного для виджета периода.
  • Активы – группа для аналитики об активах из обработанных событий. В эту группу входят следующие виджеты:
    • Затронутые активы – таблица с информацией об уровне важности активов и количестве незакрытых алертов, с которыми они связаны.
    • Категории затронутых активов – категории активов, привязанных к незакрытым алертам.
    • Количество активов – количество активов, добавленных в KUMA.
    • Активы в инцидентах по тенантам – количество активов, связанных с незакрытыми инцидентами. Сгруппированы по тенантам.
    • Активы в алертах по тенантам – количество активов, связанных с незакрытыми алертами, Сгруппированы по тенантам.
  • Инциденты – группа для аналитики об инцидентах.

    В группу входят следующие виджеты:

    • Активные инциденты – количество незакрытых инцидентов.
    • Неназначенные инциденты – количество инцидентов со статусом Открыт.
    • Распределение инцидентов – количество инцидентов, созданных в течение указанного для виджета периода.
    • Инциденты по исполнителю – количество инцидентов со статусом Назначен. Сгруппированы по имени учетной записи пользователя.
    • Инциденты по статусам – количество инцидентов, сгруппированных по статусу.
    • Инциденты по уровню важности – количество незакрытых инцидентов, сгруппированных по уровню важности.
    • Активные инциденты по тенантам – количество незакрытых инцидентов, сгруппированных по тенантам, доступным для учетной записи пользователя.
    • Все инциденты – количество инцидентов всех статусов.
    • Все инциденты по тенантам – количество инцидентов всех статусов, сгруппированных по тенантам.
    • Активы в инцидентах – количество активов, связанных с незакрытыми инцидентами.
    • Категории активов в инцидентах – категории активов, связанных с незакрытыми инцидентами.
    • Пользователи в инцидентах – пользователи, связанные с инцидентами.
    • Последние инциденты – таблица с информацией о последних 10 незакрытых инцидентах, принадлежащих выбранным в макете тенантам.
  • Источники событий – группа для аналитики об источниках событий. В группу входят следующие виджеты:
    • Топ источников событий по количеству алертов – количество незакрытых алертов, сгруппированных по источникам событий.
    • Топ источников событий по условному рейтингу – количество событий, связанных с незакрытыми алертами. Сгруппированы по источникам событий.

      В ряде случаев количество алертов, созданных источниками, может быть искажено. Для получения точной статистики рекомендуется в правиле корреляции указать поле события Device Product в качестве уникального, а также включить хранение всех базовых событий в корреляционном событии. Правила корреляции с такими настройками являются более ресурсоемкими.

  • Пользователи – группа для аналитики о пользователях из обработанных событий. В группу входят следующие виджеты:
    • Пользователи в алертах – количество учетных записей, связанных с незакрытыми алертами.
    • Количество пользователей AD – количество учетных записей в Active Directory, полученных по LDAP в течение указанного для виджета периода.

В таблице событий, в области деталей событий, в окне алертов, а также в виджетах в качестве значений полей SourceAssetID, DestinationAssetID, DeviceAssetID, SourceAccountID, DestinationAccountID и ServiceID вместо идентификаторов отображаются названия активов, учетных записей или сервисов. При экспорте событий в файл идентификаторы сохраняются, однако в файл добавляются столбцы с названиями. Идентификаторы также отображаются при наведении указателя мыши на названия активов, учетных записей или сервисов.

Поиск по полям с идентификаторами возможен только с помощью идентификаторов.

В этом разделе

Основные принципы работы с виджетами

Особенности отображения данных в виджетах

Создание виджета

Редактирование виджета

Удаление виджета

Параметры виджетов

Отображение названий тенантов в виджетах типа "Активный лист"

В начало
[Topic 218042]

Основные принципы работы с виджетами

Принцип отображения данных на виджете зависит от типа графика. В KUMA доступны следующие типы графиков:

  • Круговая диаграмма (pie).
  • Счетчик (counter).
  • Таблица (table).
  • Столбчатая диаграмма (bar1).
  • Календарная диаграмма (bar2).
  • Линейная диаграмма.

Основные принципы работы со всеми виджетами

В левом верхнем углу виджетов отображается название виджета. По ссылке с названием виджета о событиях, алертах, инцидентах или активных листах вы можете перейти в соответствующий раздел веб-интерфейса KUMA.

Под названием виджета отображается список тенантов, для которых представлены данные.

В правом верхнем углу виджета указан период, за который отображаются данные на виджете (Data display period on the widget). Вы можете просмотреть даты периода и время последнего обновления, наведя указатель мыши на этот значок.

Слева от значка периода отображается кнопка CSV. Вы можете скачать данные, которые отображаются на виджете, в формате CSV (кодировка UTF-8). Название скачиваемого файла имеет формат <название виджета>_<дата скачивания (ГГГГММДД)>_<время скачивания (ЧЧММСС)>.CSV.

Данные на виджете отображаются за выбранный в параметрах виджета или макета период только для тенантов, которые были выбраны в параметрах виджета или макета.

Основные принципы работы с графиками типа "Круговая диаграмма"

Под списком тенантов отображается круговая диаграмма. Вы можете перейти в раздел веб-интерфейса KUMA с соответствующими данными, щелкнув левой кнопкой мыши по выбранному разделу диаграммы. Данные в разделе будут отсортированы в соответствии с фильтрами и/или поисковым запросом, указанным в виджете.

Под значком периода отображается количество событий, активных листов, активов, алертов или инцидентов, сгруппированных по выбранным критериям за период отображения данных на виджетах.

Примеры:

  • На виджете Алерты по статусу под значком периода отображается количество алертов, сгруппированных по статусам Новый, Открыт, Назначен или Эскалирован.

    Если вы хотите просмотреть в легенде алерты только со статусами Открыт и Назначен, вы можете снять флажки слева от статусов Новый и Эскалирован.

  • На виджете События, для которого указан SQL-запрос SELECT count(ID) AS `metric`, Name AS `value` FROM `events` GROUP BY Name ORDER BY `metric` DESC LIMIT 10, под значком периода отображается 10 событий, сгруппированных по имени и отсортированных в порядке убывания.

    Если вы хотите просмотреть в легенде события с определенными именами, вы можете снять флажки слева от имен событий, которые не должны отображаться в легенде.

Основные принципы работы с графиками типа "Счетчик"

На графиках этого типа отображается сумма выбранных данных.

Пример:

На виджете Количество активов отображается общее количество активов, добавленных в KUMA.

Основные принципы работы с графиками типа "Таблица"

На графиках этого типа данные отображаются в виде таблицы.

Пример:

На виджете События, для которого указан SQL-запрос SELECT TenantID , Timestamp , Name , DeviceProduct , DeviceVendor FROM `events` LIMIT 10, отображается таблица событий со столбцами TenantID, Timestamp, Name, DeviceProduct, DeviceVendor. Таблица содержит 10 строк.

Основные принципы работы с графиками типа "Столбчатая диаграмма"

Под списком тенантов отображается столбчатая диаграмма. Вы можете перейти в раздел События веб-интерфейса KUMA, щелкнув левой кнопкой мыши по выбранному разделу диаграммы. Данные в разделе будут отсортированы в соответствии с фильтрами и/или поисковым запросом, указанным в виджете. Справа от диаграммы эти данные представлены в виде таблицы.

Пример:

На виджете Netflow top internal IPs, для которого указан SQL-запрос SELECT sum(BytesIn) AS metric, DestinationAddress AS value FROM `events` WHERE (DeviceProduct = 'netflow' OR DeviceProduct = 'sflow') AND (inSubnet(DestinationAddress, '10.0.0.0/8') OR inSubnet(DestinationAddress, '172.16.0.0/12') OR inSubnet(DestinationAddress, '192.168.0.0/16')) GROUP BY DestinationAddress ORDER BY metric DESC LIMIT 10, на оси X диаграммы отображается сумма трафика в байтах, на оси Y диаграммы отображаются адреса портов назначения. Данные сгруппированы по адресам назначения в порядке убывания суммы трафика.

Основные принципы работы с графиками типа "Календарная диаграмма"

Под списком тенантов отображается календарная диаграмма. Вы можете перейти в раздел События веб-интерфейса KUMA с соответствующими данными, щелкнув левой кнопкой мыши по выбранному разделу диаграммы. Данные в разделе будут отсортированы в соответствии с фильтрами и/или поисковым запросом, указанным в виджете. Справа от диаграммы эти данные представлены в виде таблицы.

Пример:

На виджете События, для которого указан SQL-запрос SELECT count(ID) AS `metric`, Timestamp AS `value` FROM `events` GROUP BY Timestamp ORDER BY `metric` DESC LIMIT 250, на оси X диаграммы отображается дата создания события, на оси Y диаграммы отображается примерное количество событий. События сгруппированы по дате создания в порядке убывания.

Основные принципы работы с графиками типа "Линейная диаграмма"

Под списком тенантов отображается линейная диаграмма. Вы можете перейти в раздел События веб-интерфейса KUMA с соответствующими данными, щелкнув левой кнопкой мыши по выбранному разделу диаграммы. Данные в разделе будут отсортированы в соответствии с фильтрами и/или поисковым запросом, указанным в виджете. Справа от диаграммы эти данные представлены в виде таблицы.

Пример:

На виджете События, для которого указан SQL-запрос SELECT count(ID) AS `metric`, SourcePort AS `value` FROM `events` GROUP BY SourcePort ORDER BY `value` ASC LIMIT 250, на оси X диаграммы представлен примерный номер порта, на оси Y диаграммы отображаются количество событий. Данные сгруппированы по номеру порта в порядке возрастания.

В начало
[Topic 254475]

Особенности отображения данных в виджетах

Ограничение отображаемых данных

Для удобства восприятия информации в KUMA заданы ограничения на отображение данных в виджетах в зависимости от их типа:

  • Круговая диаграмма – отображается не более 20 отсеков.
  • Столбчатая диаграмма – отображается не более 40 столбцов.
  • Таблица – отображается не более 500 записей.
  • Календарная диаграмма – отображается не более 365 дней.

Данные, выходящие за указанные ограничения, отображаются в виджете в категории Остальное.

Все данные, по которым построена аналитика в виджете, можно скачать в формате CSV.

Суммирование данных

Формат отображения итоговой суммы данных на календарной, столбчатой и круговой диаграммах зависит от языка локализации:

  • Английская локализация: порядки разделяются запятыми, дробная часть отделяется точкой.
  • Русская локализация: порядки разделяются пробелами, дробная часть отделяется запятой.
В начало
[Topic 245690]

Создание виджета

Вы можете создать виджет на макете панели мониторинга в процессе создания или редактирования макета.

Чтобы создать виджет:

  1. Создайте макет или перейдите в режим редактирования выбранного макета.
  2. Нажмите на кнопку Добавить виджет.
  3. В раскрывшемся списке выберите тип виджета.

    Отобразится окно параметров виджета.

  4. Задайте параметры виджета.
  5. Если вы хотите просмотреть, как будут отображаться данные на виджете, нажмите на кнопку Предварительный просмотр.
  6. Нажмите на кнопку Добавить.

Виджет отобразится на макете панели мониторинга.

В начало
[Topic 254403]

Редактирование виджета

Чтобы отредактировать виджет:

  1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
  2. Раскройте список в верхнем правом углу окна.
  3. Наведите указатель мыши на требуемый макет.
  4. Нажмите на кнопку EditResource.

    Откроется окно Настройка макета.

  5. На виджете, который вы хотите отредактировать, нажмите на кнопку GearGrey.
  6. Выберите Изменить.

    Откроется окно параметров виджета.

  7. Задайте параметры виджета.
  8. Нажмите на кнопку Сохранить в окне параметров виджета.
  9. Нажмите на кнопку Сохранить в окне Настройка макета.

Виджет будет отредактирован.

В начало
[Topic 254407]

Удаление виджета

Чтобы удалить виджет:

  1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
  2. Раскройте список в верхнем правом углу окна.
  3. Наведите указатель мыши на требуемый макет.
  4. Нажмите на кнопку EditResource.

    Откроется окно Настройка макета.

  5. На виджете, который вы хотите удалить, нажмите на кнопку GearGrey.
  6. Выберите Удалить.
  7. В отобразившемся окне подтверждения нажмите на кнопку ОК.
  8. Нажмите на кнопку Сохранить.

Виджет будет удален.

В начало
[Topic 254408]

Параметры виджетов

Этот раздел содержит описание параметров всех доступных в KUMA виджетов.

В начало
[Topic 254289]

Виджет "События"

Вы можете использовать виджет События для получения необходимой аналитики на основе SQL-запросов.

При создании этого виджета вам требуется указать значения для следующих параметров:

Вкладка Selectors:

  • График – тип графика. Доступны следующие типы графиков:
    • Круговая диаграмма.
    • Столбчатая диаграмма.
    • Счетчик.
    • Линейная диаграмма.
    • Таблица.
    • Календарная диаграмма.
  • Тенант – тенант, по которому отображаются данные на виджете.

    Вы можете выбрать несколько тенантов.

    По умолчанию данные отображаются по тенантам, которые были выбраны в параметрах макета.

  • Период – период, за который отображаются данные на виджете. Доступны следующие периоды:
    • Как на макете – отображаются данные за период, выбранный для макета.

      Это значение используется по умолчанию.

    • 1 час – отображаются данные за предыдущий час.
    • 1 день – отображаются данные за предыдущий день.
    • 7 дней – отображаются данные за предыдущие 7 дней.
    • 30 дней – отображаются данные за предыдущие 30 дней.
    • В течение периода – отображаются данные за выбранный период времени.

      При выборе этого варианта в открывшемся календаре выберите дату начала и окончания периода и нажмите Применить фильтр. Формат даты и времени зависит от настроек вашей операционной системы. При необходимости вы также можете изменить значения даты вручную.

      Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период День1, 00:00:00 – День 2, 00:00:00, а не День 1, 00:00:00 – День 1, 23:59:59.

  • Показывать данные за предыдущий период – включение отображения данных сразу за два периода: за текущий и за предыдущий.
  • Хранилище – хранилище, в котором выполняется поиск событий.
  • Поле SQL-запроса (icon_search_events) – в этом поле вы можете ввести запрос для фильтрации и поиска событий вручную.

    Также вы можете составить запрос в конструкторе запросов, нажав на кнопку icon_search_events.

    Как создать запрос в конструкторе запросов

    Чтобы создать запрос в конструкторе запросов:

    1. Укажите значения для следующих параметров:
      1. SELECT – поля событий, которые следует возвращать. Количество доступных полей зависит от выбранного типа графика.
        • В раскрывающемся списке слева выберите поля событий, данные по которым должны отображаться на виджете.
        • Среднее поле показывает, для чего выбранное поле используется в виджете: metric (метрики) или value (значение).

          Если вы выбрали тип графика Таблица, в средних полях нужно указать названия столбцов, используя символы ANSII-ASCII.

        • В раскрывающемся списке справа вы можете выбрать операцию, которую следует произвести над данными:
          • count – подсчет событий. Эта операция доступна только для поля события ID. Используется по умолчанию для линейных, круговых и столбчатых диаграмм, а также для счетчиков. Является единственно возможным вариантом для календарных диаграмм.
          • max – максимальное значение поля события из выборки событий.
          • min – минимальное значение поля события из выборки событий.
          • avg – среднее значение поля события из выборки событий.
          • sum – сумма значений полей событий из выборки событий.
      2. SOURCE – тип источника данных. Для выбора доступно только значение events (события).
      3. WHERE – условия фильтрации событий.
        • В раскрывающемся списке слева выберите поле события, которое вы хотите использовать для фильтрации.
        • В среднем раскрывающемся списке выберите нужный оператор. Доступные операторы зависят от типа значения выбранного поля события.
        • В раскрывающемся списке справа введите значение условия. В зависимости от выбранного типа поля вам потребуется ввести значение вручную, выбрать его в раскрывающемся списке или выбрать в календаре.

        Вы можете добавить условия поиска, нажав на кнопку Добавить условие или удалить их, нажав на кнопку cross.

        Вы можете добавить группы условий, нажав на кнопку Добавить группу. По умолчанию группы условий добавляются с оператором AND, но при необходимости вы можете изменить значение. Доступные значения: AND, OR, NOT. Группы условий удаляются с помощью кнопки Удалить группу.

      4. GROUP BY – поля событий или псевдонимы, по которым следует группировать возвращаемые данные. Этот параметр недоступен для графиков типа Счетчик.
      5. ORDER BY – столбцы, по которым следует сортировать возвращаемые данные. Этот параметр недоступен для графиков следующих типов: Календарная диаграмма и Счетчик.
        • В раскрывающемся списке слева выберите значение, которое будет использоваться для сортировки.
        • В раскрывающемся списке справа выберите порядок сортировки: ASC  – по возрастанию, DESC  – по убыванию.
        • Для графиков типа Таблица можно добавить условия сортировки с помощью кнопки Добавить столбец.
      6. LIMIT – максимальное количество точек данных для виджета. Этот параметр недоступен для графиков типа Календарная диаграмма и Счетчик.
    2. Нажмите на кнопку Применить.

    Пример условий поиска в конструкторе запросов

    WidgetCustomExample

    Параметры условия поиска для виджета, показывающие среднее количество байтов, полученных с одного хоста

    Псевдонимы metric и value в SQL-запросах недоступны для изменения для всех типов виджета с аналитикой по событиям, кроме таблиц.

    Псевдонимы в виджетах типа Таблица могут содержать латинские и кириллические символы, а также пробелы. При использовании пробелов или кириллицы псевдоним необходимо выделять кавычками: "Псевдоним с пробелом", `Другой псевдоним`.

    При отображении данных за предыдущий период сортировка по параметру count(ID) может работать некорректно. Рекомендуется использовать сортировку по параметру metric. Например, SELECT count(ID) AS "metric", Name AS "value" FROM `events` GROUP BY Name ORDER BY metric ASC LIMIT 250.

    В виджетах типа Счетчик необходимо для значений функции SELECT указывать способ обработки данных: count, max, min, avg, sum.

Вкладка Actions:

Закладка отображается, если на закладке Selectors в поле График вы выбрали одно из следующих значений: Столбчатая диаграмма, Линейная диаграмма, Календарная диаграмма.

  • Минимальное значение Y и Максимальное значение Y – масштаб оси Y.
  • Минимальное значение X и Максимальное значение X – масштаб оси X.

    На осях графиков могут отображаться отрицательные значения. Это связано с масштабированием графиков на виджете и может быть исправлено выставлением нуля в качестве минимальных значений графиков вместо Авто.

  • Толщина линии – толщина линии на графике. Поле отображается для типа графика "Линейная диаграмма".
  • Размер указателя – размер указателя на графике. Поле отображается для типа графика "Линейная диаграмма".

Вкладка wrench:

  • Название – название виджета.
  • Описание – описание виджета.
  • Цвет – раскрывающийся список, в котором вы можете выбрать цвет отображения информации:
    • по умолчанию – цвет шрифта, который используется в вашем браузере по умолчанию;
    • зеленый;
    • красный;
    • синий;
    • желтый.
  • Горизонтальный – использование горизонтальной гистограммы вместо вертикальной.

    При включении этого параметра горизонтальная прокрутка при большом количестве данных не будет отображаться и вся имеющаяся информация будет отражена в заданном размере виджета. Если данных для отображения много, рекомендуется увеличить размер виджета.

  • Итоговые значения – суммы значений.
  • Легенда – легенда для аналитики.

    По умолчанию переключатель включен.

  • Пустые значения в легенде – отображение параметров с нулевым значением в легенде для аналитики.

    По умолчанию переключатель выключен.

  • Десятичные знаки – поле для ввода количества десятичных знаков, до которых отображаемое значение должно быть округлено.
  • Длительность отрезков периода (доступно для графика типа Календарная диаграмма) – длительность отрезков, на которые требуется делить период.
В начало
[Topic 217867]

Виджет "Активные листы"

Вы можете использовать виджет Активные листы для получения аналитики на основе SQL-запросов.

При создании этого виджета вам требуется указать значения для следующих параметров:

Вкладка Selectors:

  • График – тип графика. Доступны следующие типы графиков:
    • Столбчатая диаграмма.
    • Круговая диаграмма.
    • Счетчик.
    • Таблица.
  • Тенант – тенант, по которому отображаются данные на виджете.

    Вы можете выбрать несколько тенантов.

    По умолчанию данные отображаются по тенантам, которые были выбраны в параметрах макета.

  • Коррелятор – название коррелятора, содержащего активный лист, по которому вы хотите получать данные.
  • Активный лист – название активного листа, по которому вы хотите получать данные.

    Один и тот же активный лист может использоваться в разных корреляторах. При этом для каждого коррелятора создается своя сущность активного листа. Таким образом, содержимое активных листов, используемых разными корреляторами, различается, даже если идентификатор и название активных листов одинаковые.

  • Поле SQL-запроса – в этом поле вы можете ввести запрос для фильтрации и поиска данных активного листа вручную.

    Структура запроса аналогична той, которая используется при поиске событий.

    При создании запроса по активным листам вам нужно учитывать следующие особенности:

    • Для функции FROM требуется указать значение `records`.
    • Если вы хотите получать данные по полям, названия которых содержат пробелы и символы кириллицы, в запросе такие названия требуется выделять кавычками:
      • в функции SELECT псевдонимы следует выделять двойными или косыми кавычками: "псевдоним", `другой псевдоним`;
      • в функции ORDER BY псевдонимы следует выделять косыми кавычками: `другой псевдоним`;
      • значения полей событий выделяются прямыми кавычками: WHERE DeviceProduct = 'Microsoft';

      Название полей событий выделять кавычками не требуется.

      Если название поля активного листа начинается или заканчивается пробелами, в виджете эти пробелы не отображаются. Название поля не должно состоять только из пробелов.

      Если значения полей активного листа могут содержать пробелы в конце или в начале, поиск по ним рекомендуется осуществлять с помощью функции LIKE '%значение поля%'.

    • Вы можете использовать в запросе служебные поля _key (поле с ключами записей активного листа) и _count (сколько раз эта запись была добавлена в активный лист), а также пользовательские поля.
    • Псевдонимы metric и value в SQL-запросах недоступны для изменения для всех типов виджета с аналитикой по активным листам, кроме таблиц.
    • Если в SQL-запросе используется функция преобразования даты и времени (например, fromUnixTimestamp64Milli) и при этом обрабатываемое поле не содержит даты и времени, в виджете будет отображаться ошибка. Чтобы избежать этого, используйте функции, которые могут обрабатывать нулевое значение. Пример: SELECT _key, fromUnixTimestamp64Milli(toInt64OrNull(DateTime)) as Date FROM `records` LIMIT 250.
    • Если задать большие значения для функции LIMIT, это может привести к ошибкам в работе браузера.
    • Если в качестве типа графика вы выбрали Счетчик, необходимо для значений функции SELECT указывать способ обработки данных: count, max, min, avg, sum.
    • Вы можете получать в виджете названия тенантов, а не их идентификаторы.

      Если вы хотите, чтобы в виджетах по активным листам отображались названия тенантов, а не их идентификаторы, настройте в корреляционных правилах коррелятора функцию наполнения активного листа сведениями об использующем его тенанте. Процесс настройки состоит из следующих этапов:

      1. Экспорт списка тенантов.
      2. Создание словаря типа Таблица и импорт в него полученного ранее списка тенантов.
      3. Добавление в корреляционное правило локальной переменной с функцией dict для распознания имени тенанта по идентификатору.

        Пример:

        • Переменная: TenantName
        • Значение: dict('<Название ранее созданного словаря с тенантами>', TenantID)
      4. Добавление в корреляционное правило действия над активными листами, с помощью которого значение ранее созданной переменной будет с помощью функции Установить записываться в активный лист в формате Ключ–Значение. В качестве ключа следует задать поле активного листа (например, Тенант), а в поле значения обратиться к ранее созданной переменной (например, $TenantName).

      В результате срабатывания этого правила в активный лист будет помещаться название тенанта, опознанного функцией dict по идентификатору среди словаря тенантов. При создании виджетов по активным листам можно получить название тенанта, обратившись к названию поля активного листа (в примере выше это Тенант).

      Описанный метод можно применять и к другим полям событий с идентификаторами.

    Особенности использования псевдонимов в SQL-функциях: и SELECT допустимо использовать двойные и косые кавычки: ", `.

    Если в качестве типа графика вы выбрали Счетчик, псевдонимы могут содержать латинские и кириллические символы, а также пробелы. При использовании пробелов или кириллицы псевдоним необходимо выделять кавычками: "Псевдоним с пробелом", `Другой псевдоним`.

    При отображении данных за предыдущий период сортировка по параметру count(ID) может работать некорректно. Рекомендуется использовать сортировку по параметру metric. Например, SELECT count(ID) AS "metric", Name AS "value" FROM `events` GROUP BY Name ORDER BY metric ASC LIMIT 250.

    Примеры запросов для получения аналитики по активным листам:

    • SELECT * FROM `records` WHERE "Источник событий" = 'Екатеринбург' LIMIT 250

      Запрос, который возвращает ключ активного листа с названием поля "Источник событий" и значением этого поля "Екатеринбург".

    • SELECT count(_key) AS metric, Status AS value FROM `records` GROUP BY value ORDER BY metric DESC LIMIT 250

      Запрос для круговой диаграммы, который возвращает количество ключей активного листа (агрегация count по полю _key) и все варианты значений пользовательского поля Status. В виджете отображается круговая диаграмма с общим количеством записей активного листа, пропорционально разделенным на количество вариантов значений поля Status.

    • SELECT Name, Status, _count AS Number FROM `records` WHERE Description ILIKE '%ftp%' ORDER BY Name DESC LIMIT 250

      Запрос для таблицы, которая возвращает значения пользовательских полей Name и Status, а также служебного поля _count у тех записей активного листа, в которых значения пользовательского поля Description соответствует запросу ILIKE '%ftp%'. В виджете отображается таблица со столбцами Status, Name и Number.

Вкладка Actions:

Закладка отображается, если на закладке Selectors в поле График вы выбрали значение Столбчатая диаграмма.

  • Минимальное значение Y и Максимальное значение Y – масштаб оси Y.
  • Минимальное значение X и Максимальное значение X – масштаб оси X.

    На осях графиков могут отображаться отрицательные значения. Это связано с масштабированием графиков на виджете и может быть исправлено выставлением нуля в качестве минимальных значений графиков вместо Авто.

Вкладка wrench:

  • Название – название виджета.
  • Описание – описание виджета.
  • Цвет – раскрывающийся список, в котором вы можете выбрать цвет отображения информации:
    • по умолчанию – цвет шрифта, который используется в вашем браузере по умолчанию;
    • зеленый;
    • красный;
    • синий;
    • желтый.
  • Горизонтальный – использование горизонтальной гистограммы вместо вертикальной.

    При включении этого параметра вся имеющаяся информация будет отражена в заданном размере виджета. Если данных много, Вы можете увеличить размер виджета для их оптимального отображения.

  • Итоговые значения – суммы значений.
  • Легенда – легенда для аналитики.

    По умолчанию переключатель включен.

  • Пустые значения в легенде – отображение параметров с нулевым значением в легенде для аналитики.

    По умолчанию переключатель выключен.

В начало
[Topic 234198]

Другие виджеты

В этом разделе описываются параметры всех виджетов, кроме виджетов События и Активные листы.

Набор параметров, доступных для виджета, зависит от типа графика, который отображается на виджете. В KUMA доступны следующие типы графиков:

  • Круговая диаграмма (pie).
  • Счетчик (counter).
  • Таблица (table).
  • Столбчатая диаграмма (bar1).
  • Календарная диаграмма (bar2).
  • Линейная диаграмма.

Параметры для круговых диаграмм

  • Название – название виджета.
  • Описание – описание виджета.
  • Тенант – тенант, по которому отображаются данные на виджете.

    Вы можете выбрать несколько тенантов.

    По умолчанию данные отображаются по тенантам, которые были выбраны в параметрах макета.

  • Период – период, за который отображаются данные на виджете. Доступны следующие периоды:
    • Как на макете – отображаются данные за период, выбранный для макета.

      Это значение используется по умолчанию.

    • 1 час – отображаются данные за предыдущий час.
    • 1 день – отображаются данные за предыдущий день.
    • 7 дней – отображаются данные за предыдущие 7 дней.
    • 30 дней – отображаются данные за предыдущие 30 дней.
    • В течение периода – отображаются данные за выбранный период времени.

      При выборе этого варианта в открывшемся календаре выберите дату начала и окончания периода и нажмите Применить фильтр. Формат даты и времени зависит от настроек вашей операционной системы. При необходимости вы также можете изменить значения даты вручную.

      Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период День1, 00:00:00 – День 2, 00:00:00, а не День 1, 00:00:00 – День 1, 23:59:59.

  • Итоговые значения – суммы значений.
  • Легенда – легенда для аналитики.

    По умолчанию переключатель включен.

  • Пустые значения в легенде – отображение параметров с нулевым значением в легенде для аналитики.

    По умолчанию переключатель выключен.

  • Десятичные знаки – поле для ввода количества десятичных знаков, до которых отображаемое значение должно быть округлено.

Параметры для счетчиков

  • Название – название виджета.
  • Описание – описание виджета.
  • Тенант – тенант, по которому отображаются данные на виджете.

    Вы можете выбрать несколько тенантов.

    По умолчанию данные отображаются по тенантам, которые были выбраны в параметрах макета.

  • Период – период, за который отображаются данные на виджете. Доступны следующие периоды:
    • Как на макете – отображаются данные за период, выбранный для макета.

      Это значение используется по умолчанию.

    • 1 час – отображаются данные за предыдущий час.
    • 1 день – отображаются данные за предыдущий день.
    • 7 дней – отображаются данные за предыдущие 7 дней.
    • 30 дней – отображаются данные за предыдущие 30 дней.
    • В течение периода – отображаются данные за выбранный период времени.

      При выборе этого варианта в открывшемся календаре выберите дату начала и окончания периода и нажмите Применить фильтр. Формат даты и времени зависит от настроек вашей операционной системы. При необходимости вы также можете изменить значения даты вручную.

      Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период День1, 00:00:00 – День 2, 00:00:00, а не День 1, 00:00:00 – День 1, 23:59:59.

Параметры для таблиц

  • Название – название виджета.
  • Описание – описание виджета.
  • Тенант – тенант, по которому отображаются данные на виджете.

    Вы можете выбрать несколько тенантов.

    По умолчанию данные отображаются по тенантам, которые были выбраны в параметрах макета.

  • Период – период, за который отображаются данные на виджете. Доступны следующие периоды:
    • Как на макете – отображаются данные за период, выбранный для макета.

      Это значение используется по умолчанию.

    • 1 час – отображаются данные за предыдущий час.
    • 1 день – отображаются данные за предыдущий день.
    • 7 дней – отображаются данные за предыдущие 7 дней.
    • 30 дней – отображаются данные за предыдущие 30 дней.
    • В течение периода – отображаются данные за выбранный период времени.

      При выборе этого варианта в открывшемся календаре выберите дату начала и окончания периода и нажмите Применить фильтр. Формат даты и времени зависит от настроек вашей операционной системы. При необходимости вы также можете изменить значения даты вручную.

      Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период День1, 00:00:00 – День 2, 00:00:00, а не День 1, 00:00:00 – День 1, 23:59:59.

  • Показывать данные за предыдущий период – включение отображения данных сразу за два периода: за текущий и за предыдущий.
  • Цвет – раскрывающийся список, в котором вы можете выбрать цвет отображения информации:
    • по умолчанию – цвет шрифта, который используется в вашем браузере по умолчанию;
    • зеленый;
    • красный;
    • синий;
    • желтый.
  • Десятичные знаки – поле для ввода количества десятичных знаков, до которых отображаемое значение должно быть округлено.

Параметры для столбчатых и календарных диаграмм

Вкладка Actions:

  • Минимальное значение Y и Максимальное значение Y – масштаб оси Y.
  • Минимальное значение X и Максимальное значение X – масштаб оси X.

    На осях графиков могут отображаться отрицательные значения. Это связано с масштабированием графиков на виджете и может быть исправлено выставлением нуля в качестве минимальных значений графиков вместо Авто.

  • Десятичные знаки – поле для ввода количества десятичных знаков, до которых отображаемое значение должно быть округлено.

Вкладка wrench:

  • Название – название виджета.
  • Описание – описание виджета.
  • Тенант – тенант, по которому отображаются данные на виджете.

    Вы можете выбрать несколько тенантов.

    По умолчанию данные отображаются по тенантам, которые были выбраны в параметрах макета.

  • Период – период, за который отображаются данные на виджете. Доступны следующие периоды:
    • Как на макете – отображаются данные за период, выбранный для макета.

      Это значение используется по умолчанию.

    • 1 час – отображаются данные за предыдущий час.
    • 1 день – отображаются данные за предыдущий день.
    • 7 дней – отображаются данные за предыдущие 7 дней.
    • 30 дней – отображаются данные за предыдущие 30 дней.
    • В течение периода – отображаются данные за выбранный период времени.

      При выборе этого варианта в открывшемся календаре выберите дату начала и окончания периода и нажмите Применить фильтр. Формат даты и времени зависит от настроек вашей операционной системы. При необходимости вы также можете изменить значения даты вручную.

      Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период День1, 00:00:00 – День 2, 00:00:00, а не День 1, 00:00:00 – День 1, 23:59:59.

  • Показывать данные за предыдущий период – включение отображения данных сразу за два периода: за текущий и за предыдущий.
  • Цвет – раскрывающийся список, в котором вы можете выбрать цвет отображения информации:
    • по умолчанию – цвет шрифта, который используется в вашем браузере по умолчанию;
    • зеленый;
    • красный;
    • синий;
    • желтый.
  • Горизонтальный – использование горизонтальной гистограммы вместо вертикальной.

    При включении этого параметра вся имеющаяся информация будет отражена в заданном размере виджета. Если данных много, вы можете увеличить размер виджета для их оптимального отображения.

  • Итоговые значения – суммы значений.
  • Легенда – легенда для аналитики.

    По умолчанию переключатель включен.

  • Пустые значения в легенде – отображение параметров с нулевым значением в легенде для аналитики.

    По умолчанию переключатель выключен.

  • Длительность отрезков периода (доступно для графика типа Календарная диаграмма) – длительность отрезков, на которые требуется делить период.
В начало
[Topic 221919]

Отображение названий тенантов в виджетах типа "Активный лист"

Если вы хотите, чтобы в виджетах типа "Активные листы" отображались названия тенантов, а не их идентификаторы, настройте в корреляционных правилах коррелятора функцию наполнения активного листа сведениями об использующем его тенанте.

Процесс настройки состоит из следующих этапов:

  1. Экспорт списка тенантов.
  2. Создание словаря типа Таблица.
  3. Импорт списка тенантов, полученного на шаге 1, в словарь, созданный на шаге 2 этой инструкции.
  4. Добавление в корреляционное правило локальной переменной с функцией dict для распознания имени тенанта по идентификатору.

    Пример:

    • Переменная: TenantName.
    • Значение: dict('<Название ранее созданного словаря с тенантами>', TenantID).
  5. Добавление в корреляционное правило действия Установить, с помощью которого значение ранее созданной переменной будет записываться в активный лист в формате <ключ> – <значение>. В качестве ключа следует задать поле активного листа (например, Тенант), а в поле значения указать переменную (например, $TenantName).

В результате срабатывания этого правила в активный лист будет помещаться название тенанта, опознанного функцией dict по идентификатору в словаре тенантов. При создании виджетов по активным листам в виджете вместо идентификатора тенанта будет отображаться название тенанта.

В начало
[Topic 254498]

Работа с алертами

Алерты создаются при получении последовательности событий, запускающей правило корреляции. Подробнее об алертах вы можете посмотреть в этом разделе.

В разделе Алерты веб-интерфейса KUMA можно просматривать и обрабатывать алерты, зарегистрированные программой. Алерты можно фильтровать. По нажатию на название алерта открывается окно со сведениями о нем.

Формат даты алерта зависит от языка локализации, выбранного в настройках программы. Возможные варианты формата даты:

  • Английская локализация: ГГГГ-ММ-ДД.
  • Русская локализация: ДД.ММ.ГГГГ.

Жизненный цикл алертов

Ниже представлен жизненный цикл алерта:

  1. KUMA создает алерт при срабатывании правила корреляции. Алерт именуется по породившему его правилу корреляции. Алерту присваивается статус Новый.

    Алерты в статусе Новый продолжают обновляться данными при срабатывании правил корреляции. Если статус алерта меняется на любой другой, алерт больше не обновляется новыми событиями и, если правило корреляции срабатывает снова, создается новый алерт.

  2. Сотрудник службы безопасности назначает оператора для расследования алерта. Статус алерта меняется на Назначен.
  3. Оператор выполняет одно из следующих действий:
    • Закрывает алерт как ложно положительный (статус алерта меняется на Закрыт).
    • Реагирует на угрозу и закрывает алерт (статус алерта меняется на Закрыт).
    • Создает на основе алерта инцидент (статус алерта меняется на В инцидент).

Переполнение алертов

Каждый алерт и привязанные к нему события не могут превышать размер 16 МБ. Когда этот предел достигнут:

  • Новые события не смогут быть привязаны к алерту.
  • В столбце Обнаружен у алерта отображается тег Переполнен. Такой же тег отображается в разделе Информация об алерте окна сведений об алерте.

Алерты, у которых есть предупреждения о переполнении, следует обрабатывать как можно скорее, поскольку новые события не добавляются к переполненным алертам. Вы можете отфильтровать все события, которые могли быть связаны с алертом после переполнения, по ссылке Смотреть все возможные связанные события.

Разделение алертов

С помощью правил сегментации поток однотипных корреляционных событий можно разделять, создавая более одного алерта.

В этом разделе справки

Настройка таблицы алертов

Просмотр информации об алерте

Изменение название алертов

Обработка алертов

Расследование алерта

Срок хранения алертов и инцидентов

Уведомления об алертах

В начало
[Topic 218046]

Настройка таблицы алертов

В основной части раздела Алерты отображается таблица с информацией о зарегистрированных алертах.

В таблице алертов отображаются следующие столбцы:

  • Уровень важности (priority) – степень значимости потенциальной угрозы безопасности: критическая priority-critical, высокая priority-high, средняя priority-medium, низкая priority-low.
  • Название – имя алерта.

    Если рядом с названием алерта отображается тег Переполнен, это означает, что размер алерта достиг или приближается к пределу и должен быть обработан как можно скорее.

  • Статус – текущее состояние алерта:
    • Новый – новый, еще не обработанный алерт.
    • Назначен – алерт обработан и передан сотруднику службы безопасности для расследования или реагирования.
    • Закрыт – алерт закрыт. Алерт был ложный или угроза безопасности устранена.
    • Эскалирован – на основе этого алерта был создан инцидент.
  • Назначен – имя сотрудника службы безопасности, которому алерт передан для расследования или реагирования.
  • Инцидент – название инцидента, к которому привязан алерт.
  • Первое появление – дата и время создания первого корреляционного события в последовательности событий, приведшего к созданию алерта.
  • Последнее появление – дата и время создания последнего корреляционного события в последовательности событий, приведшего к созданию или обновлению алерта.
  • Категории – категории активов с наибольшим уровнем важности, относящихся к алерту. Отображается не более трех категорий.
  • Тенант – название тенанта, которому принадлежит алерт.
  • КИИ – указание на то, относятся ли к алерту активы, являющиеся объектами КИИ. Столбец скрыт от пользователей, не имеющих прав доступа к объектам КИИ.

По нажатию на заголовки столбцов вы можете просмотреть инструменты для фильтрации алертов. При фильтрации алертов по какому-либо параметру соответствующий заголовок таблицы алертов подсвечивается желтым цветом.

По кнопке gear.png вы можете настроить отображаемые столбцы таблицы алертов.

В поле Поиск можно ввести регулярное выражение для поиска алертов по связанным с ними активам, пользователям, тенантам или корреляционным правилам. Параметры, по которым производится поиск:

  • Активы: название, FQDN, IP-адрес.
  • Учетные записи Active Directory: атрибуты displayName, SAMAccountName, UserPrincipalName.
  • Корреляционные правила: название.
  • Пользователи KUMA, которым назначены алерты: имя, логин, адрес электронной почты.
  • Тенанты: название.
В начало
[Topic 217769]

Фильтрация алертов

В KUMA в разделе Алерты можно делать выборки алертов с помощью инструментов фильтрации и сортировки.

Параметры фильтра можно сохранить. Существующие фильтры можно удалить.

В начало
[Topic 217874]

Сохранение и выбор фильтра алертов

В KUMA можно сохранять изменения параметров таблицы алертов в виде фильтров. Фильтры сохраняются на сервере Ядра KUMA и доступны всем пользователям KUMA того тенанта, для которого они были созданы.

Чтобы сохранить текущие параметры фильтра:

  1. В разделе KUMA Алерты откройте раскрывающийся список Фильтры.
  2. Выберите Сохранить текущий фильтр.

    Появится поле для ввода названия нового фильтра и выбора тенанта, которому он будет принадлежать.

  3. Введите название фильтра. Название должно быть уникальным для фильтров алертов, фильтров инцидентов и фильтров событий.
  4. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать фильтр, и нажмите Сохранить.

Фильтр сохранен.

Чтобы выбрать ранее сохраненный фильтр:

  1. В разделе KUMA Алерты откройте раскрывающийся список Фильтры.
  2. Выберите нужный фильтр.

    Чтобы выбрать фильтр, который будет использоваться по умолчанию, поставьте в раскрывающемся списке Фильтры звездочку левее названия требуемого фильтра.

Фильтр выбран.

Чтобы сбросить текущие настройки фильтра,

откройте раскрывающийся список Фильтры и выберите Очистить фильтры.

В начало
[Topic 217983]

Удаление фильтра алертов

Чтобы удалить ранее сохраненные фильтры:

  1. В разделе KUMA Алерты откройте раскрывающийся список Фильтры.
  2. Нажмите значок delete-icon на фильтре, который требуется удалить.
  3. Нажмите ОК.

Фильтр удален для всех пользователей KUMA.

В начало
[Topic 217831]

Просмотр информации об алерте

Чтобы просмотреть информацию об алерте:

  1. В окне веб-интерфейса программы выберите раздел Алерты.

    Отобразится таблица алертов.

  2. Нажмите на название алерта, информацию о котором вы хотите просмотреть.

    Откроется окно с информацией об алерте.

В верхней части окна с информацией об алерте расположена панель инструментов, а также указаны уровень важности алерта и имя пользователя, которому назначен этот алерт. В этом окне можно обработать алерт: изменить его уровень важности, назначить его пользователю, закрыть, создать на его основе инцидент.

Раздел Информация об алерте

Этот раздел позволяет просмотреть основную информацию об алерте. Он содержит следующие данные:

  • Уровень важности правила корреляцииуровень важности правила корреляции, в результате срабатывания которого создан алерт.
  • Наивысшая важность категории активов – самый высокий уровень важности категории активов из тех, которые принадлежат связанным с этим алертом активам. Если с алертом связано несколько активов, отображается наибольшее значение.
  • Привязан к инциденту – если алерт привязан к инциденту,то отображаются название и статус алерта. Если алерт не привязан к инциденту, поле не заполнено.
  • Первое появление – дата и время создания первого корреляционного события в последовательности событий, приведшего к созданию алерта.
  • Последнее появление – дата и время создания последнего корреляционного события в последовательности событий, приведшего к созданию или обновлению алерта.
  • Идентификатор алерта – уникальный идентификатор алерта в KUMA.
  • Тенант – название тенанта, которому принадлежит алерт.
  • Правило корреляции – название правила корреляции, в результате срабатывания которого создан алерт. Название правила представлено в виде ссылки, по которой можно перейти к настройкам этого правила корреляции.
  • Переполнен – тег, означающий, что размер алерта достиг или приближается к пределу объема в 16 МБ и алерт необходимо обработать. Новые события не добавляются к переполненным алертам, но по ссылке Смотреть все возможные связанные события можно отфильтровать все события, которые могли быть связаны с алертом при отсутствии переполнения.

    Быстрое переполнение алерта может означать, что неверно настроено соответствующее корреляционное правило, и это приводит к частым срабатываниям. Переполненные алерты следует обрабатывать как можно скорее, чтобы при необходимости откорректировать корреляционное правило.

Раздел Связанные события

Этот раздел содержит таблицу событий, относящихся к алерту. Если нажать на значок Arrow рядом с правилом корреляции, отобразятся базовые события из этого правила корреляции. События можно сортировать по уровню важности и времени.

При выборе события в таблице открывается область деталей, содержащая информацию о выбранном событии. В области деталей также отображает кнопка Подробные сведения, при нажатии на которую открывается окно, содержащее информацию о корреляционном событии.

Ссылки Найти в событиях под корреляционными событиями и кнопка Найти в событиях справа от заголовка раздела используются для перехода к расследованию алерта.

С помощью кнопки Скачать события вы можете скачать информацию о связанных событиях в виде файла в формате CSV (в кодировке UTF-8). В файле доступны столбцы, заполненные хотя бы в одном связанном событии.

Некоторые редакторы CSV-файлов воспринимают значение разделителя (например, \n) в экспортируемом из KUMA CSV-файла как перенос строки, а не как разделитель. Может быть нарушено разделение файла на строки. Если вы столкнулись с подобным, то может потребоваться дополнительное редактирование CSV-файла, полученного из KUMA.

В таблице событий, в области деталей событий, в окне алертов, а также в виджетах в качестве значений полей SourceAssetID, DestinationAssetID, DeviceAssetID, SourceAccountID, DestinationAccountID и ServiceID вместо идентификаторов отображаются названия активов, учетных записей или сервисов. При экспорте событий в файл идентификаторы сохраняются, однако в файл добавляются столбцы с названиями. Идентификаторы также отображаются при наведении указателя мыши на названия активов, учетных записей или сервисов.

Поиск по полям с идентификаторами возможен только с помощью идентификаторов.

Раздел Связанные активы

Этот раздел содержит таблицу активов, относящихся к алерту. Информация об активах поступает из событий, связанных с алертом. С помощью поля Поиск по IP или FQDN можно искать нужные активы. Активы можно сортировать по столбцам Количество и Актив.

В этом разделе также отображаются активы, связанные с алертом. При нажатии на название актива открывается окно Информация об активе.

С помощью кнопки Скачать активы вы можете скачать информацию о связанных активах в виде файла в формате CSV (в кодировке UTF-8). В файле доступны столбцы: Количество, Название, IP-адрес, Полное доменное имя, Категории.

Раздел Связанные пользователи

Этот раздел содержит таблицу пользователей, относящихся к алерту. Информация о пользователях поступает из событий, связанных с алертом. С помощью поля Поиск пользователей можно искать нужных пользователей. Пользователей можно сортировать по столбцам Количество, Пользователь, User principal name (Основное имя пользователя) и Адрес электронной почты.

С помощью кнопки Скачать пользователей вы можете скачать информацию о связанных пользователях в виде файла в формате CSV (в кодировке UTF-8). В файле доступны столбцы: Количество, Пользователь, Имя участника-пользователя (UPN), Адрес электронной почты, Домен, Тенант.

Раздел Журнал изменений

Этот раздел содержит записи об изменениях, которые пользователи внесли в алерт. Изменения регистрируются автоматически, при этом есть возможность вручную добавлять комментарии. Комментарии можно сортировать по столбцу Время.

При необходимости в поле Комментарий вы можете внести комментарий к алерту и нажать Добавить, чтобы сохранить его.

См. также:

Обработка алертов

Изменение название алертов

В начало
[Topic 217723]

Изменение название алертов

Чтобы изменить название алерта:

  1. В окне веб-интерфейса KUMA выберите раздел Алерты.

    Отобразится таблица алертов.

  2. Нажмите на название алерта, информацию о котором вы хотите просмотреть.

    Откроется окно с информацией об алерте.

  3. В верхней части окна нажмите на значок edit-pencil и в открывшемся поле введите новое название алерта. Подтвердите название, нажав ENTER или щелкнув вне поля ввода.

Название алерта изменено.

См. также:

Правила сегментации

В начало
[Topic 243251]

Обработка алертов

Вы можете изменить уровень важности алерта, назначить алерт пользователю, закрыть алерт или создать на основе алерта инцидент.

Чтобы обработать алерт:

  1. Выберите необходимые алерты одним из следующих способов:
    • В разделе Алерты веб-интерфейса KUMA нажмите на алерт, сведения о котором вы хотите просмотреть.

      Откроется окно алерта, в верхней его части расположена панель инструментов.

    • В разделе Алерты веб-интерфейса KUMA установите флажок рядом с требуемым алертом. Можно выбрать более одного алерта.

      Алерты со статусом Закрыт не могут быть выбраны для обработки.

      В нижней части окна отобразится панель инструментов.

  2. Измените уровень важности алерта с помощью раскрывающегося списка Уровень важности:
    • Низкий.
    • Средний.
    • Высокий.
    • Критический.

    Уровень важности алерта принимает выбранное значение.

  3. Назначьте алерт пользователю с помощью раскрывающегося списка Назначить.

    Вы можете назначить алерт себе, выбрав Мне.

    Статус алерта изменится на Назначен, а в раскрывающемся списке Назначить отобразится имя выбранного пользователя.

  4. В разделе Связанные пользователи выберите пользователя и настройте параметры реагирования через Active Directory.
    1. После выбора связанного пользователя в открывшемся окне Информация об учетной записи нажмите Реагирование через Active Directory.
    2. В раскрывающемся списке Команда Active Directory выберите одно из следующих значений:
      • Добавить учетную запись в группу

        Группа Active Directory, из которой или в которую необходимо переместить учетную запись.
        В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе.
        Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru.
        В рамках одной операции можно указать только одну группу.

      • Удалить учетную запись из группы

        Группа Active Directory, из которой или в которую необходимо переместить учетную запись.
        В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе.
        Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru.
        В рамках одной операции можно указать только одну группу.

      • Сбросить пароль учетной записи
      • Блокировать учетную запись
    3. Нажмите Применить.
  5. При необходимости создайте на основе алерта инцидент:
    1. Нажмите Создать инцидент.

      Откроется окно создания инцидента. В качестве названия инцидента используется название алерта.

    2. Измените нужны параметры инцидента и нажмите Сохранить.

    Инцидент создан, статус алерта изменен на Эскалирован. Алерт можно отвязать от инцидента, выбрав его и нажав Отвязать.

  6. Закройте алерт:
    1. Нажмите Закрыть алерт.

      Откроется окно подтверждения.

    2. Укажите причину закрытия алерта:
      • Отработан. Это означает, что были приняты необходимые меры по устранению угрозы безопасности.
      • Неверные данные. Это означает, что алерт был ложным, а полученные события не указывают на угрозу безопасности.
      • Неверное правило корреляции. Это означает, что алерт был ложным, а полученные события не указывают на угрозу безопасности. Возможно, требуется коррекция правила корреляции.
    3. Нажмите ОК.

    Статус алерта изменен на Закрыт. Алерты с таким статусом не обновляются новыми корреляционными событиями и отображаются в таблице алертов, только если в раскрывающемся списке Статус установлен флажок Закрыт. Изменить статус закрытого алерта или назначить его другому пользователю невозможно.

В начало
[Topic 217956]

Расследование алерта

Расследование алерта используется, когда вам нужно получить дополнительную информацию об угрозе, из-за которой был создан алерт: реальна ли угроза, откуда она исходит, на какие элементы сетевой среды она влияет, как следует бороться с угрозой. Анализ событий, связанных с корреляционными событиями, которые в свою очередь породили алерт, может помочь вам определить курс действий.

В KUMA режим расследования алерта включается, когда вы нажимаете ссылку Найти в событиях в окне алерта или в окне корреляционного события. В режиме расследования алерта отображается таблица событий с фильтрами, автоматически настроенными на поиск событий из алерта или корреляционного события. Фильтры также соответствуют времени продолжительности алерта или времени регистрации корреляционного события. Вы можете изменить эти фильтры, чтобы найти другие события и узнать больше о процессах, связанных с угрозой.

В режиме расследования алерта становится доступным дополнительный раскрывающийся список EventSelector:

  • Все события – просмотр всех событий.
  • События алерта (выбрано по умолчанию) – просмотр только событий, связанных с алертом.

    При фильтрации событий, связанным с алертом, действуют ограничения на сложность поисковых SQL-запросов.

Вы можете вручную привязать к алертам событие любого типа, кроме корреляционного. К алерту можно привязать только не привязанные к нему события.

В режиме расследования алерта можно создавать и сохранять конфигурации фильтров событий. При использовании этого фильтра в обычном режиме просмотра событий будут отображены все события, соответствующие критериям фильтра, независимо от того, привязаны ли они к алерту, выбранному для расследования алерта.

Чтобы привязать событие к алерту:

  1. В разделе Алерты веб-интерфейса KUMA нажмите алерт, к которому вы хотите привязать событие.

    Откроется окно алерта.

  2. В разделе Связанные события нажмите на кнопку Найти в событиях.

    Откроется таблица событий с включенными фильтрами даты и времени, соответствующим дате и времени регистрации привязанных к алерту событий. В столбцах отображаются параметры, используемые правилом корреляции для создания алерта. В таблице событий также отображается столбец Привязка к алерту, в котором отмечаются события, привязанные к алерту.

  3. В раскрывающемся списке EventSelector выберите значение Все события.
  4. При необходимости измените фильтры, чтобы найти событие, которое требуется привязать к алерту.
  5. Выберите нужное событие и нажмите на кнопку Привязать к алерту в нижней части области деталей события.

Событие будет привязано к алерту. Вы можете отвязать это событие от алерта, нажав в области деталей Отвязать от алерта.

Когда событие привязывается или отвязывается от алерта, в окне алерта в разделе Журнал изменений добавляется запись об этом действии. По ссылке в этой записи вы можете открыть область деталей и отвязать или привязать событие к алерту, нажав на соответствующую кнопку.

В начало
[Topic 217847]

Срок хранения алертов и инцидентов

По умолчанию алерты и инциденты хранятся в KUMA в течение года, но этот срок можно изменить, исправив параметры запуска программы в файле /usr/lib/systemd/system/kuma-core.service на сервере Ядра KUMA.

Чтобы изменить срок хранения алертов и инцидентов:

  1. Войдите в ОС сервера, на котором установлено Ядро KUMA.
  2. В файле /usr/lib/systemd/system/kuma-core.service измените следующую строку, подставив нужное количество дней:

    ExecStart=/opt/kaspersky/kuma/kuma core --alerts.retention <количество дней, в течение которых требуется хранить алерты и инциденты> --external :7220 --internal :7210 --mongo mongodb://localhost:27017

  3. Перезапустите KUMA, выполнив последовательно следующие команды:
    1. systemctl daemon-reload
    2. systemctl restart kuma-core

Срок хранения алертов и инцидентов изменен.

В начало
[Topic 222206]

Уведомления об алертах

При создании и назначении алертов по электронной почте рассылаются стандартные уведомления KUMA. Вы можете настроить рассылку уведомлений о создании алерта на основе пользовательского шаблона электронной почты.

Чтобы настроить рассылку уведомлений о создании алерта на основе пользовательского шаблона:

  1. Откройте раздел ПараметрыАлертыПравила уведомлений веб-интерфейса KUMA.
  2. Выберите тенант, для которого вы хотите создать правило уведомления:
    • Если у тенанта уже есть правила уведомлений, выберите его в таблице.
    • Если у тенанта нет правил уведомлений, нажмите Добавить тенант и в раскрывающемся списке Тенант выберите нужный тенант.
  3. В блоке параметров Правила уведомлений нажмите Добавить и укажите параметры правила уведомлений:
    • Название (обязательно) – в этом поле укажите название правила уведомления.
    • Адреса получателей (обязательно) – в этом блоке параметров с помощью кнопки Адрес электронной почты можно добавить адреса электронной почты, на которые необходимо отправлять уведомления о создании алертов. Адреса добавляются по одному.

      Кириллические домены не поддерживаются. Например, уведомление по адресу login@домен.рф отправлено не будет.

    • Правила корреляции (обязательно) – в этом блоке параметров необходимо выбрать одно или несколько правил корреляции, при срабатывании которых будут отправляться уведомления.

      В окне в виде древовидной структуры отображаются правила корреляции из общего и выбранного пользователем тенанта. Для выбора правила необходимо установить флажок рядом с ним. Можно установить флажок рядом с папкой: в таком случае будут выбраны все правила корреляции в этой папке и ее подпапках.

    • Шаблон (обязательно) – в этом блоке параметров необходимо выбрать шаблон электронной почты, по которому будут создаваться рассылаемые уведомления. Для выбора шаблона нажмите на значок parent-category, в открывшемся окне выберите требуемый шаблон и нажмите Сохранить.

      Шаблон можно создать, нажав на значок плюса, или отредактировать выбранный шаблон, нажав на значок карандаша.

    • Выключено – установив этот флажок вы можете выключить правило уведомления.
  4. Нажмите Сохранить.

Правило уведомления создано. Когда по выбранным правилам корреляции будет создаваться алерт, на указанные адреса электронной почты будут отправляться уведомления, созданные на основе пользовательских шаблонов электронной почты. Стандартные уведомления KUMA о том же событии на указанные адреса отправлены не будут.

Чтобы выключить правила уведомлений для тенанта:

  1. Откройте раздел ПараметрыАлертыПравила уведомлений веб-интерфейса KUMA и выберите тенант, правила уведомлений которого вы хотите выключить.
  2. Установите флажок Выключено.
  3. Нажмите Сохранить.

Правила уведомлений выбранного тенанта выключены.

Для выключенных правил уведомлений не проверяется корректность указанных параметров, при этом включить уведомления для тенанта при наличии некорректных правил невозможно. Если вы при выключенных правилах уведомлений для тенанта создаете или редактируете отдельные правила уведомлений, перед включением правил уведомлений для тенанта рекомендуется: 1) выключить все отдельные правила уведомлений; 2) включить правила уведомлений для тенанта; 3) включить отдельные правила уведомлений по одному.

В начало
[Topic 233518]

Работа с инцидентами

В разделе Инциденты веб-интерфейса KUMA можно создавать, просматривать и обрабатывать инциденты. При необходимости вы также можете фильтровать инциденты. При нажатии на название инцидента открывается окно со сведениями о нем.

Инциденты можно экспортировать в НКЦКИ.

Срок хранения инцидентов составляет один год, однако этот параметр можно изменить.

Формат даты инцидента зависит от языка локализации, выбранного в настройках программы. Возможные варианты формата даты:

  • Английская локализация: ГГГГ-ММ-ДД.
  • Русская локализация: ДД.ММ.ГГГГ.

В этом разделе справки

О таблице инцидентов

Сохранение и выбор конфигураций фильтра инцидентов

Удаление конфигураций фильтра инцидентов

Просмотр информации об инциденте

Создание инцидента

Обработка инцидентов

Изменение инцидентов

Автоматическая привязка алертов к инцидентам

Категории и типы инцидентов

Взаимодействие с НКЦКИ

См. также

Об инцидентах

В начало
[Topic 220213]

О таблице инцидентов

В основной части раздела Инциденты отображается таблица с информацией о зарегистрированных инцидентах. При необходимости вы можете изменить набор столбцов и порядок их отображения в таблице.

Как настроить таблицу инцидентов

  1. В правом верхнем углу таблицы инцидентов нажмите на значок gear.

    Откроется окно настройки таблицы.

  2. Установите флажки напротив тех параметров, которые требуется отображать в таблице.

    Когда вы устанавливаете флажок, таблица событий обновляется и добавляется новый столбец. При снятии флажка столбец исчезает.

    С помощью поля Поиск можно искать параметры таблицы.

    При нажатии на кнопку По умолчанию для отображения выбираются следующие столбцы:

    • Название.
    • Длительность инцидента.
    • Назначен.
    • Создано.
    • Тенант.
    • Статус.
    • Количество обнаружений.
    • Уровень важности.
    • Категории затронутых активов.
  3. При необходимости измените порядок отображения столбцов, перетащив заголовки столбцов.
  4. Чтобы отсортировать инциденты по определенному параметру, нажмите на заголовок нужного столбца и в раскрывающемся списке выберите один из вариантов: По возрастанию или По убыванию.
  5. Чтобы отфильтровать инциденты по определенному параметру, нажмите на заголовок нужного столбца и в раскрывающемся списке выберите требуемые фильтры. Набор фильтров, доступный в раскрывающемся списке, зависит от выбранного столбца.
  6. Чтобы снять фильтры, нажмите на заголовок нужного столбца и выберите Очистить фильтр.

Доступные столбцы таблицы инцидентов:

  • Название – название инцидента.
  • Длительность инцидента – время, на протяжении которого происходил инцидент (время между первым и последним событием, относящимся к инциденту).
  • Назначен – имя сотрудника службы безопасности, которому инцидент передан для расследования или реагирования.
  • Создан – дата и время создания инцидента. С помощью этого столбца инциденты можно фильтровать по времени их создания.
    • Доступны преднастроенные периоды: Сегодня, Вчера, На этой неделе, На прошлой неделе.
    • При необходимости можно задать произвольный период с помощью календаря, который открывается при выборе пунктов До даты, После даты, В течение периода.
  • Тенант – название тенанта, которому принадлежит инцидент.
  • Статус – текущее состояние инцидента:
    • Открыт – новый, еще не обработанный инцидент.
    • Назначен – инцидент обработан и передан сотруднику службы безопасности для расследования или реагирования.
    • Закрыт – инцидент закрыт, угроза безопасности устранена.
  • Количество алертов – количество алертов, входящих в инцидент. Учитываются только алерты тех тенантов, к которым у вас есть доступ.
  • Уровень важности степень значимости потенциальной угрозы безопасности: Критический priority-critical, Высокий priority-high, Средний priority-medium, Низкий priority-low.
  • Категории затронутых активов – категории активов с наибольшим уровнем важности, относящихся к алерту. Отображается не более трех категорий.
  • Последнее обновление – дата и время последнего изменения, сделанного в инциденте.
  • Первое событие и Последнее событие – дата и время первого и последнего события в инциденте.
  • Категория инцидента и Тип инцидентакатегория и тип угрозы, присвоенные инциденту.
  • Экспорт в НКЦКИ – статус экспорта данных об инциденте в НКЦКИ:
    • Не экспортировался – данные не передавались в НКЦКИ.
    • Ошибка экспорта – попытка передать данные в НКЦКИ завершилась ошибкой, данные не переданы.
    • Экспортирован – данные об инциденте успешно переданы в НКЦКИ.
  • Ветвь – данные о том, в каком узле был создан инцидент. По умолчанию отображаются инциденты вашего узла. Этот столбец отображается только при включенном режиме иерархии.
  • КИИ – указание на то, относятся ли к инциденту активы, являющиеся объектами КИИ. Столбец скрыт от пользователей, не имеющих прав доступа к объектам КИИ.

В поле Поиск можно ввести регулярное выражение для поиска инцидентов по связанным с ними активами, пользователям, тенантам или корреляционным правилам. Параметры, по которым производится поиск:

  • Активы: название, FQDN, IP-адрес.
  • Учетные записи Active Directory: атрибуты displayName, SAMAccountName, UserPrincipalName.
  • Корреляционные правила: название.
  • Пользователи KUMA, которым назначены алерты: имя, логин, адрес электронной почты.
  • Тенанты: название.

При фильтрации инцидентов по какому-либо параметру соответствующий столбец в таблице инцидентов подсвечивается желтым цветом.

В начало
[Topic 220214]

Сохранение и выбор конфигураций фильтра инцидентов

В KUMA можно сохранять изменения параметров таблицы инцидентов в виде фильтров. Конфигурации фильтров сохраняются на сервере Ядра KUMA и доступны всем пользователям KUMA того тенанта, для которого они были созданы.

Чтобы сохранить текущие параметры конфигурации фильтра:

  1. В разделе KUMA Инциденты откройте раскрывающийся список Выбрать фильтр.
  2. Выберите Сохранить текущий фильтр.

    Откроется окно для ввода названия нового фильтра и выбора тенанта, которому он будет принадлежать.

  3. Введите название конфигурации фильтра. Название должно быть уникальным для фильтров алертов, фильтров инцидентов и фильтров событий.
  4. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать фильтр, и нажмите Сохранить.

Конфигурация фильтра сохранена.

Чтобы выбрать ранее сохраненную конфигурацию фильтра:

  1. В разделе KUMA Инциденты откройте раскрывающийся список Выбрать фильтр.
  2. Выберите нужную конфигурацию.

Конфигурация фильтра активна.

Вы можете выбрать фильтр, который будет использоваться по умолчанию, поставив в раскрывающемся списке Фильтры звездочку левее названия требуемой конфигурации фильтра.

Чтобы сбросить текущие настройки фильтра,

откройте раскрывающийся список Фильтры и выберите Очистить фильтр.

В начало
[Topic 220215]

Удаление конфигураций фильтра инцидентов

Чтобы удалить ранее сохраненную конфигурацию фильтра:

  1. В разделе KUMA Инциденты откройте раскрывающийся список Фильтры.
  2. Нажмите значок delete-icon рядом с фильтром, который требуется удалить.
  3. Нажмите ОК.

Конфигурация фильтра удалена для всех пользователей KUMA.

В начало
[Topic 220216]

Просмотр информации об инциденте

Чтобы просмотреть информацию об инциденте:

  1. В окне веб-интерфейса программы выберите раздел Инциденты.
  2. Выберите инцидент, информацию о котором вы хотите просмотреть.

Откроется окно с информацией об инциденте.

Некоторые параметры инцидентов доступны для редактирования.

В верхней части окна информации об инциденте расположена панель инструментов и указано имя пользователя, которому назначен инцидент, а также указаны разделы окна в виде закладок, при нажатии на которые можно перемещаться к нужному разделу. В этом окне вы можете обработать инцидент: назначить его пользователю, объединить его с другим инцидентом или закрыть.

Раздел Описание содержит следующие данные:

  • Создан – дата и время создания инцидента.
  • Название – название инцидента.

    Название инцидента можно изменить, введя в поле новое название и нажав Сохранить. Название должно содержать от 1 до 128 символов в кодировке Unicode.

  • Тенант – название тенанта, которому принадлежит инцидент.

    Тенанта можно изменить, выбрав необходимый тенант в раскрывающемся списке и нажав Сохранить.

  • Статус – текущее состояние инцидента:
    • Открыт – новый, еще не обработанный инцидент.
    • Назначен – инцидент обработан и передан сотруднику службы безопасности для расследования или реагирования.
    • Закрыт – инцидент закрыт, угроза безопасности устранена.
  • Уровень важности – значимость угрозы, которую представляет инцидент. Возможные значения:
    • Критический.
    • Высокий.
    • Средний.
    • Низкий.

    Уровень важности можно изменить, выбрав нужное значение в раскрывающемся списке и нажав Сохранить.

  • Категории затронутых активов – категории, к которым принадлежат связанные с инцидентом активы.
  • Появление первого события и Появление последнего события – дата и время первого и последнего события в инциденте.
  • Тип инцидента и Категория инцидента – тип и категория угрозы, присвоенная инциденту. Значения можно изменить, выбрав в раскрывающемся списке нужное и нажав Сохранить.
  • Экспорт в НКЦКИ – сведения о том, экспортировался ли этот инцидент в НКЦКИ.
  • Описание – описание инцидента.

    Описание можно изменить, введя в поле новый текст и нажав Сохранить. Описание должно содержать не более 256 символов в кодировке Unicode.

  • Связанные тенанты – тенанты, относящиеся к связанным с инцидентом алертам, активам и пользователям.
  • Доступные тенанты – тенанты, алерты которых можно привязывать к инциденту автоматически.

    Список доступных тенантов можно изменить, установив в раскрывающемся списке флажки напротив нужных тенантов и нажав Сохранить.

Раздел Связанные алерты содержит таблицу алертов, относящихся к инциденту. При нажатии на название алерта открывается окно с подробными данными об этом алерте.

Разделы Связанные активы и Связанные пользователи содержат таблицы с данными об активах и пользователях, относящихся к инциденту. Эта информация поступает из алертов, связанных с инцидентом.

Таблицы в разделах Связанные алерты, Связанные активы и Связанные пользователи можно дополнить данными, нажав в нужном разделе на кнопку Привязать и выбрав в открывшемся окне объект, который следует привязать к инциденту. При необходимости вы можете отвязать объекты от инцидента. Для этого вам требуется выбрать необходимые объекты, нажать Отвязать в разделе, к которому они относятся, и сохранить изменения. Если объекты добавлены в инцидент автоматически, их нельзя отвязать, пока не отвязан алерт, в котором они упоминаются. Состав полей в таблицах этих разделов можно изменить, нажав в нужном разделе на кнопку gear. По данным в таблицах этих разделов можно вести поиск с помощью полей Поиск.

Раздел Журнал изменений содержит записи об изменениях, которые вы и пользователи вносили в инцидент. Изменения регистрируются автоматически, при этом есть возможность вручную добавлять комментарии.

В разделе Интеграция с НКЦКИ можно отслеживать статус инцидента в НКЦКИ. Кроме того, в этом разделе можно экспортировать данные об инциденте в НКЦКИ, пересылать в НКЦКИ файлы, а также обмениваться со специалистами НКЦКИ сообщениями.

Если в параметры инцидента на стороне НКЦКИ были внесены изменения, в окне инцидента в KUMA будет отображаться соответствующее уведомление. При этом для параметров, по которым есть расхождения, в окне будут отображаться варианты значений и из KUMA, и из НКЦКИ.

В начало
[Topic 220362]

Создание инцидента

Чтобы создать инцидент:

  1. Откройте веб-интерфейс KUMA и выберите раздел Инциденты.
  2. Нажмите Создать инцидент.

    Откроется окно создания инцидента.

  3. Заполните обязательные параметры инцидента:
    • В поле Название введите название инцидента. Название должно содержать от 1 до 128 символов в кодировке Unicode.
    • В раскрывающемся списке Тенант выберите тенант, которому принадлежит создаваемый инцидент.
  4. При необходимости укажите другие параметры инцидента:
    • В раскрывающемся списке Уровень важности выберите степень угрозы, которую представляет инцидент. Доступные значения: Низкий, Средний, Высокий, Критический.
    • В полях Появление первого события и Появление последнего события укажите временной диапазон, в котором были получены события, относящиеся к инциденту.
    • В раскрывающихся списках Категория инцидента и Тип инцидента выберите категорию и тип инцидента. Доступные типы инцидента зависят от выбранной категории.
    • Добавьте Описание инцидента. Описание должно содержать не более 256 символов в кодировке Unicode.
    • В раскрывающемся списке Доступные тенанты выберите тенанты, алерты которых можно будет привязывать к инциденту автоматически.
    • В разделе Связанные алерты добавьте алерты, относящиеся к инциденту.

      Привязка алертов к инцидентам

      Чтобы привязать алерт к инциденту:

      1. В разделе Связанные алерты окна инцидента нажмите Привязать.

        Откроется окно со списком непривязанных к инцидентам обнаружений.

      2. Выберите требуемые алерты.

        Алерты можно искать по пользователям, активам, тенантам и корреляционным правилам с помощью регулярных выражений PCRE.

      3. Нажмите Привязать.

      Алерты связаны с инцидентом и отображаются в разделе Связанные алерты.

      Чтобы отвязать алерты от инцидента:

      1. Выберите нужные алерты в разделе Связанные алерты и нажмите на кнопку Отвязать.
      2. Нажмите Сохранить.

      Алерты отвязаны от инцидента. Также алерт можно отвязать от инцидента в окне алерта с помощью кнопки Отвязать.

    • В разделе Связанные активы добавьте активы, относящиеся к инциденту.

      Привязка активов к инцидентам

      Чтобы привязать актив к инциденту:

      1. В разделе Связанные активы окна инцидента нажмите Привязать.

        Откроется окно со списком активов.

      2. Выберите нужные активы.

        Активы можно искать с помощью поля Поиск.

      3. Нажмите Привязать.

      Активы связаны с инцидентом и отображаются в разделе Связанные активы.

      Чтобы отвязать активы от инцидента:

      1. Выберите нужные активы в разделе Связанные активы и нажмите на кнопку Отвязать.
      2. Нажмите Сохранить.

      Активы отвязаны от инцидента.

    • В разделе Связанные пользователи добавьте пользователей, относящихся к инциденту.

      Привязка пользователей к инцидентам

      Чтобы привязать пользователя к инциденту:

      1. В разделе Связанные пользователи окна инцидента нажмите Привязать.

        Откроется окно со списком пользователей.

      2. Выберите нужных пользователей.

        Пользователей можно искать с помощью поля Поиск.

      3. Нажмите Привязать.

      Пользователи связаны с инцидентом и отображаются в разделе Связанные пользователи.

      Чтобы отвязать пользователей от инцидента:

      1. Выберите нужных пользователей в разделе Связанные пользователи и нажмите на кнопку Отвязать.
      2. Нажмите Сохранить.

      Пользователи отвязаны от инцидента.

    • Добавьте Комментарий к инциденту.
  5. Нажмите Сохранить.

Инцидент создан.

В начало
[Topic 220361]

Обработка инцидентов

Вы можете назначить инцидент пользователю, объединить инциденты или закрыть инцидент.

Чтобы обработать инцидент:

  1. Выберите необходимые инциденты одним из следующих способов:
    • В разделе Инциденты веб-интерфейса KUMA нажмите на инцидент, который нужно обработать.

      Откроется окно инцидента, в его верхней части расположена панель инструментов.

    • В разделе Инциденты веб-интерфейса KUMA установите флажок рядом с требуемыми инцидентами.

      В нижней части окна отобразится панель инструментов.

  2. В раскрывающемся списке Назначить выберите пользователя, которому вы хотите назначить инцидент.

    Вы можете назначить инцидент себе, выбрав Мне.

    Инциденту будет присвоен статус Назначен, а в раскрывающемся списке Назначить отобразится имя выбранного пользователя.

  3. В разделе Связанные пользователи выберите пользователя и настройте параметры реагирования через Active Directory.
    1. После выбора связанного пользователя в открывшемся окне Информация об учетной записи нажмите Реагирование через Active Directory.
    2. В раскрывающемся списке Команда Active Directory выберите одно из следующих значений:
      • Добавить учетную запись в группу

        Группа Active Directory, из которой или в которую необходимо переместить учетную запись.
        В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе.
        Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru.
        В рамках одной операции можно указать только одну группу.

      • Удалить учетную запись из группы

        Группа Active Directory, из которой или в которую необходимо переместить учетную запись.
        В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе.
        Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru.
        В рамках одной операции можно указать только одну группу.

      • Сбросить пароль учетной записи
      • Блокировать учетную запись
    3. Нажмите Применить.
  4. При необходимости измените параметры инцидента.
  5. После расследования закройте инцидент:
    1. Нажмите Закрыть.

      Откроется окно подтверждения.

    2. Укажите причину закрытия инцидента:
      • одобрен. Это означает, что были приняты необходимые меры по устранению угрозы безопасности.
      • не одобрен. Это означает, что инцидент был ложным, а полученные события не указывают на угрозу безопасности.
    3. Нажмите Закрыть.

    Инциденту будет присвоен статус Закрыт. Инциденты с таким статусом невозможно редактировать, и они отображаются в таблице инцидентов, только если при фильтрации таблицы в раскрывающемся списке Статус установлен флажок Закрыт. Изменить статус закрытого инцидента или назначить его другому пользователю невозможно, однако его можно объединить с другим инцидентом.

  6. При необходимости объедините выбранные инциденты с другим инцидентом:
    1. Нажмите Объединить и в открывшемся окне выберите инцидент, в который следует поместить все данные из выбранных инцидентов.
    2. Подтвердите выбор, нажав Объединить.

    Инциденты будут объединены.

Инцидент обработан.

В начало
[Topic 220419]

Изменение инцидентов

Чтобы изменить параметры инцидента:

  1. В разделе Инциденты веб-интерфейса KUMA нажмите на инцидент, параметры которого нужно изменить.

    Откроется окно инцидента.

  2. Измените нужные параметры. Для редактирования доступны все параметры инцидента, которые можно задать при его создании.
  3. Нажмите Сохранить.

Инцидент будет изменен.

В начало
[Topic 220444]

Автоматическая привязка алертов к инцидентам

В KUMA можно настроить автоматическую привязку создаваемых алертов к уже существующим инцидентам, если у алертов и инцидентов есть пересечения по относящимся к ним активам или пользователям. Если настройка включена, то при создании алерта программа выполняет поиск инцидентов за указанный период, к которым относятся активы или пользователи из алерта. Кроме того, программа проверяет, чтобы созданный алерт относился к тенантам, указанным в инцидентах в качестве параметра Доступные тенанты. Если удовлетворяющий условиям инцидент найден, программа связывает созданный алерт и найденный инцидент.

Чтобы настроить автоматическую привязку алертов к инцидентам:

  1. Откройте раздел веб-интерфейса KUMA ПараметрыИнцидентыАвтоматическая привязка алертов к инцидентам.
  2. Установите флажок Включить в блоках параметров Привязка при пересечении по активам и/или Привязка при пересечении по пользователям, в зависимости от того, какие связи необходимо искать между инцидентами и алертами.
  3. Задайте Срок давности создания инцидента для параметров, по которым необходимо искать связи. Создаваемые алерты будут сравниваться с инцидентами не старше указанного срока.

Автоматическая привязка алертов к инцидентам настроена.

Чтобы выключить автоматическую привязку алертов к инцидентам,

в разделе веб-интерфейса KUMA ПараметрыИнцидентыАвтоматическая привязка алертов к инцидентам установите флажок Выключено.

В начало
[Topic 220446]

Категории и типы инцидентов

Для удобства работы вы можете присваивать категории и типы. Если инциденту присвоена категория НКЦКИ, его можно экспортировать в НКЦКИ.

Категории и типы инцидентов, которые можно экспортировать в НКЦКИ

В таблице ниже перечислены категории и типы инцидентов, которые можно экспортировать в НКЦКИ:

Категория инцидента

Тип инцидента

Уведомление о компьютерном инциденте

Вовлечение контролируемого ресурса в инфраструктуру ВПО

Замедление работы ресурса в результате DDoS-атаки

Заражение ВПО

Захват сетевого трафика

Использование контролируемого ресурса для фишинга

Компрометация учетной записи

Несанкционированное изменение информации

Несанкционированное разглашение информации

Публикация на ресурсе запрещенной законодательством РФ информации

Рассылка спам-сообщений с контролируемого ресурса

Успешная эксплуатация уязвимости

Уведомление о компьютерной атаке

DDoS-атака

Неудачные попытки авторизации

Попытки внедрения ВПО

Попытки эксплуатации уязвимости

Публикация мошеннической информации

Сетевое сканирование

Социальная инженерия

Уведомление о наличии уязвимости

Уязвимый ресурс

Категории инцидентов можно просмотреть или изменить в разделе ПараметрыИнцидентыТипы инцидентов, где они отображаются в виде таблицы. При нажатии на заголовки столбцов можно менять параметры сортировки таблицы. Таблица содержит следующие столбцы:

  • Категория инцидента – общий признак инцидента или компьютерной атаки. Таблицу можно фильтровать по значениям этого столбца.
  • Тип инцидента – класс инцидента или компьютерной атаки.
  • Категория для НКЦКИ – соответствие типа инцидента номенклатуре НКЦКИ. Невозможно экспортировать в НКЦКИ инциденты, которым присвоены пользовательские типы и категории. Таблицу можно фильтровать по значениям этого столбца.
  • Уязвимость – указывает ли тип инцидента на уязвимость.
  • Создан – дата создания типа инцидента.
  • Изменен – дата изменения типа инцидента.

Чтобы добавить тип инцидента:

  1. В разделе веб-интерфейса KUMA ПараметрыИнцидентыТипы инцидентов нажмите Добавить.

    Откроется окно создания типа инцидента.

  2. Заполните поля Тип и Категория.
  3. Если создаваемый тип инцидента соответствует номенклатуре НКЦКИ, установите флажок Категория для НКЦКИ.
  4. Если тип инцидента указывает на уязвимость, установите флажок Уязвимость.
  5. Нажмите Сохранить.

Тип инцидента создан.

В начало
[Topic 220450]

Взаимодействие с НКЦКИ

В KUMA в рамках взаимодействия с Национальным координационным центром по компьютерным инцидентам (далее "НКЦКИ") можно выполнять следующие действия:

Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.

Условия взаимодействия с НКЦКИ

Для взаимодействия с НКЦКИ должны выполняться следующие условия:

Этапы взаимодействия с НКЦКИ

В KUMA экспорт и обработка инцидентов, экспортированных в НКЦКИ, проходит через следующие этапы:

  1. Создание инцидента и проверка его на соответствие требованиям НКЦКИ

    Вы можете создать инцидент или получить его из дочернего узла KUMA. Перед отправкой данных в НКЦКИ необходимо убедиться, что категория инцидента соответствует требованиям НКЦКИ

  2. Экспорт инцидента в НКЦКИ

    При успешном экспорте инцидента в НКЦКИ его параметр Экспорт в НКЦКИ принимает значение Экспортирован. В нижней части окна инцидента становится доступен раздел с чатом с сотрудниками НКЦКИ.

    В НКЦКИ полученному от вас инциденту присваивается регистрационный номер и статус. Эти сведения отображаются в окне инцидента в разделе Интеграция с НКЦКИ и в автоматических сообщениях чата.

    Если в НКЦКИ предоставлены все необходимые данные, инциденту присваивается статус Проверка НКЦКИ. Параметры инцидента в таком статусе доступны для изменения, однако обновленные сведения невозможно передать из KUMA в НКЦКИ. Вы можете просмотреть разницу между данными об инциденте в KUMA и в НКЦКИ.

  3. Дополнение данных об инциденте

    Если сотрудникам НКЦКИ не хватает сведений для обработки инцидента, они могут присвоить ему статус Требуется дополнение. В KUMA этот статус отображается в окне инцидента в разделе Интеграция с НКЦКИ. Пользователи уведомляются об изменении статуса.

    К инцидентам с таким статусом можно прикрепить файл.

    Дополнение данных завершается повторным экспортом инцидента в НКЦКИ, при котором необходимо дополнить или изменить ранее отправленные сведения. Из родительского узла KUMA невозможно вносить изменения в инциденты дочерних узлов – это необходимо сделать сотрудникам дочернего узла KUMA.

    При успешном дополнении инцидента данными ему присваивается статус Проверка НКЦКИ.

  4. Завершение обработки инцидента

    Когда сотрудники НКЦКИ обработают инцидент, в НКЦКИ ему будет присвоен статус Принято решение. В KUMA этот статус отображается в окне инцидента в разделе Интеграция с НКЦКИ.

    При получении этого статуса инцидент в KUMA автоматически закрывается. Взаимодействие с НКЦКИ по данному инциденту через KUMA становится невозможным.

В этом разделе

Особенности экспорта в НКЦКИ из иерархической структуры KUMA

Экспорт данных в НКЦКИ

Дополнение данных об инциденте по запросу

Отправка файлов в НКЦКИ

Отправка в НКЦКИ инцидентов, связанных с утечкой персональных данных

Обмен сообщениями с сотрудниками НКЦКИ

Допустимые категории и типы инцидентов НКЦКИ

Уведомления об изменении статуса инцидента в НКЦКИ

В начало
[Topic 221855]

Особенности экспорта в НКЦКИ из иерархической структуры KUMA

Если в вашей организации развернуто несколько узлов KUMA, которые объединены в иерархическую структуру, вы можете из родительских узлов KUMA передавать в НКЦКИ инциденты, полученные из дочерних узлов KUMA. Для этого должны выполняться следующие условия:

  • В родительском и дочернем узле KUMA настроена интеграция с НКЦКИ. При этом для родительского узла параметры URL и Токен в разделе ПараметрыНКЦКИ являются обязательными, а для дочернего – нет.
  • В обоих узлах не отключена интеграция с НКЦКИ.

При такой настройке взаимодействие с НКЦКИ осуществляется только на уровне узла, экспортировавшего инцидент в НКЦКИ.

Из родительского узла KUMA невозможно изменить параметры инцидента, полученного из дочернего узла KUMA. Если для экспорта в НКЦКИ не хватает каких-то данных, инцидент необходимо изменить на дочернем узле KUMA, а затем уже экспортировать его в НКЦКИ из родительского узла KUMA.

В начало
[Topic 243256]

Экспорт данных в НКЦКИ

Невозможно экспортировать в НКЦКИ закрытие в KUMA инциденты, если у них на момент закрытия не было заполнено поле Описание.

Чтобы экспортировать инцидент в НКЦКИ:

  1. В разделе Инциденты веб-интерфейса KUMA откройте инцидент, который вы хотите экспортировать.
  2. Нажмите в нижней части окна на кнопку Экспорт в НКЦКИ.
  3. Если вы не указали категорию и тип инцидента, укажите эти сведения в открывшемся окне и нажмите на кнопку Экспорт в НКЦКИ.

    Откроется окно с параметрами экспорта.

  4. Укажите параметры в закладке Основные окна Экспорт в НКЦКИ:
    • Категория инцидента и Тип инцидента – укажите тип и категорию инцидента. В НКЦКИ можно экспортировать только инциденты определенных категорий и типов.
    • TLP (обязательно) – присвойте инциденту маркер протокола Traffic Light, определяющий характер сведений об инциденте. По умолчанию используется значение RED. Доступные значения:
      • WHITE – раскрытие не ограничено;
      • GREEN – раскрытие только для сообщества;
      • AMBER – раскрытие только для организаций;
      • RED – раскрытие только для круга лиц.
    • Название информационной системы (обязательно) – укажите название информационного ресурса, в котором произошел инцидент. В поле можно ввести до 500 000 символов.
    • Категория КИИ системы (обязательно) – укажите категорию критической информационной структуры (КИИ) вашей организации. Если у вашей организации нет категории КИИ, выберите пункт Информационный ресурс не является объектом КИИ.
    • Сфера деятельности компании (обязательно) – укажите сферу деятельности вашей организации. По умолчанию используется значение, указанное в параметрах интеграции с НКЦКИ.
    • Местоположение (обязательно) – выберите в раскрывающемся списке местоположение вашей организации.
    • Затронутая система имеет подключение к интернету – установите этот флажок, если активы, относящиеся к инциденту, имеют подключение к интернету. По умолчанию этот флажок снят.

      Если этот флажок установлен, в окне становится доступна для заполнения закладка Технические сведения, на которой отображаются сведения об относящихся к инциденту активах. Подробнее см. ниже.

    • Сведения о продукте (обязательно) – эта таблица становится доступна, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.

      С помощью кнопки Добавить элемент можно добавить в таблицу строку. В столбце Название требуется указать название программы (например, MS Office), а в столбце Версия – версию программы (например, 2.4).

    • Идентификатор уязвимости – при необходимости укажите идентификатор обнаруженной уязвимости. Например, CVE-2020-1231.

      Это поле становится доступно, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.

    • Наименование и версия уязвимого продукта – при необходимости укажите наименование и версию уязвимого продукта. Например, Операционные системы Microsoft и их компоненты.

      Это поле становится доступно, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.

  5. При необходимости укажите параметры в закладке Дополнительно окна Экспорт в НКЦКИ.

    Набор параметров в закладке зависит от выбранных категории и типа инцидента:

    • Средство обнаружения инцидента – укажите название продукта, с помощью которого был зарегистрирован инцидент. Например, KUMA 1.5.
    • Требуется привлечение сил ГосСОПКА – установите этот флажок, если вам требуется помощь сотрудников ГосСОПКА.
    • Время завершения инцидента – укажите дату и время восстановления штатного режима работы контролируемого информационного ресурса (объекта КИИ) после компьютерного инцидента, окончания компьютерной атаки или устранения уязвимости.
    • Влияние на доступность – оцените степень последствий инцидента для доступности системы:
      • Высокое
      • Низкое
      • Отсутствует
    • Влияние на целостность – оцените степень последствий инцидента для целостности системы:
      • Высокое
      • Низкое
      • Отсутствует
    • Влияние на конфиденциальность – оцените степень последствий инцидента для конфиденциальности информации:
      • Высокое
      • Низкое
      • Отсутствует
    • Иные последствия – укажите иные значимые последствия инцидента.
    • Город – укажите город, в котором находится ваша организация.
  6. Если к инциденту прикреплены активы, можно указать их параметры в закладке Технические данные.

    Эта закладка становится активной, только если вы установили флажок Затронутая система имеет подключение к интернету.

    При необходимости изменить или дополнить сведения, ранее указанные в закладке Технические данные, это следует делать в вашем личном кабинете ГосСОПКА, даже если сотрудники НКЦКИ запросили у вас дополнительные сведения и у вас есть возможность изменить экспортированный инцидент.

    Категории указываемых активов должны соответствовать категории затронутой КИИ системы.

  7. Нажмите Экспорт.
  8. Подтвердите экспорт.

Сведения об инциденте переданы в НКЦКИ, параметр инцидента Экспорт в НКЦКИ меняется на Экспортирован. В НКЦКИ полученному от вас инциденту присваивается регистрационный номер и статус. Эти сведения отображаются в окне инцидента в разделе Интеграция с НКЦКИ.

Изменить данные в экспортированном инциденте возможно, только если сотрудники НКЦКИ запросили у вас дополнительные сведения. Если дополнительные сведения запрошены не были, но вам требуется внести изменения в экспортированный инцидент, это следует делать в вашем личном кабинете ГосСОПКА.

После успешного экспорта инцидента в нижней части экрана отображается кнопка Сравнение инцидента KUMA с данными в НКЦКИ, при нажатии на которую открывается окно, где подсвечиваются различия в данных в инциденте между KUMA и НКЦКИ.

В начало
[Topic 243253]

Дополнение данных об инциденте по запросу

Если сотрудникам НКЦКИ потребуются дополнительные сведения об инциденте, они могут их у вас запросить. В этом случае в окне инцидента в разделе Интеграция с НКЦКИ статус инцидента меняется на Требуется дополнение. При этом следующие пользователи KUMA получают по электронной почте уведомления об изменении статуса: пользователь, которому назначен инцидент, и пользователь, экспортировавший инцидент в НКЦКИ.

Если инциденту в НКЦКИ присвоен статус Требуется дополнение, в KUMA для этого инцидента становятся доступны следующие действия:

В начало
[Topic 243327]

Отправка файлов в НКЦКИ

Если инцидент имеет статус НКЦКИ Требуется дополнение, вы можете приложить к нему файл. Файл будет доступен как в НКЦКИ, так и в веб-интерфейсе KUMA.

При иерархическом развертывании KUMA загружать файлы в НКЦКИ можно только из родительского узла KUMA. При этом в дочерних узлах KUMA видны журнальные записи о загрузке файла.

В журнале изменений инцидента добавляются сообщения о загрузке в НКЦКИ файлов пользователями KUMA. Сообщения о добавлении файлов со стороны НКЦКИ в журнал не заносятся.

Чтобы приложить файл к инциденту:

  1. В разделе Инциденты веб-интерфейса KUMA откройте инцидент, к которому вы хотите приложить файл. Инцидент должен иметь статус НКЦКИ Требуется дополнение.
  2. В разделе окна инцидента Интеграция с НКЦКИ выберите закладку Файл и нажмите на кнопку Отправить файл в НКЦКИ.

    Откроется окно выбора файла.

  3. Выберите нужный файл размером не более 50 МБ и подтвердите выбор.

Файл приложен к инциденту. Файл доступен и для сотрудников НКЦКИ, и для пользователей KUMA.

Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.

В начало
[Topic 243368]

Отправка в НКЦКИ инцидентов, связанных с утечкой персональных данных

В KUMA 2.1.х отсутствует отдельный раздел с параметрами инцидентов для передачи в НКЦКИ сведений об утечке персональных данных. Поскольку такие инциденты возникают и есть необходимость передавать сведения в НКЦКИ, воспользуйтесь следующим решением.

Чтобы передать инциденты, связанные с утечкой персональных данных:

  1. В веб-интерфейсе KUMA в разделе Инциденты при создании инцидента, связанного с утечкой персональных данных, в поле Категория инцидента выберите Уведомление о компьютерном инциденте.
  2. В поле Тип инцидента выберите один из вариантов, подразумевающих предоставление сведений об утечке персональных данных:
    • Заражение ВПО.
    • Компрометация учетной записи.
    • Несанкционированное разглашение информации.
    • Успешная эксплуатация уязвимости.
    • Событие не связано с компьютерной атакой.
  3. В поле Описание укажите "Инцидент связан с утечкой персональных данных. Прошу установить статус "Требуется дополнение"".
  4. Нажмите Сохранить.
  5. Выполните экспорт инцидента в НКЦКИ.

После того, как сотрудники НКЦКИ установят статус "Требуется дополнение" и вернут инцидент для дальнейшего редактирования, в личном кабинете НКЦКИ вы сможете дополнить информацию в разделе Сведения об утечке персональных данных.

В начало
[Topic 260687]

Обмен сообщениями с сотрудниками НКЦКИ

После успешного экспорта инцидента в НКЦКИ в нижней части окна инцидента становится доступен чат с сотрудниками НКЦКИ. Обмениваться сообщениями можно с момента успешного экспорта инцидента до его закрытия в НКЦКИ.

Окно чата с историей сообщений и полем для ввода новых сообщений доступно в разделе окна инцидента Интеграция с НКЦКИ в закладке Чат.

Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.

См. также:

Уведомления об изменении статуса инцидента в НКЦКИ

В начало
[Topic 243399]

Допустимые категории и типы инцидентов НКЦКИ

В таблице ниже перечислены категории и типы инцидентов, которые можно экспортировать в НКЦКИ:

Категория инцидента

Тип инцидента

Уведомление о компьютерном инциденте

Вовлечение контролируемого ресурса в инфраструктуру ВПО

Замедление работы ресурса в результате DDoS-атаки

Заражение ВПО

Захват сетевого трафика

Использование контролируемого ресурса для фишинга

Компрометация учетной записи

Несанкционированное изменение информации

Несанкционированное разглашение информации

Публикация на ресурсе запрещенной законодательством РФ информации

Рассылка спам-сообщений с контролируемого ресурса

Успешная эксплуатация уязвимости

Уведомление о компьютерной атаке

DDoS-атака

Неудачные попытки авторизации

Попытки внедрения ВПО

Попытки эксплуатации уязвимости

Публикация мошеннической информации

Сетевое сканирование

Социальная инженерия

Уведомление о наличии уязвимости

Уязвимый ресурс

В начало
[Topic 220462]

Уведомления об изменении статуса инцидента в НКЦКИ

При некоторых изменениях статуса или данных инцидента в НКЦКИ пользователи KUMA получают следующие уведомления по электронной почте:

Уведомления получают следующие пользователи:

  • Пользователь, которому был назначен инцидент.
  • Пользователь, который экспортировал инцидент в НКЦКИ.
В начало
[Topic 245705]

Ретроспективная проверка

В обычном режиме коррелятор работает только с событиями, поступающими от коллекторов в реальном времени. Ретроспективная проверка позволяет применить корреляционные правила к историческим событиям, если вы хотите отладить корреляционные правила или проанализировать исторические данные.

Чтобы проверить работу правила, не обязательно воспроизводить инцидент в реальном времени – можно запускать правило в режиме Ретроспективная проверка на исторических событиях, среди которых есть интересующий инцидент.

С помощью поискового запроса вы можете определить список исторических событий, для которых будет выполнена ретроспективная проверка, задать период поиска и указать хранилище, в котором следует искать события. Можно настроить задачу таким образом, чтобы во время ретроспективной проверки событий создавались алерты и применялись правила реагирования.

При ретроспективной проверке события не обогащаются данными из CyberTrace и Kaspersky Threat Intelligence Portal.

Активные листы при ретроспективной проверке обновляются.

Ретроспективную проверку невозможно проводить на выборках событий, полученных с помощью SQL-запросов с группировкой данных и арифметическими выражениями.

Чтобы включить ретроспективную проверку:

  1. В разделе События веб-интерфейса KUMA получите необходимую выборку событий:
    • Выберите хранилище.
    • Настройте поисковое выражение с помощью конструктора или поискового запроса.
    • Задайте необходимый временной период.
  2. В раскрывающемся списке MoreButton выберите Ретроспективная проверка.

    Откроется окно ретроспективной проверки.

  3. В раскрывающемся списке Коррелятор выберите сервис коррелятора, в который будут загружены выбранные события.
  4. В раскрывающемся списке Правила корреляции выберите правила корреляции, с помощью которых необходимо обработать выбранные события.
  5. Если вы хотите, чтобы в процессе обработки событий срабатывали правила реагирования, включите переключатель Выполнить правила реагирования.
  6. Если вы хотите, чтобы в процессе обработки событий создавались алерты, включите переключатель Создать алерты.
  7. Нажмите на кнопку Создать задачу.

В разделе Диспетчер задач создана задача ретроспективной проверки.

Чтобы просмотреть результаты проверки, в разделе Диспетчер задач веб-интерфейса KUMA нажмите на созданную вами задачу и в раскрывающемся списке выберите Перейти к событиям.

Открывается новая вкладка браузера с таблицей событий, обработанных в ходе ретроспективной проверки, а также агрегированными и корреляционными событиями, созданными во время обработки. Корреляционные события, созданные ретроспективной проверкой, имеют дополнительное поле ReplayID, в котором хранится уникальный идентификатор выполнения ретроспективной проверки. Аналитик может повторно запустить ретроспективный поиск из контекстного меню задачи. У новых корреляционных событий будет другой ReplayID.

В зависимости от настроек вашего браузера может потребоваться ваше подтверждение на открытие новой вкладки с результатами ретроспективной проверки. Подробнее см. в документации вашего браузера.

В начало
[Topic 217979]