Содержание
- Руководство пользователя
- Ресурсы KUMA
- Операции с ресурсами
- Точки назначения
- Работа с событиями
- Фильтрация и поиск событий
- Выбор хранилища
- Формирование SQL-запроса с помощью конструктора
- Создание SQL-запроса вручную
- Фильтрация событий по периоду
- Отображение названий вместо идентификаторов
- Пресеты
- Ограничение сложности запросов в режиме расследования алерта
- Сохранение и выбор конфигураций фильтра событий
- Удаление конфигураций фильтра событий
- Поддерживаемые функции ClickHouse
- Просмотр информации о событии
- Экспорт событий
- Настройка таблицы событий
- Обновление таблицы событий
- Получение статистики по событиям в таблице
- Просмотр информации о корреляционном событии
- Фильтрация и поиск событий
- Нормализаторы
- Правила агрегации
- Правила обогащения
- Правила корреляции
- Фильтры
- Активные листы
- Просмотр таблицы активных листов
- Добавление активного листа
- Просмотр параметров активного листа
- Изменение параметров активного листа
- Дублирование параметров активного листа
- Удаление активного листа
- Просмотр записей в активном листе
- Поиск записей в активном листе
- Добавление записи в активный лист
- Дублирование записей в активном листе
- Изменение записи в активном листе
- Удаление записей в активном листе
- Импорт данных в активный лист
- Экспорт данных из активного листа
- Предустановленные активные листы
- Словари
- Правила реагирования
- Шаблоны уведомлений
- Коннекторы
- Секреты
- Правила сегментации
- Пример расследования инцидента с помощью KUMA
- Условия возникновения инцидента
- Шаг 1. Предварительная подготовка
- Шаг 2. Назначение алерта пользователю
- Шаг 3. Проверка на соответствие между сработавшим правилом корреляции и данными событий алерта
- Шаг 4. Анализ информации об алерте
- Шаг 5. Проверка на ложное срабатывание
- Шаг 6. Определение критичности алерта
- Шаг 7. Создание инцидента
- Шаг 8. Расследование
- Шаг 9. Поиск связанных активов
- Шаг 10. Поиск связанных событий
- Шаг 11. Запись причин инцидента
- Шаг 12. Реагирование на инцидент
- Шаг 13. Восстановление работоспособности активов
- Шаг 14. Закрытие инцидента
- Аналитика
- Панель мониторинга
- Отчеты
- Виджеты
- Работа с алертами
- Работа с инцидентами
- О таблице инцидентов
- Сохранение и выбор конфигураций фильтра инцидентов
- Удаление конфигураций фильтра инцидентов
- Просмотр информации об инциденте
- Создание инцидента
- Обработка инцидентов
- Изменение инцидентов
- Автоматическая привязка алертов к инцидентам
- Категории и типы инцидентов
- Взаимодействие с НКЦКИ
- Особенности экспорта в НКЦКИ из иерархической структуры KUMA
- Экспорт данных в НКЦКИ
- Дополнение данных об инциденте по запросу
- Отправка файлов в НКЦКИ
- Отправка в НКЦКИ инцидентов, связанных с утечкой персональных данных
- Обмен сообщениями с сотрудниками НКЦКИ
- Допустимые категории и типы инцидентов НКЦКИ
- Уведомления об изменении статуса инцидента в НКЦКИ
- Ретроспективная проверка
- Ресурсы KUMA
Ресурсы KUMA
Ресурсы – это компоненты KUMA, которые содержат параметры для реализации различных функций: например, установления связи с заданным веб-адресом или преобразования данных по определенным правилам. Из этих компонентов, как из частей конструктора, собираются наборы ресурсов для сервисов, на основе которых в свою очередь создаются сервисы KUMA.
Ресурсы содержатся в разделе веб-интерфейса KUMA Ресурсы в блоке Ресурсы. Доступные типы ресурсов:
- Правила корреляции – в ресурсах этого типа содержатся правила определения в событиях закономерностей, указывающих на угрозы. Если условия, заданные в этих ресурсах, выполняются, создается корреляционное событие.
- Нормализаторы – в ресурсах этого типа содержатся правила для приведения поступающих событий к формату, принятому в KUMA. После обработки в нормализаторе "сырое" событие становится нормализованным и может обрабатываться другими ресурсами и сервисами KUMA.
- Коннекторы – в ресурсах этого типа содержатся параметры для установления сетевых подключений.
- Правила агрегации – в ресурсах этого типа содержатся правила для объединения нескольких однотипных базовых событий в одно агрегационное событие.
- Правила обогащения – в ресурсах этого типа содержатся правила для дополнения событий информацией из сторонних источников.
- Точки назначения – в ресурсах этого типа содержатся параметры для пересылки событий в пункт дальнейшей обработки или хранения.
- Фильтры – в ресурсах этого типа содержатся условия для отсева или выделения отдельных событий из потока событий.
- Правила реагирования – ресурсы этого типа используются в корреляторах для запуска, например, скриптов или задач Kaspersky Security Center при выполнении определенных условий.
- Шаблоны уведомлений – ресурсы этого типа используются при рассылке уведомлений о новых алертах.
- Активные листы – ресурсы этого типа используются корреляторами для динамической работы с данными при анализе событий по правилам корреляции.
- Словари – ресурсы этого типа используются для хранения ключей и их значений, которые могут потребоваться другим ресурсам и сервисам KUMA.
- Прокси-серверы – в ресурсах этого типа содержатся параметры использования прокси-серверов.
- Секреты – ресурсы этого типа используются для безопасного хранения конфиденциальной информации (например, учетных данных), которые должны использоваться KUMA для взаимодействия с внешними службами.
При нажатии на тип ресурса открывается окно, в котором отображается таблица с имеющимися ресурсами этого типа. Таблица содержит следующие столбцы:
- Название – имя ресурса. Может использоваться для поиска и сортировки ресурсов.
- Последнее обновление – дата и время последнего обновления ресурса. Может использоваться для сортировки ресурсов.
- Создал – имя пользователя, создавшего ресурс.
- Описание – описание ресурса.
Максимальный размер таблицы не ограничен. Если вы хотите выбрать все ресурсы, прокрутите таблицу до конца и установите флажок Выбрать все, таким образом все доступные в таблице ресурсы будут выбраны.
Ресурсы можно расположить по папкам. В левой части окна отображается структура папок: корневые папки соответствуют тенантам и содержат перечень всех ресурсов тенанта. Во всех остальных папках, вложенных в корневую, отображаются ресурсы отдельной папки. Когда папка выбрана, содержащиеся в ней ресурсы отображаются в таблице в правой части окна.
Ресурсы можно создавать, редактировать, копировать, перемещать между папками и удалять. Ресурсы можно также экспортировать и импортировать.
KUMA поставляется с набором предустановленных ресурсов, их можно узнать по названию [OOTB]<название_ресурса>. OOTB-ресурсы защищены от внесения изменений.
Если вы хотите адаптировать предустановленный OOTB-ресурс к инфраструктуре своей организации:
- В разделе Ресурсы-<тип ресурсов> и выберите OOTB-ресурс, который вы хотите изменить.
- В верхней части веб-интерфейса KUMA нажмите Дублировать, а затем нажмите Сохранить.
- В веб-интерфейсе появится новый ресурс с названием [OOTB]<название_ресурса> - копия.
- Внесите необходимые изменения в созданную копию предустановленного ресурса и сохраните изменения.
Адаптированный ресурс доступен для использования.
Операции с ресурсами
Вы можете управлять ресурсами KUMA: создавать, перемещать, копировать, редактировать и удалять ресурсы, а также импортировать и экспортировать их. Перечисленные операции доступны для всех ресурсов, вне зависимости от типа ресурса.
Ресурсы KUMA располагаются в папках. Вы можете добавлять, переименовывать, перемещать и удалять папки ресурсов.
Создание, переименование, перемещение и удаление папок с ресурсами
Ресурсы можно расположить по папкам. В левой части окна отображается структура папок: корневые папки соответствуют тенантам и содержат перечень всех ресурсов тенанта. Во всех остальных папках, вложенных в корневую, отображаются ресурсы отдельной папки. Когда папка выбрана, содержащиеся в ней ресурсы отображаются в таблице в правой части окна.
Папки можно создавать, переименовывать, перемещать и удалять.
Чтобы создать папку:
- Выберите в дереве папку, в которой требуется новая папка.
- Нажмите на кнопку Добавить папку.
Папка будет создана.
Чтобы переименовать папку:
- Найдите нужную папку в структуре папок.
- Наведите курсор на название папки.
Рядом с названием папки появится значок
.
- В раскрывающемся списке
выберите Переименовать.
Название папки станет доступным для редактирования.
- Введите новое название папки и нажмите ENTER.
Название папки не может быть пустым.
Папка будет переименована.
Чтобы переместить папку,
Нажмите название папки и перетащите ее в требуемое место в структуре папок.
Папки невозможно переместить из одного тенанта в другой
Чтобы удалить папку:
- Найдите нужную папку в структуре папок.
- Наведите курсор на название папки.
Рядом с названием папки появится значок
.
- В раскрывающемся списке
выберите Удалить.
Появится окно подтверждения.
- Нажмите ОК.
Папка будет удалена.
Программа не удаляет папки, которые содержат файлы или вложенные папки.
В началоСоздание, дублирование, перемещение, редактирование и удаление ресурсов
Вы можете создавать, перемещать, копировать, редактировать и удалять ресурсы.
Чтобы создать ресурс:
- В разделе Ресурсы → <тип ресурса> выберите или создайте папку, в которую требуется добавить новый ресурс.
Корневые папки соответствуют тенантам. Чтобы ресурс был доступен определенному тенанту, его следует создать в папке этого тенанта.
- Нажмите на кнопку Добавить <тип ресурса>.
Откроется окно для настройки параметров выбранного типа ресурсов. Доступные параметры зависят от типа ресурса.
- Введите уникальное имя ресурса в поле Название.
- Укажите обязательные параметры (они отмечены красной звездочкой).
- При желании укажите дополнительные параметры (это необязательное действие).
- Нажмите Сохранить.
Ресурс будет создан и доступен для использования в сервисах и других ресурсах.
Чтобы переместить ресурс в новую папку:
- В разделе Ресурсы → <тип ресурса> найдите требуемый ресурс в структуре папок.
- Установите флажки рядом с ресурсами, которые вы хотите переместить. Можно выбрать сразу несколько ресурсов.
Рядом с выбранными ресурсами отобразится значок
.
- Перетащите ресурсы в нужную папку с помощью значка
.
Ресурсы будут перемещены в новые папки.
Вы можете перемещать ресурсы только в папки того тенанта, в рамках которого были созданы ресурсы. Перемещение ресурсов в папки другого тенанта недоступно.
Чтобы скопировать ресурс:
- В разделе Ресурсы → <тип ресурса> найдите требуемый ресурс в структуре папок.
- Установите флажок рядом с ресурсом, которые вы хотите скопировать, и нажмите Дублировать.
Отображается окно с параметрами ресурса, который вы выбрали для копирования. Доступные параметры зависят от типа ресурса.
В поле Название отображается
<название выбранного ресурса> - копия
. - Измените нужные параметры.
- Введите уникальное имя в поле Название.
- Нажмите Сохранить.
Копия ресурса будет создана.
Чтобы изменить ресурс:
- В разделе Ресурсы → <тип ресурса> найдите требуемый ресурс в структуре папок.
- Выберите ресурс.
Отображается окно с параметрами выбранного ресурса. Доступные параметры зависят от типа ресурса.
- Измените нужные параметры.
- Нажмите Сохранить.
Ресурс будет обновлен. Если этот ресурс используется в сервисе, перезапустите сервис, чтобы он задействовал новые параметры.
Чтобы удалить ресурс:
- В разделе Ресурсы → <тип ресурса> найдите требуемый ресурс в структуре папок.
- Установите флажок рядом с ресурсом, которые вы хотите удалить, и нажмите Удалить.
Откроется окно подтверждения.
- Нажмите ОК.
Ресурс будет удален.
В началоОбновление ресурсов
"Лаборатория Касперского" регулярно выпускает пакеты с ресурсами, доступные для импорта из репозитория. Вы можете указать адрес электронной почты в параметрах задачи Обновление репозитория и после первого выполнения задачи KUMA будет отправлять на указанный адрес уведомления о доступных для обновления пакетах. Вы можете выполнить обновление репозитория, проанализировать содержимое каждого обновления и принять решение об импорте и внедрении новых ресурсов в эксплуатируемую инфраструктуру. KUMA поддерживает обновление c серверов Лаборатории Касперского и из пользовательского источника, в том числе без прямого доступа к интернету с использованием механизма «зеркала обновления». При использовании в инфраструктуре других продуктов Лаборатории Касперского, можно подключить KUMA к уже существующим зеркалам обновления. Подсистема обновления расширяет возможности KUMA по реагированию на изменения ландшафта угроз и инфраструктуры, а возможность её использования без прямого доступа к интернету обеспечивает гарантии конфиденциальности данных, обрабатываемых системой.
Чтобы обновить ресурсы, вам необходимо выполнить следующие шаги:
- Обновить репозиторий, чтобы доставить в репозиторий пакеты с ресурсами. Обновление репозитория доступно в двух режимах:
- Автоматическое обновление.
- Обновление вручную.
- Импортировать пакеты с ресурсами из обновленного репозитория в тенант.
Чтобы сервис начал использовать обновленные ресурсы, после выполнения импорта убедитесь, что ресурсы привязаны. В случае необходимости привяжите ресурсы к коллекторам, корреляторам или агентам и обновите параметры.
Чтобы настроить автоматическое обновление:
- В разделе Параметры – Обновление репозитория настройте Интервал обновления в часах. Значение по умолчанию - 24 часа.
- Укажите Источник обновления. Доступны следующие варианты:
- .
Вы можете посмотреть список серверов в Базе знаний, статья 15998.
- Пользовательский источник:
- URL к папке общего доступа на HTTP-сервере.
- Полный путь к локальной папке на хосте с установленным ядром KUMA.
В случае использования локальной папки у системного пользователя kuma должен быть доступ для чтения к этой папке и её содержимому.
- .
- Укажите Адреса электронной почты для рассылки уведомлений, нажав на кнопку Добавить. На указанные адреса электронной почты будет поступать рассылка уведомлений о том, что в репозитории появились новые пакеты или новая версия тех пакетов, которые вы когда-либо импортировали в тенант.
Если вы указываете электронную почту пользователя KUMA, в профиле пользователя должен быть установлен флажок Получать уведомления по почте. Для почты, которая не принадлежит ни одному пользователю KUMA, письмо будет приходит без дополнительных настроек. Параметры подключения к SMTP-серверу должны быть указаны во всех случаях.
- Нажмите Сохранить. Задача обновления запустится автоматически в самое ближайшее время и дальше запуск задачи будет выполнен в соответствии с расписанием.
Чтобы запустить обновление репозитория вручную:
- Если вы хотите отключить автоматическое обновление, в разделе Параметры – Обновление репозитория установите флажок Отключить автоматическое обновление. По умолчанию флажок снят. Также вы можете запустить обновление репозитория вручную, не отключая автоматическое обновление. Запуск обновления вручную не влияет на график выполнения автоматического обновления.
- Укажите Источник обновления. Доступны следующие варианты:
- Серверы обновления "Лаборатории Касперского".
- Пользовательский источник:
- URL к папке общего доступа на HTTP-сервере.
- Полный путь к локальной папке на хостеустанови с ядром KUMA.
В случае использования локальной папки у пользователя kuma должен быть доступ к этой папке и её содержимому.
- Укажите Адреса электронной почты для рассылки уведомлений, нажав на кнопку Добавить. На указанные адреса электронной почты будет поступать рассылка уведомлений о том, что в репозитории появились новые пакеты или новая версия тех пакетов, которые вы когда-либо импортировали в тенант.
Если вы указываете электронную почту пользователя KUMA, в профиле пользователя должен быть установлен флажок Получать уведомления по почте. Для почты, которая не принадлежит ни одному пользователю KUMA, письмо будет приходит без дополнительных настроек. Параметры подключения к SMTP-серверу должны быть указаны во всех случаях.
- Нажмите Запустить обновление. Таким образом, вы одновременно сохраните настройки и вручную запустите выполнение задачи Обновление репозитория.
Настройка пользовательского источника с использованием Kaspersky Update Utility
Вы можете обновлять ресурсы без доступа к интернету через пользовательский источник обновления с помощью утилиты Kaspersky Update Utility.
Настройка состоит из следующих шагов:
- Настройка пользовательского источника с помощью Kaspersky Update Utility:
- Установка и настройка Kaspersky Update Utility на одном из компьютеров локальной сети организации.
- Настройка копирования обновлений в папку общего доступа в параметрах Kaspersky Update Utility.
- Настройка обновления репозитория KUMA из пользовательского источника.
Настройка пользовательского источника с помощью Kaspersky Update Utility:
Вы можете загрузить дистрибутив Kaspersky Update Utility с веб-сайта Службы технической поддержки "Лаборатории Касперского".
- В Kaspersky Update Utility включите скачивание обновлений для KUMA версии 2.1:
- В разделе Программы - Контроль периметра установите флажок рядом с KUMA 2.1, чтобы включить возможность обновления.
- Если вы работаете с Kaspersky Update Utility через командную строку, в конфигурационном файле updater.ini в секции [ComponentSettings] добавьте следующую строку или укажите значение
true
для уже существующей строки:KasperskyUnifiedMonitoringAndAnalysisPlatform_2_1=true
- В разделе Загрузки укажите источник обновлений. По умолчанию в качестве источника используются сервера обновления "Лаборатории Касперского".
- В разделе Загрузки в группе параметров Папки для обновлений укажите папку общего доступа, в которую Kaspersky Update Utility будет загружать обновления. Доступны следующие варианты:
- Укажите локальную папку на хосте, где установлена Kaspersky Update Utility. Разверните HTTP-сервер, который будет отдавать обновления, и опубликуйте на нем эту локальную папку. В KUMA в разделе Параметры - Обновление репозитория - Пользовательский источник укажите URL к локальной папке, опубликованной на HTTP-сервере.
- Укажите локальную папку на хосте, где установлена Kaspersky Update Utility. Сделайте эту локальную папку доступной по сети. Примонтируйте доступную по сети локальную папку на хосте с KUMA. В KUMA в разделе Параметры - Обновление репозитория - Пользовательский источник укажите полный путь к этой локальной папке.
Подробную информацию о работе с Kaspersky Update Utility см. в Базе знаний "Лаборатории Касперского".
В началоЭкспорт ресурсов
Если для пользователя скрыты общие ресурсы, он не может экспортировать ни общие ресурсы, ни ресурсы, в которых используются общие ресурсы.
Чтобы экспортировать ресурсы:
- В разделе Ресурсы нажмите Экспортировать ресурсы.
Откроется окно Экспортировать ресурсы с деревом всех доступных ресурсов.
- В поле Пароль введите пароль, который необходимо использовать для защиты экспортируемых данных.
- В раскрывающемся списке Тенант выберите тенанта, ресурсы которого вы хотите экспортировать.
- Установите флажки рядом с ресурсами, которые вы хотите экспортировать.
Если выбранные ресурсы связаны с другими ресурсами, эти ресурсы также будут экспортированы.
- Нажмите на кнопку Экспортировать.
Ресурсы в защищенном паролем файле сохранятся на вашем компьютере в зависимости от настроек вашего браузера. Ресурсы секретов экспортируются пустыми.
В началоИмпорт ресурсов
Чтобы импортировать ресурсы:
- В разделе Ресурсы нажмите Импорт ресурсов.
Откроется окно Импорт ресурсов.
- В раскрывающемся списке Тенант выберите тенанта, которому будут принадлежать импортируемые ресурсы.
- В раскрывающемся списке Источник импорта выберите один из следующих вариантов:
- Файл
При выборе этого варианта необходимо указать пароль и нажать на кнопку Импортировать.
- Репозиторий
При выборе этого варианта отображается список доступных для импорта пакетов. Мы рекомендуем начать импорт с пакета "OOTB resources for KUMA 2.1" и дальше импортировать пакеты поочередно. Если при импорте пакетов получена ошибка "Ошибка базы данных", повторно импортируйте пакет, название которого указано в ошибке, выбрав для импорта только указанный пакет. Также вы можете настроить автоматическое обновление.
Вы можете выбрать один или несколько пакетов для импорта и нажать на кнопку Импортировать.
Импортированные ресурсы можно только удалить. Если вы хотите переименовать, отредактировать или переместить импортированный ресурс, вам следует сделать дубликат ресурса с помощью кнопки Дублировать и с дубликатом выполнить желаемые действия. При импорте следующих версий пакета дубликат не будет обновлен, поскольку он уже представляет собой отдельный объект.
- Файл
- Разрешите конфликты между импортированными из файла и существующими ресурсами, если они возникли. Подробнее о конфликтах ресурсов см. ниже.
- Если имя, тип и guid импортированных ресурсов полностью совпадает с именем, типом и guid существующего ресурса, открывается окно Конфликты с таблицей, в которой отображаются тип и имя конфликтующих ресурсов. Разрешите отображаемые конфликты:
- Если вы хотите заменить существующий ресурс новым, нажмите Заменить.
Нажмите Заменить все, чтобы заменить все конфликтующие ресурсы.
- Если вы хотите оставить существующий ресурс, нажмите Пропустить.
Нажмите Пропустить все, чтобы сохранить все существующие ресурсы.
- Если вы хотите заменить существующий ресурс новым, нажмите Заменить.
- Нажмите на кнопку Устранить.
Ресурсы импортируются в KUMA. Ресурсы секретов импортируются пустыми.
- Если имя, тип и guid импортированных ресурсов полностью совпадает с именем, типом и guid существующего ресурса, открывается окно Конфликты с таблицей, в которой отображаются тип и имя конфликтующих ресурсов. Разрешите отображаемые конфликты:
О разрешении конфликтов
Когда ресурсы импортируются в KUMA из файла, программа сравнивает их с существующими ресурсами, сверяя следующие параметры:
- Имя и тип. Если имя и тип импортируемого ресурса совпадают с параметрами существующего ресурса, имя импортированного ресурса автоматически изменяется.
- Идентификатор. Если идентификаторы двух ресурсов совпадают, возникает конфликт, который должен разрешить пользователь. Такая ситуация может возникнуть, когда вы импортируете ресурсы на тот же сервер KUMA, с которого они были экспортированы.
При разрешении конфликта вы можете либо заменить существующий ресурс импортированным, либо оставить существующий ресурс.
Некоторые ресурсы связаны между собой: например, в некоторых типах коннекторов обязательно нужно указывать секрет коннектора. Секреты также импортируются, если они привязаны к коннектору. Такие связанные ресурсы экспортируются и импортируются вместе.
Особенности импорта:
- Ресурсы импортируются в выбранный тенант.
- Начиная с версии 2.1.3 если связанный ресурс находился в Общем тенанте, при импорте он снова будет в Общем тенанте.
- Начиная с версии 2.1.3 в окне Конфликты в столбце Родительский объект всегда отображается самый верхний родительский ресурс из выбранных при импорте.
- Начиная с версии 2.1.3 если во время импорта возникает конфликт, и вы выбираете замену существующего ресурса новым, все связанные с ним ресурсы также будут автоматически заменены импортированными ресурсами.
Известные ошибки в версии 2.1.3:
- Привязанный ресурс попадает в тенант, указанный при импорте, а не в Общий тенант, как указано в окне Конфликты, при следующих условиях:
- привязанный ресурс изначально находится в Общем тенанте;
- в окне Конфликты вы выбираете Пропустить для всех родительских объектов привязанного ресурса из Общего тенанта;
- привязанный ресурс из Общего тенанта оставляете для замены.
- После выполнения импорта в фильтре у категорий не указан тенант при следующих условиях:
- фильтр содержит привязанные категории активов из разных тенантов;
- имена категорий активов одинаковы;
- вы импортируете этот фильтр с привязанными категориями активов на новый сервер.
- В Тенант 1 дублируется имя категории активов при следующих условиях:
- в Тенант 1 у вас есть фильтр с привязанными категориями активов из Тенант 1 и Общего тенанта;
- имена привязанных категорий активов одинаковы;
- вы импортируете такой фильтр из Тенант 1 в Общий тенант.
- Невозможно импортировать конфликтующие ресурсы в один тенант.
Ошибка "Невозможно импортировать конфликтующие ресурсы в один тенант" означает, что в импортируемом пакете есть конфликтующие ресурсы из разных тенантов и их нельзя импортировать в Общий тенант.
Решение: Выберите для импорта пакета другой тенант, не Общий. Тогда при импорте ресурсы, изначально расположенные в Общем тенанте, будут импортированы в Общий тенант, а ресурсы из другого тенанта — в выбранный при импорте тенант.
- Только главный администратор может импортировать категории в Общий тенант.
Ошибка "Только главный администратор может импортировать категории в Общий тенант" означает, что в импортируемом пакете есть ресурсы с привязанными общими категориями активов. Категории или ресурсы с привязанными общими категориями активов можно увидеть в журнале Ядра KUMA. Путь к журналу Ядра:
/opt/kaspersky/kuma/core/log/core
Решение. Выберите один из следующих вариантов:
- Уберите из импорта ресурсы, к которым привязаны общие категории: снимите флажок рядом с соответствующими ресурсами.
- Выполните импорт под учетной записью пользователя с правами Главного администратора.
- Только главный администратор может импортировать ресурсы в Общий тенант.
Ошибка "Только главный администратор может импортировать ресурсы в Общий тенант" означает, что в импортируемом пакете есть ресурсы с привязанными общими ресурсами. Ресурсы с привязанными общими ресурсами можно увидеть в журнале Ядра KUMA. Путь к журналу Ядра:
/opt/kaspersky/kuma/core/log/core
Решение. Выберите один из следующих вариантов:
- Уберите из импорта ресурсы, к которым привязаны ресурсы из Общего тенанта, и сами общие ресурсы: снимите флажок рядом с соответствующими ресурсами.
- Выполните импорт под учетной записью пользователя с правами Главного администратора.
Точки назначения
Точки назначения задают сетевые параметры для передачи нормализованных событий. Точки назначения используются в коллекторах и корреляторах для описания того, куда передавать обработанные события. В основном, в роли точек назначения выступают коррелятор и хранилище.
Параметры точек назначения указываются на двух закладках: Основные параметры и Дополнительные параметры. Набор доступных параметров зависит от выбранного типа точки назначения:
- nats-jetstream – используется для коммуникации через NATS.
- tcp – используется для связи по протоколу TCP.
- http – используется для связи по протоколу HTTP.
- diode – используется для передачи событий с помощью диода данных.
- kafka – используется для коммуникаций с помощью kafka.
- file – используется для записи в файл.
- storage – используется для передачи данных в хранилище.
- correlator – используется для передачи данных в коррелятор.
Тип nats
Тип nats-jetstream используется для коммуникации через NATS.
Закладка Основные параметры
Параметр |
Описание |
---|---|
Название |
Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. |
Тенант |
Обязательный параметр. Название тенанта, которому принадлежит ресурс. |
Переключатель Выключено |
Используется, если события не нужно отправлять в точку назначения. По умолчанию отправка событий включена. |
Тип |
Обязательный параметр. Тип точки назначения, nats-jetstream. |
URL |
Обязательный параметр. URL, с которым необходимо установить связь. |
Топик |
Обязательный параметр. Тема сообщений NATS. Должно содержать символы в кодировке Unicode. |
Разделитель |
Используется для указания символа, определяющего границу между событиями. По умолчанию используется |
Авторизация |
Тип авторизации при подключении к указанному URL Доступны следующие значения:
|
Описание |
Описание ресурса: до 4000 символов в кодировке Unicode. |
Закладка Дополнительные параметры
Параметр |
Описание |
---|---|
Сжатие |
Можно использовать сжатие Snappy. По умолчанию сжатие Выключено. |
Размер буфера |
Используется для установки размера буфера. Значение по умолчанию: 1 КБ; максимальное: 64 МБ. |
Время ожидания |
Время ожидания (в секундах) ответа другого сервиса или компонента. Значение по умолчанию: |
Размер дискового буфера |
Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ. |
Идентификатор кластера |
Идентификатор кластера NATS. |
Режим TLS |
Использование шифрования TLS. Доступные значения:
|
Разделитель |
В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется |
Интервал очистки буфера |
Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: |
Рабочие процессы |
Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA. |
Отладка |
Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено. |
Дисковый буфер |
Раскрывающийся список, с помощью которого можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен. Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера. Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер. |
Фильтр |
В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. |
Тип tcp
Тип tcp используется для связи по протоколу TCP.
Закладка Основные параметры
Параметр |
Описание |
---|---|
Название |
Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. |
Тенант |
Обязательный параметр. Название тенанта, которому принадлежит ресурс. |
Переключатель Выключено |
Используется, если события не нужно отправлять в точку назначения. По умолчанию отправка событий включена. |
Тип |
Обязательный параметр. Тип точки назначения, tcp. |
URL |
Обязательный параметр. URL, с которым необходимо установить связь. Доступные форматы: Также поддерживаются адреса IPv6. При их использовании необходимо также указывать интерфейс в формате Например: |
Описание |
Описание ресурса: до 4000 символов в кодировке Unicode. |
Закладка Дополнительные параметры
Параметр |
Описание |
---|---|
Сжатие |
Можно использовать сжатие Snappy. По умолчанию сжатие Выключено. |
Размер буфера |
Используется для установки размера буфера. Значение по умолчанию: 1 КБ; максимальное: 64 МБ. |
Время ожидания |
Время ожидания ответа (в секундах) другого сервиса или компонента. Значение по умолчанию: |
Размер дискового буфера |
Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ. |
Режим TLS |
Использование шифрования TLS с использованием сертификатов в формате pem x509. Доступные значения:
При использовании TLS невозможно указать IP-адрес в качестве URL. |
Разделитель |
В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется |
Интервал очистки буфера |
Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: |
Рабочие процессы |
Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA. |
Отладка |
Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено. |
Дисковый буфер |
Раскрывающийся список, в котором можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен. Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера. Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер. |
Фильтр |
В разделе можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. |
Тип http
Тип http используется для связи по протоколу HTTP.
Закладка Основные параметры
Параметр |
Описание |
---|---|
Название |
Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. |
Тенант |
Обязательный параметр. Название тенанта, которому принадлежит ресурс. |
Переключатель Выключено |
Используется, если события не нужно отправлять в точку назначения. По умолчанию отправка событий включена. |
Тип |
Обязательный параметр. Тип точки назначения, http. |
URL |
Обязательный параметр. URL, с которым необходимо установить связь. Доступные форматы: Также поддерживаются адреса IPv6, однако при их использовании необходимо также указывать интерфейс: |
Авторизация |
Тип авторизации при подключении к указанному URL Доступны следующие значения:
|
Описание |
Описание ресурса: до 4000 символов в кодировке Unicode. |
Закладка Дополнительные параметры
Параметр |
Описание |
---|---|
Сжатие |
Можно использовать сжатие Snappy. По умолчанию сжатие Выключено. |
Размер буфера |
Используется для установки размера буфера. Значение по умолчанию: 1 КБ; максимальное: 64 МБ. |
Время ожидания |
Время ожидания (в секундах) ответа другого сервиса или компонента. Значение по умолчанию: |
Размер дискового буфера |
Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ. |
Режим TLS |
Использование шифрования TLS. Доступные значения:
|
Политика выбора URL |
В раскрывающемся списке можно выбрать способ определения, на какой URL следует отправлять события, если URL было указано несколько. Доступные значения:
|
Разделитель |
В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется \n. |
Путь |
Путь, который необходимо добавить для URL-запроса. Например, если указать путь |
Интервал очистки буфера |
Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: |
Рабочие процессы |
Количество служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA. |
Путь проверки работоспособности |
URL для отправки запросов для получения данных о работоспособности системы, с которой устанавливает связь ресурс точки назначения. |
Ожидание проверки работоспособности |
Частота проверки работоспособности в секундах. |
Проверка работоспособности отключена |
Флажок, который отключает проверку работоспособности. |
Отладка |
Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено. |
Дисковый буфер |
Раскрывающийся список, в котором можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен. Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера. Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер. |
Фильтр |
В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. |
Тип diode
Тип diode используется для передачи событий с помощью диода данных.
Закладка Основные параметры
Параметр |
Описание |
---|---|
Название |
Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. |
Тенант |
Обязательный параметр. Название тенанта, которому принадлежит ресурс. |
Переключатель Выключено |
Используется, если события не нужно отправлять в точку назначения. По умолчанию отправка событий включена. |
Тип |
Обязательный параметр. Тип точки назначения, diode. |
Директория, из которой диод данных получает события |
Обязательный параметр. Директория, откуда диод данных перемещает события. Путь может содержать до 255 символов в кодировке Unicode. Ограничения при использовании префиксов к путям на серверах Windows Ограничения при использовании префиксов к путям на серверах Linux |
Временная директория |
Директория, в которой события готовятся для передачи диоду данных. События собираются в файл по истечении времени ожидания (по умолчанию 10 секунд) или при переполнении буфера. Подготовленный файл перемещается в директорию, указанную в поле Директория, из которой диод данных получает события. В качестве названия файла с событиями используется хеш-сумма (SHA-256) содержимого файла. Временная директория не должна совпадать с директорией, из которой диод данных получает события. |
Описание |
Описание ресурса: до 4000 символов в кодировке Unicode. |
Закладка Дополнительные параметры
Параметр |
Описание |
---|---|
Сжатие |
Можно использовать сжатие Snappy. По умолчанию сжатие Выключено. Этот параметр должен совпадать для коннектора и точки назначения, используемых для передачи событий из изолированного сегмента сети с помощью диода данных. |
Размер буфера |
Используется для установки размера буфера. Значение по умолчанию: 1 КБ; максимальное: 64 МБ. |
Разделитель |
В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется Этот параметр должен совпадать для коннектора и точки назначения, используемых для передачи событий из изолированного сегмента сети с помощью диода данных. |
Интервал очистки буфера |
Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: |
Рабочие процессы |
Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA. |
Отладка |
Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено. |
Фильтр |
В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. |
Тип kafka
Тип kafka используется для коммуникаций с помощью kafka.
Закладка Основные параметры
Параметр |
Описание |
---|---|
Название |
Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. |
Тенант |
Обязательный параметр. Название тенанта, которому принадлежит ресурс. |
Переключатель Выключено |
Используется, если события не нужно отправлять в точку назначения. По умолчанию отправка событий включена. |
Тип |
Обязательный параметр. Тип точки назначения, kafka. |
URL |
Обязательный параметр. URL, с которым необходимо установить связь. Доступные форматы: С помощью кнопки URL можно добавить несколько адресов. |
Топик |
Обязательный параметр. Тема сообщений Kafka. Должен содержать от 1 до 255 следующих символов: a–z, A–Z, 0–9, ".", "_", "-". |
Разделитель |
Используется для указания символа, определяющего границу между событиями. По умолчанию используется |
Авторизация |
Тип авторизации при подключении к указанному URL Доступны следующие значения:
|
Описание |
Описание ресурса: до 4000 символов в кодировке Unicode. |
Закладка Дополнительные параметры
Параметр |
Описание |
---|---|
Размер буфера |
Используется для установки размера буфера. Значение по умолчанию: 1 КБ; максимальное: 64 МБ. |
Время ожидания |
Время ожидания (в секундах) ответа другого сервиса или компонента. Значение по умолчанию: |
Размер дискового буфера |
Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ. |
Режим TLS |
Использование шифрования TLS. Доступные значения:
|
Разделитель |
В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется |
Интервал очистки буфера |
Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: |
Рабочие процессы |
Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA. |
Отладка |
Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено. |
Дисковый буфер |
Раскрывающийся список, с помощью которого можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен. Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера. Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер. |
Фильтр |
В разделе можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. |
Тип file
Тип file используется для записи в файл.
При удалении точки назначения типа file, используемой в каком-либо сервисе, этот сервис необходимо перезапустить.
Закладка Основные параметры
Параметр |
Описание |
---|---|
Название |
Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. |
Тенант |
Обязательный параметр. Название тенанта, которому принадлежит ресурс. |
Переключатель Выключено |
Используется, если события не нужно отправлять в точку назначения. По умолчанию отправка событий включена. |
Тип |
Обязательный параметр. Тип точки назначения, file. |
URL |
Обязательный параметр. Путь к файлу, в который необходимо записать события. |
Описание |
Описание ресурса: до 4000 символов в кодировке Unicode. |
Закладка Дополнительные параметры
Параметр |
Описание |
---|---|
Размер буфера |
Используется для установки размера буфера. Значение по умолчанию: 1 КБ; максимальное: 64 МБ. |
Размер дискового буфера |
Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ. |
Разделитель |
В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется \n. |
Интервал очистки буфера |
Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: |
Количество обработчиков |
Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA. |
Отладка |
Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено. |
Дисковый буфер |
Раскрывающийся список, с помощью которого можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен. Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера. Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер. |
Фильтр |
В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. |
Тип storage
Тип storage используется для передачи данных в хранилище.
Закладка Основные параметры
Параметр |
Описание |
---|---|
Название |
Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. |
Тенант |
Обязательный параметр. Название тенанта, которому принадлежит ресурс. |
Переключатель Выключено |
Используется, если события не нужно отправлять в точку назначения. По умолчанию отправка событий включена. |
Тип |
Обязательный параметр. Тип точки назначения, storage. |
URL |
Обязательный параметр. URL, с которым необходимо установить связь. Доступные форматы: С помощью кнопки URL можно добавить несколько адресов. В поле URL поддерживается поиск сервисов по FQDN, IP-адресу и названию. Особенности поиска по указанным в поле значениям:
|
Описание |
Описание ресурса: до 4000 символов в кодировке Unicode. |
Закладка Дополнительные параметры
Параметр |
Описание |
---|---|
Прокси-сервер |
Раскрывающийся список для выбора прокси-сервера. |
Размер буфера |
Используется для установки размера буфера. Значение по умолчанию: 1 КБ; максимальное: 64 МБ. |
Время ожидания |
Время ожидания (в секундах) ответа другого сервиса или компонента. Значение по умолчанию: |
Размер дискового буфера |
Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ. |
Политика выбора URL |
Раскрывающийся список, в котором можно выбрать способ определения, на какой URL следует отправлять события, если URL было указано несколько:
|
Интервал очистки буфера |
Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: |
Рабочие процессы |
Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA. |
Ожидание проверки работоспособности |
Частота проверки работоспособности в секундах. |
Отладка |
Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено. |
Дисковый буфер |
Раскрывающийся список, с помощью которого можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен. Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера. Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер. |
Фильтр |
В разделе можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. |
Тип correlator
Тип correlator используется для передачи данных в коррелятор.
Закладка Основные параметры
Параметр |
Описание |
---|---|
Название |
Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. |
Тенант |
Обязательный параметр. Название тенанта, которому принадлежит ресурс. |
Переключатель Выключено |
Используется, если события не нужно отправлять в точку назначения. По умолчанию отправка событий включена. |
Тип |
Обязательный параметр. Тип точки назначения, correlator. |
URL |
Обязательный параметр. URL, с которым необходимо установить связь. Доступные форматы: С помощью кнопки URL можно добавить несколько адресов. В поле URL поддерживается поиск сервисов по FQDN, IP-адресу и названию. Особенности поиска по указанным в поле значениям:
|
Описание |
Описание ресурса: до 4000 символов в кодировке Unicode. |
Закладка Дополнительные параметры
Параметр |
Описание |
---|---|
Прокси-сервер |
Раскрывающийся список для выбора прокси-сервера. |
Размер буфера |
Используется для установки размера буфера. Значение по умолчанию: 1 КБ; максимальное: 64 МБ. |
Время ожидания |
Время ожидания (в секундах) ответа другого сервиса или компонента. Значение по умолчанию: |
Размер дискового буфера |
Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ. |
Политика выбора URL |
Раскрывающийся список, в котором можно выбрать способ определения, на какой URL следует отправлять события, если URL было указано несколько:
|
Интервал очистки буфера |
Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: |
Рабочие процессы |
Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA. |
Ожидание проверки работоспособности |
Частота проверки работоспособности в секундах. |
Отладка |
Раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено. |
Дисковый буфер |
Раскрывающийся список, с помощью которого можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен. Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера. Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер. |
Фильтр |
В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. |
Предустановленные точки назначения
В поставку KUMA включены перечисленные в таблице ниже точки назначения.
Предустановленные точки назначения
Название точки назначения |
Описание |
[OOTB] Correlator |
Отправляет события в коррелятор. |
[OOTB] Storage |
Отправляет события в хранилище. |
Работа с событиями
В разделе События веб-интерфейса KUMA вы можете просматривать полученные программой события, чтобы расследовать угрозы безопасности или создавать правила корреляции. В таблице событий отображаются данные, полученные после выполнения SQL-запроса.
События можно отправлять в коррелятор для ретроспективной проверки.
Формат даты события зависит от языка локализации, выбранного в настройках программы. Возможные варианты формата даты:
- Английская локализация: ГГГГ-ММ-ДД.
- Русская локализация: ДД.ММ.ГГГГ.
Фильтрация и поиск событий
По умолчанию в разделе События веб-интерфейса KUMA данные не отображаются. Для просмотра событий в поле поиска нужно задать SQL-запрос и нажать на кнопку . SQL-запрос можно ввести вручную или сформировать с помощью конструктора запросов.
В SQL-запросах поддерживается агрегирование и группировка данных.
Вы можете добавить условия фильтрации в уже сформированный SQL-запрос в окне просмотра статистики, таблицы событий и области деталей событий:
- Изменение запроса из окна статистики
- Изменение запроса из таблицы событий
- Изменение запроса из области деталей события
После изменения запроса все параметры запроса, включая добавленные условия фильтрации, переносятся в конструктор и строку поиска.
Параметры запроса, введенного вручную в строке поиска, при переключении на конструктор не переносятся в конструктор: вам требуется создать запрос заново. При этом запрос, созданный в конструкторе, не перезаписывает запрос, введенный в строке поиска, пока вы не нажмете на кнопку Применить в окне конструктора.
В поле ввода SQL-запроса можно включить отображение непечатаемых символов.
События можно также фильтровать по временному периоду. Результаты поиска можно автоматически обновлять.
Конфигурацию фильтра можно сохранить. Существующие конфигурации фильтров можно удалить.
Функции фильтрации доступны пользователям всех ролей.
При обращении к некоторым полям событий с идентификаторами KUMA возвращает соответствующие им названия.
Подробнее об SQL см. в справке ClickHouse. Также см. использование операторов в KUMA и поддерживаемые функции.
Выбор хранилища
События, которые отображаются в веб-интерфейсе KUMA в разделе События, получены из хранилища (то есть кластера ClickHouse). В зависимости от потребностей вашей компании у вас может быть более одного хранилища, однако для получения событий необходимо указывать, события из какого именно хранилища вам требуются.
Чтобы выбрать хранилище, из которого вы хотите получать события,
В разделе События веб-интерфейса KUMA откройте раскрывающийся список и выберите нужный кластер хранилища.
В таблице событий отображаются события из указанного хранилища. Имя выбранного хранилища отображается в раскрывающемся списке .
В раскрывающемся списке отображаются только кластеры тенантов, доступных пользователю, а также кластер главного тенанта.
Формирование SQL-запроса с помощью конструктора
В KUMA вы можете сформировать SQL-запрос для фильтрации событий с помощью конструктора запросов.
Чтобы сформировать SQL-запрос с помощью конструктора:
- В разделе События веб-интерфейса KUMA нажмите на кнопку
.
Откроется окно конструктора запросов.
- Сформулируйте поисковый запрос, указав данные в следующих блоках параметров:
SELECT – поля событий, которые следует возвращать. По умолчанию выбрано значение *, означающее, что необходимо возвращать все доступные поля события. Чтобы вам проще было просматривать результаты поиска, в раскрывающемся списке вы можете выбрать необходимые поля, тогда в таблице будут отображаться данные только для выбранных полей. Стоит учитывать, что Select * в запросе увеличивает длительность выполнения запроса, но избавляет от необходимости прописывать поля в запросе вручную.
Выбрав поле события, вы можете в поле справа от раскрывающегося списка указать псевдоним для столбца выводимых данных, а в крайнем правом раскрывающемся списке можно выбрать операцию, которую следует произвести над данными: count, max, min, avg, sum.
Если вы используете в запросе функции агрегации, настройка отображения таблицы событий, сортировка событий по возрастанию и убыванию, а также получение статистики недоступны.
В режиме расследования алерта при фильтрации по событиям, связанным с алертами, невозможно производить операции над данными полей событий и присваивать названия столбцам выводимых данных.
- FROM – источник данных. Выберите значение events.
- WHERE – условия фильтрации событий.
Условия и группы условий можно добавить с помощью кнопок Добавить условие и Добавить группу. По умолчанию в группе условий выбрано значение оператора AND, однако если на него нажать, оператор можно изменить. Доступные значения: AND, OR, NOT. Структуру условий и групп условий можно менять, перетаскивая выражения с помощью мыши за значок
.
Добавление условий фильтра:
- В раскрывающемся списке слева выберите поле события, которое вы хотите использовать для фильтрации.
- В среднем раскрывающемся списке выберите нужный оператор. Доступные операторы зависят от типа значения выбранного поля события.
- Введите значение условия. В зависимости от выбранного типа поля вам потребуется ввести значение вручную, выбрать его в раскрывающемся списке или выбрать в календаре.
Условия фильтра можно удалить с помощью кнопки
. Группы условий удаляются с помощью кнопки Удалить группу.
- GROUP BY – поля событий или псевдонимы, по которым следует группировать возвращаемые данные.
Если вы используете в запросе группировку данных, настройка отображения таблицы событий, сортировка событий по возрастанию и убыванию, получение статистики, а также ретроспективная проверка недоступны.
В режиме расследования алерта при фильтрации по событиям, связанным с алертами, невозможно группировать возвращаемые данные.
- ORDER BY – столбцы, по которым следует сортировать возвращаемые данные. В раскрывающемся списке справа можно выбрать порядок: DESC – по убыванию, ASC – по возрастанию.
- LIMIT – количество отображаемых в таблице строк.
Значение по умолчанию – 250.
Если при фильтрации событий по пользовательскому периоду количество строк в результатах поиска превышает заданное значение, вы можете отобразить в таблице дополнительные строки, нажав на кнопку Показать больше записей. Кнопка не отображается при фильтрации событий по стандартному периоду.
- Нажмите на кнопку Применить.
Текущий SQL-запрос будет перезаписан. В поле поиска отобразится сформированный SQL-запрос.
Если вы хотите сбросить настройки конструктора, нажмите на кнопку Запрос по умолчанию.
Если вы хотите закрыть конструктор, не перезаписывая существующий запрос, нажмите на кнопку
.
- Для отображения данных в таблице нажмите на кнопку
.
В таблице отобразятся результаты поиска по сформированному SQL-запросу.
При переходе в другой раздел веб-интерфейса сформированный в конструкторе запрос не сохраняется. Если вы повторно вернетесь в раздел События, в конструкторе будет отображаться запрос по умолчанию.
Подробнее об SQL см. в справке ClickHouse. Также см. использование операторов в KUMA и поддерживаемые функции.
Создание SQL-запроса вручную
С помощью строки поиска вы можете вручную создавать SQL-запросы любой сложности для фильтрации событий.
Чтобы сформировать SQL-запрос вручную:
- Перейдите в раздел События веб-интерфейса KUMA.
Откроется форма с полем ввода.
- Введите SQL-запрос в поле ввода.
- Нажмите на кнопку
.
Отобразится таблица событий, соответствующих условиям вашего запроса. При необходимости вы можете отфильтровать события по периоду.
Поддерживаемые функции и операторы
SELECT
– поля событий, которые следует возвращать.Для
SELECT
в программе поддержаны следующие функции и операторы:- Функции агрегации:
count, avg, max, min, sum
. - Арифметические операторы:
+, -, *, /, <, >, =, !=, >=, <=
.Вы можете комбинировать эти функции и операторы.
Если вы используете в запросе функции агрегации, настройка отображения таблицы событий, сортировка событий по возрастанию и убыванию, а также получение статистики недоступны.
- Функции агрегации:
DISTINCT
– используется для удаления дубликатов из результирующего набора оператора SELECT. Следует использовать нотацию типа SELECT DISTINCT SourceAddress as Addressess FROM <остальная часть запроса
>.FROM
– источник данных.При создании запроса в качестве источника данных вам нужно указать значение events.
WHERE
– условия фильтрации событий.AND, OR, NOT, =, !=, >, >=, <, <=
IN
BETWEEN
LIKE
ILIKE
inSubnet
match
(в запросах используется синтаксис регулярных выражений re2, специальные символы требуется дополнительно экранировать с помощью обратной косой черты (\))
GROUP BY
– поля событий или псевдонимы, по которым следует группировать возвращаемые данные.Если вы используете в запросе группировку данных, настройка отображения таблицы событий, сортировка событий по возрастанию и убыванию, получение статистики, а также ретроспективная проверка недоступны.
ORDER BY
– столбцы, по которым следует сортировать возвращаемые данные.Возможные значения:
DESC
– по убыванию.ASC
– по возрастанию.
OFFSET
– пропуск указанного количества строк перед выводом результатов запроса.LIMIT
– количество отображаемых в таблице строк.Значение по умолчанию – 250.
Если при фильтрации событий по пользовательскому периоду количество строк в результатах поиска превышает заданное значение, вы можете отобразить в таблице дополнительные строки, нажав на кнопку Показать больше записей. Кнопка не отображается при фильтрации событий по стандартному периоду.
Примеры запросов:
SELECT * FROM `events` WHERE Type IN ('Base', 'Audit') ORDER BY Timestamp DESC LIMIT 250
Все события таблицы events с типом Base и Audit, отсортированные по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250.
SELECT * FROM `events` WHERE BytesIn BETWEEN 1000 AND 2000 ORDER BY Timestamp ASC LIMIT 250
Все события таблицы events, для которых в поле BytesIn значение полученного трафика находится в диапазоне от 1000 до 2000 байт, отсортированные по столбцу Timestamp в порядке возрастания. Количество отображаемых в таблице строк – 250.
SELECT * FROM `events` WHERE Message LIKE '%ssh:%' ORDER BY Timestamp DESC LIMIT 250
Все события таблицы events, которые в поле Message содержат данные, соответствующие заданному шаблону
%ssh:%
в нижнем регистре, и отсортированы по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250.SELECT * FROM `events` WHERE inSubnet(DeviceAddress, '00.0.0.0/00') ORDER BY Timestamp DESC LIMIT 250
Все события таблицы events для хостов, которые входят в подсеть 00.0.0.0/00, отсортированные по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250.
SELECT * FROM `events` WHERE match(Message, 'ssh.*') ORDER BY Timestamp DESC LIMIT 250
Все события таблицы events, которые в поле Message содержат текст, соответствующий шаблону
ssh.*
, и отсортированы по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250.SELECT max(BytesOut) / 1024 FROM `events`
Максимальный размер исходящего трафика (КБ) за выбранный период времени.
SELECT count(ID) AS "Count", SourcePort AS "Port" FROM `events` GROUP BY SourcePort ORDER BY Port ASC LIMIT 250
Количество событий и номер порта. События сгруппированы по номеру порта и отсортированы по столбцу Port в порядке возрастания. Количество отображаемых в таблице строк – 250.
Столбцу ID в таблице событий присвоено имя Count, столбцу SourcePort присвоено имя Port.
Если вы хотите указать в запросе специальный символ, вам требуется экранировать его, поместив перед ним обратную косую черту (\).
Пример:
Все события таблицы events, которые в поле Message содержат текст, соответствующий шаблону |
При создании нормализатора для событий вы можете выбрать, сохранять ли значения полей исходного события. Данные сохраняются в поле события Extra. Поиск событий по этому полю осуществляется с помощью оператора LIKE.
Пример:
Все события таблицы events для хостов с IP-адресом 00.00.00.000, на которых запущен процесс example, отсортированные по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250. |
При переключении на конструктор параметры запроса, введенного вручную в строке поиска, не переносятся в конструктор: вам требуется создать запрос заново. При этом запрос, созданный в конструкторе, не перезаписывает запрос, введенный в строке поиска, пока вы не нажмете на кнопку Применить в окне конструктора.
Используемые в поисковых запросах псевдонимы не должны содержать пробелов.
Подробнее об SQL см. в справке ClickHouse. Также см. поддерживаемые функции ClickHouse.
Фильтрация событий по периоду
В KUMA вы можете настроить отображение событий, относящихся к определенному временному периоду.
Чтобы отфильтровать события по периоду:
- В разделе События веб-интерфейса KUMA в верхней части окна откройте раскрывающийся список Период.
- Если вы хотите выполнить фильтрацию по стандартному периоду, выберите один из следующих вариантов:
- 5 минут
- 15 минут
- 1 час
- 24 часа
- В течение периода
При выборе этого варианта в открывшемся календаре выберите дату начала и окончания периода и нажмите Применить фильтр. Формат даты и времени зависит от настроек вашей операционной системы. При необходимости вы также можете изменить значения даты вручную.
- Нажмите на кнопку
.
Если установлен фильтр по периоду, отобразятся только события, зарегистрированные в течение указанного интервала времени. Период отобразится в верхней части окна.
Вы также можете настроить отображение событий с помощью гистограммы событий, которая отображается при нажатии на кнопку в верхней части раздела События. События отобразятся, если нажать на нужный ряд данных или выделить требуемый период времени и нажать на кнопку Показать события.
Отображение названий вместо идентификаторов
При обращении к некоторым полям событий, содержащих идентификаторы, KUMA возвращает не идентификаторы, а соответствующие им названия. Это сделано для удобства восприятия информации. Например, если вы обратитесь к полю события TenantID
(в который записывается идентификатор тенанта), вы получите значение из поля событий TenantName
(в которое записывается название тенанта).
При экспорте событий в файл записываются значения из обоих полей: и с идентификатором, и с названием.
В таблице ниже перечислены поля, при обращении к которым происходит замена:
Запрашиваемое поле |
Поле, из которого возвращается значение |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Замена не происходит, если в SQL-запросе полю присвоен псевдоним. Примеры:
SELECT TenantID FROM `events` LIMIT 250
– в результате поиска в поле TenantID будет отображаться название тенанта.SELECT TenantID AS Tenant_name FROM `events` LIMIT 250
– в результате поиска в поле Tenant_name будет отображаться идентификатор тенанта.
Пресеты
Вы можете использовать
для упрощения работы с запросами, если вы регулярно хотите просматривать данные по определенному набору полей событий. В строке с SQL-запросом можно ввестиSelect *
и выбрать сохраненный пресет - выдача будет ограничена только указанными в пресете полями. Такой способ снижает производительность, но при этом избавляет от необходимости каждый раз писать запрос вручную. Пресеты сохраняются на сервере Ядра KUMA и доступны всем пользователям KUMA для указанного тенанта.
Чтобы создать пресет:
- В разделе События нажмите на значок
.
- В открывшемся окне на вкладке Столбцы полей событий выберите необходимые поля.
Для упрощения поиска можно начать набирать название поля в области Поиск.
- Чтобы сохранить выбранные поля, нажмите Сохранить текущий пресет.
Откроется окно Новый пресет.
- В открывшемся окне укажите Название пресета и выберите Тенанта в выпадающем списке.
- Нажмите Сохранить.
Пресет создан и сохранен.
Чтобы применить пресет:
- В поле ввода запроса введите Select *.
- В разделе События веб-интерфейса KUMA нажмите на значок
.
- В открывшемся окне на вкладке Пресеты выберите нужный пресет и нажмите на кнопку
.
Поля из выбранного пресета будут добавлены в поле с SQL-запросом, а столбцы будут добавлены в таблицу. В конструкторе запросов изменений не произойдет.
- Нажмите на кнопку
, чтобы выполнить запрос.
После выполнения запроса столбцы будут заполнены.
Ограничение сложности запросов в режиме расследования алерта
При расследовании алерта сложность SQL-запросов для фильтрации событий ограничена, если при расследовании алерта в раскрывающемся списке выбран пункт События алерта. В этом случае для фильтрации событий доступны только перечисленные ниже функции и операторы.
При выборе в раскрывающемся списке пункта Все события эти ограничения не действуют.
SELECT
- В качестве символа подстановки используется
*
.
- В качестве символа подстановки используется
WHERE
AND
,OR
,NOT
,=
,!=
,>
,>=
,<
,<=
IN
BETWEEN
LIKE
inSubnet
Примеры:
WHERE Type IN ('Base', 'Correlated')
WHERE BytesIn BETWEEN 1000 AND 2000
WHERE Message LIKE '%ssh:%'
WHERE inSubnet(DeviceAddress, '10.0.0.1/24')
ORDER BY
Сортировка возможна по столбцам.
OFFSET
Пропуск указанного количества строк перед выводом результатов запроса.
LIMIT
Значение по умолчанию – 250.
Если при фильтрации событий по пользовательскому периоду количество строк в результатах поиска превышает заданное значение, вы можете отобразить в таблице дополнительные строки, нажав на кнопку Показать больше записей. Кнопка не отображается при фильтрации событий по стандартному периоду.
В режиме расследования алерта при фильтрации по событиям, связанным с алертами, невозможно группировать возвращаемые данные. В режиме расследования алерта при фильтрации по событиям, связанным с алертами, невозможно производить операции над данными полей событий и присваивать названия столбцам выводимых данных.
В началоСохранение и выбор конфигураций фильтра событий
В KUMA вы можете сохранять конфигурации фильтров для использования в будущем. Другие пользователи также могут использовать сохраненные фильтры при условии, что у них есть соответствующие права доступа. При сохранении фильтра вы сохраняете настроенные параметры сразу всех активных фильтров: фильтр по периоду, конструктору запросов и параметры таблицы событий. Поисковые запросы сохраняются на сервере Ядра KUMA и доступны всем пользователям KUMA выбранного тенанта.
Чтобы сохранить текущие настройки фильтра, запроса и периода:
- В разделе События веб-интерфейса KUMA нажмите на значок
рядом с выражением фильтра и выберите Сохранить текущий фильтр.
- В открывшемся окне в поле Название введите название конфигурации фильтра. Название должно содержать до 128 символов в кодировке Unicode.
- В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать создаваемый фильтр.
- Нажмите Сохранить.
Конфигурация фильтра сохранена.
Чтобы выбрать ранее сохраненную конфигурацию фильтра:
в разделе События веб-интерфейса KUMA нажмите на значок рядом с выражением фильтра и выберите нужный фильтр.
Выбранная конфигурация активна: в поле поиска отображается поисковый запрос, в верхней части окна настроенные параметры периода и частоты обновления результатов поиска. Для отправки поискового запроса нажмите на кнопку .
Если нажать на значок рядом с названием конфигурации фильтра, она станет использоваться в качестве конфигурации по умолчанию.
Удаление конфигураций фильтра событий
Чтобы удалить ранее сохраненную конфигурацию фильтра:
- В разделе События веб-интерфейса KUMA нажмите на значок
рядом с поисковым запросом фильтра и нажмите значок
рядом с конфигурацией, которую требуется удалить.
- Нажмите ОК.
Конфигурация фильтра удалена для всех пользователей KUMA.
В началоПоддерживаемые функции ClickHouse
В KUMA поддерживаются следующие функции ClickHouse:
- Арифметические функции.
- Массивы – все функции, кроме:
- has;
- range;
- функций, в которых обязательны к использованию функции высшего порядка (стрелочные лямбда-выражения (->)).
- Функции сравнения: все операторы, кроме == и less.
- Логические функции: только функция not.
- Функции преобразования типов.
- Функции для работы с датами и временем: все функции, кроме date_add и date_sub.
- Функции для работы со строками.
- Функции поиска в строках – все функции, кроме:
- position;
- multiSearchAllPositions, multiSearchAllPositionsUTF8, multiSearchFirstPosition, multiSearchFirstIndex, multiSearchAny;
- like и ilike;
- Условные функции: только обычный оператор if (тернарный оператор и оператор miltif не поддерживаются).
- Математические функции.
- Функции округления.
- Функции разбиения и слияния строк и массивов.
- Битовые функции.
- Функции для работы с UUID.
- Функции для работы с URL.
- Функции для работы с IP-адресами.
- Функции для работы с Nullable-аргументами.
- Функции для работы с географическими координатами.
В KUMA 2.1.3 исправлены ошибки с работой оператора DISTINCT. При этом необходимо использовать нотацию типа SELECT DISTINCT SourceAddress as Addressess FROM <остальная часть запроса
>.
В KUMA 2.1.1 операторы SELECT DISTINCT SourceAddress или SELECT DISTINCT(SourceAddress), или SELECT DISTINCT ON (SourceAddress) работают некорректно.
Функции поиска и замены в строках, а также функции из остальных разделов не поддерживаются.
Подробнее об SQL см. в справке ClickHouse.
В началоПросмотр информации о событии
Чтобы просмотреть информацию о событии:
- В окне веб-интерфейса программы выберите раздел События.
- Выполните поиск событий с помощью конструктора запросов или введя запрос в строке поиска.
Отобразится таблица событий.
- Выберите событие, информацию о котором вы хотите просмотреть.
Откроется окно с информацией о событии.
В правой части окна отображается область деталей Информация о событии со списком параметров события и их значений. В этой области деталей можно:
- Включить выбранное поле в поиск или исключить его из поиска, нажав на
и
рядом со значением параметра.
- По хешу файла в поле FileHash раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Показать информацию из Threat Lookup.
Доступно при интеграции с Kaspersky Threat Intelligence Portal.
- Добавить в Internal TI CyberTrace.
- Доступно при интеграции с Kaspersky CyberTrace.
- Показать информацию из Threat Lookup.
- Открыть окно со сведениями об активе, если он упоминается в полях события и зарегистрирован в приложении.
- По ссылке с именем коллектора в поле Service вы можете просмотреть параметры сервиса, зарегистрировавшего событие.
Вы также можете привязать событие к алерту, если программа находится в режиме расследования алерта, и открыть окно Информация о корреляционном событии, если выбранное событие является корреляционным.
В области деталей Информация о событии в качестве значений перечисленных ниже параметров вместо идентификатора показывается название описываемого объекта. При этом, если изменить фильтрацию событий по этому параметру (например, нажать на значок , чтобы исключить из результатов поиска события с определенной комбинацией параметр-значение), в SQL-запрос будет добавлен идентификатор объекта, а не его название:
- TenantID
- SeriviceID
- DeviceAssetID
- SourceAssetID
- DestinationAssetID
- SourceAccountID
- DestinationAccountID
Экспорт событий
Из KUMA можно экспортировать информацию о событиях в TSV-файл. Выборка событий, которые будут экспортированы в TSV-файл, зависит от настроек фильтра. Информация экспортируется из столбцов, которые в данный момент отображаются в таблице событий, при этом столбцы в файле наполняются доступными данными, даже если в таблице событий в веб-интерфейсе KUMA они не отображались из-за особенностей SQL-запроса.
Чтобы экспортировать информацию о событиях:
- В разделе События веб-интерфейса KUMA откройте раскрывающийся список
и выберите Экспортировать в формат TSV.
Новая задача экспорта TSV-файла создается в разделе Диспетчер задач.
- Найдите созданную вами задачу в разделе Диспетчер задач.
Когда файл будет готов к загрузке, в строке задачи в столбце Статус отобразится значок
.
- Нажмите на название типа задачи и в раскрывающемся списке выберите Загрузить.
TSV-файл с информацией о событиях будет загружен с использованием настроек вашего браузера. Имя файла по умолчанию: event-export-<date>_<time>.tsv.
Файл сохраняется в соответствии с настройками вашего веб-браузера.
В началоНастройка таблицы событий
В разделе События отображаются ответы на SQL-запросы пользователя, представленные в виде таблицы. Поля, выбранные в пользовательском запросе, отображаются в конце таблицы, после столбцов по умолчанию. Таблицу можно обновлять.
Следующие столбцы в таблице событий отображаются по умолчанию:
- Тенант.
- Timestamp.
- Name.
- DeviceProduct.
- DeviceVendor.
- DestinationAddress.
- DestinationUserName.
В KUMA можно настроить отображаемый набор полей событий и порядок их отображения. Выбранную конфигурацию можно сохранить.
При использовании для фильтрации событий SQL-запросов с группировкой и агрегацией данных статистика недоступна, а состав и порядок столбцов зависит от SQL-запроса.
В таблице событий, в области деталей событий, в окне алертов, а также в виджетах в качестве значений полей SourceAssetID, DestinationAssetID, DeviceAssetID, SourceAccountID, DestinationAccountID и ServiceID вместо идентификаторов отображаются названия активов, учетных записей или сервисов. При экспорте событий в файл идентификаторы сохраняются, однако в файл добавляются столбцы с названиями. Идентификаторы также отображаются при наведении указателя мыши на названия активов, учетных записей или сервисов.
Поиск по полям с идентификаторами возможен только с помощью идентификаторов.
Чтобы настроить поля, отображаемые в таблице событий:
- В правом верхнем углу таблицы событий нажмите значок
.
Откроется окно для выбора полей событий, которые требуется отображать в таблице событий.
- Установите флажки напротив полей, которые требуется отображать в таблице. С помощью поля Поиск можно найти нужные поля.
Вы можете отобразить в таблице любое поле события из модели данных событий KUMA. Параметры Timestamp (Время) и Name (Название) всегда отображаются в таблице. С помощью кнопки По умолчанию можно вернуть исходные настройки отображения таблицы событий.
Когда вы устанавливаете флажок, таблица событий обновляется и добавляется новый столбец. При снятии флажка столбец исчезает.
Столбец можно удалить из таблицы событий, если нажать на его заголовок и в раскрывающемся списке выбрать Скрыть столбец.
- При необходимости измените порядок отображения столбцов, перетаскивая заголовки столбцов в таблице событий.
- Если вы хотите сортировать события по определенному столбцу, нажмите на его заголовок и в раскрывающемся списке выберите один из вариантов: По возрастанию или По убыванию.
Выбранные поля событий отобразятся в таблице раздела События в качестве столбцов в указанном вами порядке.
В началоОбновление таблицы событий
Таблицу событий можно обновлять, перегружая страницу веб-браузера. Можно также настроить автоматическое обновление таблицы событий, установив частоту обновления. По умолчанию автоматическое обновление отключено.
Чтобы включить автоматическое обновление,
Выберите частоту обновления в раскрывающемся списке :
- 5 секунд
- 15 секунд
- 30 секунд
- 1 минута
- 5 минут
- 15 минут
Таблица событий обновляется автоматически.
Чтобы выключить автоматические обновление,
Выберите Не обновлять в раскрывающемся списке .
Получение статистики по событиям в таблице
Вы можете получить статистику по текущей выборке событий, отображаемой в таблице событий. Выборка событий зависит от параметров фильтрации.
Чтобы получить статистику:
в правом верхнем углу таблицы событий в раскрывающемся списке выберите Статистика или в таблице событий нажмите на любое значение и в открывшемся контекстном меню выберите Статистика.
Появится область деталей Статистика со списком параметров текущей выборки событий. Числа возле каждого параметра указывают количество событий в выборке, для которых задан этот параметр. Если параметр раскрыть, отображается его пять наиболее частых значений. С помощью поля Поиск можно найти нужные параметры.
В отказоустойчивой конфигурации для всех полей событий, которые содержат FQDN Ядра, в разделе Статистика будет отображаться не FQDN, а "core".
В окне Статистика можно менять фильтр событий.
При использовании для фильтрации событий SQL-запросов с группировкой и агрегацией данных статистика недоступна.
В началоПросмотр информации о корреляционном событии
Вы можете просматривать подробные сведения о корреляционном событии в окне Информация о корреляционном событии.
Чтобы просмотреть информацию о корреляционном событии:
- В разделе События веб-интерфейса KUMA нажмите на корреляционное событие.
Вы можете использовать фильтры для поиска корреляционных событий, присвоив значение
correlated
параметруType
.Откроется область деталей выбранного события. Если выбранное событие является корреляционным, в нижней части области деталей будет отображаться кнопка Подробные сведения.
- Нажмите на кнопку Подробные сведения.
Откроется окно корреляционного события. Название события отображается в левом верхнем углу окна.
В разделе Информация о корреляционном событии окна корреляционного события отображаются следующие данные:
- Уровень важности корреляционного события – важность корреляционного события.
- Правило корреляции – название правила корреляции, которое породило корреляционное событие. Название правила представлено в виде ссылки, по которой можно перейти к настройкам этого правила корреляции.
- Уровень важности правила корреляции – важность правила корреляции, вызвавшего корреляционное событие.
- Идентификатор правила корреляции – идентификатор правила корреляции, которое породило корреляционное событие.
- Тенант – название тенанта, которому принадлежит корреляционное событие.
Раздел Связанные события окна корреляционного события содержит таблицу событий, относящихся к корреляционному событию. Это базовые события, в результате обработки которых было создано корреляционное событие. При выборе события в правой части окна веб-интерфейса открывается область деталей.
Ссылка Найти в событиях справа от заголовка раздела используется для расследования алерта.
Раздел Связанные активы окна корреляционного события содержит таблицу узлов, относящихся к корреляционному событию. Эта информация поступает из базовых событий, связанных с корреляционным событием. При нажатии на название актива открывается окно Информация об активе.
Раздел Связанные пользователи окна корреляционного события содержит таблицу пользователей, относящихся к корреляционному событию. Эта информация поступает из базовых событий, связанных с корреляционным событием.
Нормализаторы
Нормализаторы предназначены для приведения исходных событий, которые поступают из разных источников в различных форматах, к модели данных событий KUMA. Нормализованные события становятся доступны для обработки другими ресурсами и сервисами KUMA.
Нормализатор состоит из основного и необязательных дополнительных правил парсинга событий. С помощью создания основного и множества дополнительных правил парсинга можно реализовать сложную логику обработки событий. Данные передаются по древовидной структуре правил парсинга в зависимости от условий, заданных в параметре
Условия дополнительной нормализации. Последовательность создания правил парсинга имеет значение: событие обрабатывается последовательно и последовательность обработки обозначена стрелками.
Нормализатор создается в несколько этапов:
- Подготовка к созданию нормализатора
Нормализатор можно создать в веб-интерфейсе KUMA:
- В разделе Ресурсы → Нормализаторы.
- При создании коллектора на шаге Парсинг событий.
Затем в нормализаторе необходимо создать правила парсинга.
- Создание основного правила парсинга событий
Основное правило парсинга создается с помощью кнопки Добавить парсинг событий. При этом открывается окно Парсинг событий, в котором вы можете задать параметры основного правила парсинга:
- Задать параметры парсинга событий.
- Задать параметры обогащения событий.
Основное правило парсинга событий отображается в нормализаторе в виде темного кружка. Параметры основного правила парсинга можно просмотреть или изменить, нажав на его кружок. При наведении на кружок отображается значок плюса: при нажатии на него можно добавить дополнительные правила парсинга.
Название основного правила парсинга используется в KUMA в качестве названия нормализатора.
- Создание дополнительных правил парсинга событий
При нажатии на значок плюса, который отображается при наведении указателя мыши на кружок или блок, обозначающей нормализатор событий, откроется окно Дополнительный парсинг событий, в котором вы можете задать параметры дополнительного правила парсинга:
- Определить условия, при которых данные будут поступать в новый нормализатор.
- Задать параметры парсинга событий.
- Задать параметры обогащения событий.
Дополнительное правило парсинга событий отображается в нормализаторе виде темного блока. На блоке указаны условия, при котором дополнительное правило парсинга будет задействовано, название дополнительного правила парсинга, а также поле события, при наличии которого данные передаются в нормализатор. Параметры дополнительного правила парсинга можно просмотреть или изменить, нажав его блок.
Если навести указатель мыши на дополнительный нормализатор, отобразится кнопка со значком плюса, с помощью которой можно создать новое дополнительное правило парсинга событий. С помощью кнопки со значком корзины нормализатор можно удалить.
- Завершение создания нормализатора
Создание нормализатора завершается нажатием кнопки Сохранить.
В верхнем правом углу в поле поиска можно искать дополнительные правила парсинга по названию.
Для ресурсов нормализатора в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов.
Если вы, меняя параметры набора ресурсов коллектора, измените или удалите преобразования в подключенном к нему нормализаторе, правки не сохранятся, а сам нормализатор может быть поврежден. При необходимости изменить преобразования в нормализаторе, который уже является частью сервиса, вносите правки непосредственно в нормализатор в разделе веб-интерфейса Ресурсы → Нормализаторы.
Параметры парсинга событий
При создании правил парсинга событий в окне параметров нормализатора в закладке Схема нормализации вы можете настроить правила приведения поступающих событий к формату KUMA.
Доступные параметры:
- Название (обязательно) – название правил парсинга. Должно содержать от 1 до 128 символов в кодировке Unicode. Название основного правила парсинга будет использоваться в качестве названия нормализатора.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
Этот параметр недоступен для дополнительных правил парсинга.
- Метод парсинга (обязательно) – выпадающий список для выбора типа входящих событий. В зависимости от выбора можно будет воспользоваться преднастроенными правилами сопоставления полей событий или же задать свои собственные правила. При выборе некоторых методов парсинга могут стать доступны дополнительные параметры, требуемые для заполнения.
Доступные методы парсинга:
- Сохранить исходное событие (обязательно) – с помощью этого раскрывающегося списка можно указать, надо ли сохранять исходное событие во вновь созданном нормализованном событии. Доступные значения:
- Не сохранять – не сохранять исходное событие. Это значение используется по умолчанию.
- При возникновении ошибок – сохранять исходное событие в поле
Raw
нормализованного события, если в процессе парсинга возникли ошибки. Это значение удобно использовать при отладке сервиса: в этом случае появление у событий непустого поляRaw
будет являться признаком неполадок.Если поля с названиями
*Address
или*Date*
не соответствуют правилам нормализации, такие поля игнорируются. При этом не возникает ошибка нормализации и значения полей не попадают в полеRaw
нормализованного события, даже если был указан параметр Сохранить исходное событие → При возникновении ошибок. - Всегда – сохранять сырое событие в поле
Raw
нормализованного события.
Этот параметр недоступен для дополнительных правил парсинга.
- Сохранить дополнительные поля (обязательно) – в этом раскрывающемся списке можно выбрать, хотите ли вы сохранять поля и их значения, для которых не настроены правила сопоставления (см. ниже). Эти данные сохраняются в поле события
Extra
в виде массива. Нормализованные события можно искать и фильтровать по данным, хранящимся в полеExtra
.Фильтрация по данным из поля события Extra
По умолчанию дополнительные поля не сохраняются.
- Описание – описание ресурса: до 4000 символов в кодировке Unicode.
Этот параметр недоступен для дополнительных правил парсинга.
- Примеры событий – в это поле можно поместить пример данных, которые вы хотите обработать.
Этот параметр недоступен для методов парсинга netflow5, netflow9, sflow5, ipfix, sql.
Поле Примеры событий заполняется данными, полученными из сырого события, если парсинг события был выполнен успешно и тип полученных из сырого события данных совпадает с типом поля KUMA.
Например, значение "192.168.0.1", заключенное в кавычки не будет отображено в поле SourceAddress, при этом значение 192.168.0.1 будет отображено в поле Примеры событий.
- Блок параметров Сопоставление – здесь можно настроить сопоставление полей исходного события с полями события в формате KUMA:
- Исходные данные – столбец для названий полей исходного события, которые вы хотите преобразовать в поля события KUMA.
Если рядом с названиями полей в столбце Исходные данные нажать на кнопку
, откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA. В окне Преобразования добавленные правила можно менять местами, перетягивая их за значок
, а также удалять с помощью значка
.
- Поле KUMA – раскрывающийся список для выбора требуемых полей событий KUMA. Поля можно искать, вводя в поле их названия.
- Подпись – в этом столбце можно добавить уникальную пользовательскую метку полям событий, которые начинаются с
DeviceCustom*
иFlex*
.
Новые строки таблицы можно добавлять с помощью кнопки Добавить строку. Строки можно удалять по отдельности с помощью кнопки
или все сразу с помощью кнопки Очистить все.
Если вы загрузили данные в поле Примеры событий, в таблице отобразится столбец Примеры с примерами значений, переносимых из поля исходного события в поле события KUMA.
Если размер поля события KUMA оказывается меньше длины помещаемого в него значения, значение обрезается до размера поля события.
- Исходные данные – столбец для названий полей исходного события, которые вы хотите преобразовать в поля события KUMA.
Обогащение в нормализаторе
При создании правил парсинга событий в окне параметров нормализатора в закладке Обогащение вы можете настроить правила дополнения полей нормализованного события другими данными с помощью правил обогащения. Эти правила хранятся в параметрах нормализатора, в котором они были созданы.
Обогащения создаются с помощью кнопки Добавить обогащение. Правил обогащения может быть несколько. Правила обогащения можно удалять с помощью кнопки .
Параметры, доступные в блоке параметров правила обогащения:
- Тип источника (обязательно) – раскрывающийся список для выбора типа обогащения. В зависимости от выбранного типа отобразятся дополнительные параметры, которые также потребуется заполнить.
Доступные типы источников обогащения:
- Целевое поле (обязательно) – раскрывающийся список для выбора поля события KUMA, в которое следует поместить данные.
Этот параметр недоступен для типа источника обогащения таблица.
Условия передачи данных в дополнительный нормализатор
При создании дополнительных правил парсинга событий вы можете задать условия, при выполнении которых события будут поступать на обработку в это правило парсинга. Условия можно задать в окне Дополнительное правило парсинга в закладке Условия дополнительной нормализации. В основных правилах парсинга эта закладка отсутствует.
Доступные параметры:
- Поле, которое следует передать в нормализатор – используется для указания поля события в том случае, если вы хотите отправлять на дополнительный парсинг только события с заданными в параметрах нормализатора полями.
Если оставить это поле пустым, в дополнительный нормализатор будет передано событие целиком.
- Блок фильтров – используется для формулирования сложных условий, которым должны удовлетворять события, поступающие в нормализатор.
С помощью кнопки Добавить условие можно добавить строку с полями для определения условия (см. ниже).
С помощью кнопки Добавить группу можно добавить группу фильтров. Можно переключать групповые операторы между И, ИЛИ, НЕ. В группы фильтров можно добавить другие группы условий и отдельные условия.
Условия и группы можно менять местами, перетягивая их за значок
, а также удалять с помощью значка
.
Параметры условий фильтра:
- Левый операнд и Правый операнд – используются для указания значений, которые будет обрабатывать оператор.
В левом операнде следует указывать исходное поле событий, поступающих в нормализатор. Например, если в окне Основной парсинг событий настроено сопоставление eventType - DeviceEventClass, то в окне Дополнительный парсинг событий на вкладке Условия дополнительной нормализации в поле левого операнда для фильтра следует указать eventType. Данные обрабатываются только как текстовые строки.
- Операторы:
- = – полное совпадение левого и правого операндов.
- startsWith – левый операнд начинается с символов, указанных в правом операнде.
- endsWith – левый операнд заканчивается символами, указанными в правом операнде.
- match – левые операнд соответствует регулярному выражению (RE2), указанному в правом операнде.
- in – левый операнд соответствует одному из значений, указанных в правом операнде.
Поступающие данные можно предварительно преобразовать, если нажать на кнопку : откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как над ними будут совершены какие-либо действия. В окне Преобразования добавленные правила можно менять местами, перетягивая их за значок
, а также удалять с помощью значка
.
Поддерживаемые источники событий
KUMA поддерживает нормализацию событий, которые поступают от систем, перечисленных в таблице "Поддерживаемые источники событий". Нормализаторы для указанных систем включены в поставку.
Поддерживаемые источники событий
Название системы |
Название нормализатора |
Тип |
Описание нормализатора |
---|---|---|---|
1C EventJournal |
[OOTB] 1C EventJournal Normalizer |
xml |
Предназначен для обработки журнала событий системы 1С. Источник событий — журнал регистрации 1C. |
1C TechJournal |
[OOTB] 1C TechJournal Normalizer |
regexp |
Предназначен для обработки технологического журнала событий. Источник событий — технологический журнал 1С. |
Absolute Data and Device Security (DDS) |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
AhnLab Malware Defense System (MDS) |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Ahnlab UTM |
[OOTB] Ahnlab UTM |
regexp |
Предназначен для обработки событий от системы Ahnlab. Источник событий - системные, операционные журналы, подключения, модуль IPS. |
AhnLabs MDS |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Apache Cassandra |
[OOTB] Apache Cassandra file |
regexp |
Предназначен для обработки событий в журналах СУБД Apache Cassandra версии 4.0. |
Aruba ClearPass |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Avigilon Access Control Manager (ACM) |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Ayehu eyeShare |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Barracuda Networks NG Firewall |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
BeyondTrust Privilege Management Console |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
BeyondTrust’s BeyondInsight |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Bifit Mitigator |
[OOTB] Bifit Mitigator Syslog |
Syslog |
Предназначен для обработки событий от системы защиты от DDOS Mitigator, поступающих по Syslog. |
Bloombase StoreSafe |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
BMC CorreLog |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Bricata ProAccel |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Brinqa Risk Analytics |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Broadcom Symantec Advanced Threat Protection (ATP) |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Broadcom Symantec Endpoint Protection |
[OOTB] Broadcom Symantec Endpoint Protection |
regexp |
Предназначен для обработки событий от системы Symantec Endpoint Protection. |
Broadcom Symantec Endpoint Protection Mobile |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Broadcom Symantec Threat Hunting Center |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Canonical LXD |
[OOTB] Canonical LXD syslog |
Syslog |
Предназначен для обработки событий, поступающих по syslog от системы Canonical LXD версии 5.18. |
Checkpoint |
[OOTB] Checkpoint Syslog CEF by CheckPoint |
Syslog |
Предназначен для обработки событий, поступающих от источника событий Checkpoint по протоколу Syslog в формате CEF. |
Cisco Access Control Server (ACS) |
[OOTB] Cisco ACS syslog |
regexp |
Предназначен для обработки событий системы Cisco Access Control Server (ACS), поступающих по Syslog. |
Cisco ASA |
[OOTB] Cisco ASA Extended v 0.1 |
Syslog |
Предназначен для обработки событий устройств Cisco ASA. Cisco ASA базовый расширенный набор событий. |
Cisco Email Security Appliance (WSA) |
[OOTB] Cisco WSA AccessFile |
regexp |
Предназначен для обработки журнала событий прокси-сервера Cisco Email Security Appliance (WSA), файл access.log. |
Cisco Identity Services Engine (ISE) |
[OOTB] Cisco ISE syslog |
regexp |
Предназначен для обработки событий системы Cisco Identity Services Engine (ISE), поступающих по Syslog. |
Cisco Netflow v5 |
[OOTB] NetFlow v5 |
netflow5 |
Предназначен для обработки событий, поступающих Cisco Netflow версии 5. |
Cisco NetFlow v9 |
[OOTB] NetFlow v9 |
netflow9 |
Предназначен для обработки событий, поступающих Cisco Netflow версии 9. |
Cisco Prime |
[OOTB] Cisco Prime syslog |
Syslog |
Предназначен для обработки событий системы системы Cisco Prime версии 3.10, поступающих по syslog. |
Cisco Secure Email Gateway (SEG) |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Cisco Secure Firewall Management Center |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Citrix NetScaler |
[OOTB] Citrix NetScaler |
regexp |
Предназначен для обработки событий, поступающих от балансировщика нагрузки Citrix Netscaller версии 13.7. |
Claroty Continuous Threat Detection |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
CloudPassage Halo |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Сodemaster Mirada |
[OOTB] Сodemaster Mirada syslog |
Syslog |
Предназначен для обработки событий системы Сodemaster Mirada, поступающих по syslog. |
Corvil Network Analytics |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Cribl Stream |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
CrowdStrike Falcon Host |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
CyberArk Privileged Threat Analytics (PTA) |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
CyberPeak Spektr |
[OOTB] CyberPeak Spektr syslog |
Syslog |
Предназначен для обработки событий системы CyberPeak Spektr версии 3, поступающих по syslog. |
DeepInstinct |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Delinea Secret Server |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Digital Guardian Endpoint Threat Detection |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
DNS сервер BIND |
[OOTB] BIND Syslog [OOTB] BIND file |
Syslog regexp |
[OOTB] BIND Syslog предназначен для обработки событий DNS-сервера BIND, поступающих по Syslog. [OOTB] BIND file предназначен для обработки журналов событий DNS-сервера BIND. |
Dovecot |
[OOTB] Dovecot Syslog |
Syslog |
Предназначен для обработки событий почтового сервера Dovecot, поступающих по Syslog. Источник событий — журналы POP3/IMAP. |
Dragos Platform |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
EclecticIQ Intelligence Center |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Edge Technologies AppBoard and enPortal |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Eltex MES Switches |
[OOTB] Eltex MES Switches |
regexp |
Предназначен для обработки событий от сетевых устройств Eltex. |
Eset Protect |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
F5 BigIP Advanced Firewall Manager (AFM) |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
FFRI FFR yarai |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
FireEye CM Series |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
FireEye Malware Protection System |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Forcepoint NGFW |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Forcepoint SMC |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Fortinet FortiGate |
[OOTB] Syslog-CEF |
regexp |
Предназначен для обработки событий в формате CEF. |
Fortinet FortiGate |
[OOTB] FortiGate syslog KV |
Syslog |
Предназначен для обработки событий, поступающих от межсетевых экранов FortiGate по syslog. Источник событий - журналы FortiGate в формате key-value. |
Fortinet Fortimail |
[OOTB] Fortimail |
regexp |
Предназначен для обработки событий системы защиты электронной почты FortiMail. Источник событий — журналы почтовой системы Fortimail. |
Fortinet FortiSOAR |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
FreeIPA |
[OOTB] FreeIPA |
json |
Предназначен для обработки событий, поступающих от системы FreeIPA. Источник событий — журналы службы каталогов Free IPA. |
FreeRADIUS |
[OOTB] FreeRADIUS syslog |
Syslog |
Предназначен для обработки событий системы FreeRADIUS, поступающих по Syslog. Нормализатор поддерживает события от FreeRADIUS версии 3.0. |
Gardatech GardaDB |
[OOTB] Gardatech GardaDB syslog |
Syslog |
Предназначен для обработки событий системы Gardatech GardaDB, поступающих по syslog в формате, схожим с CEF. |
Gardatech Perimeter |
[OOTB] Gardatech Perimeter syslog |
Syslog |
Предназначен для обработки событий системы Gardatech Perimeter версии 5.3, поступающих по syslog. |
Gigamon GigaVUE |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
HAProxy |
[OOTB] HAProxy syslog |
Syslog |
Предназначен для обработки журналов системы HAProxy. Нормализатор поддерживает события типа HTTP log, TCP log, Error log от HAProxy версии 2.8. |
Huawei Eudemon |
[OOTB] Huawei Eudemon |
regexp |
Предназначен для обработки событий, поступающих от межсетевых экранов Huawei Eudemon. Источник событий — журналы межсетевых экранов Huawei Eudemon. |
Huawei USG |
[OOTB] Huawei USG Basic |
Syslog |
Предназначен для обработки событий, поступающих от шлюзов безопасности Huawei USG по Syslog. |
IBM InfoSphere Guardium |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Ideco UTM |
[OOTB] Ideco UTM Syslog |
Syslog |
Предназначен для обработки событий, поступающих от Ideco UTM по Syslog. Нормализатор поддерживает обработку событий Ideco UTM версии 14.7, 14.10. |
Illumio Policy Compute Engine (PCE) |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Imperva Incapsula |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Imperva SecureSphere |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Orion Soft |
[OOTB] Orion Soft zVirt syslog |
regexp |
Предназначен для обработки событий системы виртуализации Orion Soft версии 3.1. |
Indeed PAM |
[OOTB] Indeed PAM syslog |
Syslog |
Предназначен для обработки событий Indeed PAM (Privileged Access Manager) версии 2.6. |
Indeed SSO |
[OOTB] Indeed SSO |
xml |
Предназначен для обработки событий системы Indeed SSO (Single Sign-On). |
InfoWatch Traffic Monitor |
[OOTB] InfoWatch Traffic Monitor SQL |
sql |
Предназначен для обработки событий, полученных коннектором из базы данных системы InfoWatch Traffic Monitor. |
Intralinks VIA |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
IPFIX |
[OOTB] IPFIX |
ipfix |
Предназначен для обработки событий в формате IP Flow Information Export (IPFIX). |
Juniper JUNOS |
[OOTB] Juniper - JUNOS |
regexp |
Предназначен для обработки событий аудита, поступающих от сетевых устройств Juniper. |
Kaspersky Anti Targeted Attack (KATA) |
[OOTB] KATA |
cef |
Предназначен для обработки алертов или событий из журнала активности Kaspersky Anti Targeted Attack. |
Kaspersky CyberTrace |
[OOTB] CyberTrace |
regexp |
Предназначен для обработки событий Kaspersky CyberTrace. |
Kaspersky Endpoint Detection and Response (KEDR) |
[OOTB] KEDR telemetry |
json |
Предназначен для обработки телеметрии Kaspersky EDR, размеченных KATA. Источник событий — kafka, EnrichedEventTopic |
Kaspersky Industrial CyberSecurity for Networks |
[OOTB] KICS4Net v2.x |
cef |
Предназначен для обработки событий Kaspersky Industrial CyberSecurity for Networks версии 2.х. |
Kaspersky Industrial CyberSecurity for Networks |
[OOTB] KICS4Net v3.x |
Syslog |
Предназначен для обработки событий Kaspersky Industrial CyberSecurity for Networks версии 3.х. |
Kaspersky Security Center |
[OOTB] KSC |
cef |
Предназначен для обработки событий Kaspersky Security Center по Syslog. |
Kaspersky Security Center |
[OOTB] KSC from SQL |
sql |
Предназначен для обработки событий, полученных коннектором из базы данных системы Kaspersky Security Center. |
Kaspersky Security for Linux Mail Server (KLMS) |
[OOTB] KLMS Syslog CEF |
Syslog |
Предназначен для обработки событий, поступающих от Kaspersky Security for Linux Mail Server в формате CEF по Syslog. |
Kaspersky Security Mail Gateway (KSMG) |
[OOTB] KSMG Syslog CEF |
Syslog |
Предназначен для обработки событий Kaspersky Security Mail Gateway версии 2.0 в формате CEF по Syslog. |
Kaspersky Web Traffic Security (KWTS) |
[OOTB] KWTS Syslog CEF |
Syslog |
Предназначен для обработки событий, поступающих от Kaspersky Web Traffic Security в формате CEF по Syslog. |
Kaspersky Web Traffic Security (KWTS) |
[OOTB] KWTS (KV) |
Syslog |
Предназначен для обработки событий Kaspersky Web Traffic Security для формата Key-Value. |
Kemptechnologies LoadMaster |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Kerio Control |
[OOTB] Kerio Control |
Syslog |
Предназначен для обработки событий межсетевых экранов Kerio Control. |
KUMA |
[OOTB] KUMA forwarding |
json |
Предназначен для обработки событий, перенаправленных из KUMA. |
Libvirt |
[OOTB] Libvirt syslog |
Syslog |
Предназначен для обработки событий Libvirt версии 8.0.0, поступающих по syslog. |
Lieberman Software ERPM |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Linux |
[OOTB] Linux audit and iptables Syslog |
Syslog |
Предназначен для обработки событий операционной системы Linux. Этот нормализатор будет удалён из набора OOTB через релиз. Если вы используете этот нормализатор, вам необходимо перейти на использование нормализатора [OOTB] Linux audit and iptables Syslog v1. |
Linux |
[OOTB] Linux audit and iptables Syslog v1 |
Syslog |
Предназначен для обработки событий операционной системы Linux. |
Linux |
[OOTB] Linux audit.log file |
regexp |
Предназначен для обработки журналов безопасности операционных систем семейства Linux, поступающих по Syslog. |
MariaDB |
[OOTB] MariaDB Audit Plugin Syslog |
Syslog |
Предназачен для обработки событий, поступающих от плагина аудита MariaDB Audit по Syslog. |
Microsoft DHCP |
[OOTB] MS DHCP file |
regexp |
Предназначен для обработки событий от DHCP-сервера Microsoft. Источник событий — журналы DHCP сервера Windows. |
Microsoft DNS |
[OOTB] DNS Windows |
regexp |
Предназначен для обработки событий DNS сервера Microsoft. Источник событий — журналы DNS сервера Windows. |
Microsoft Exchange |
[OOTB] Exchange CSV |
csv |
Предназначен для обработки журнала событий системы Microsoft Exchange. Источник событий — журналы MTA сервера Exchange. |
Microsoft IIS |
[OOTB] IIS Log File Format |
regexp |
Нормализатор обрабатывает события в формате, описанном по ссылке: https://learn.microsoft.com/en-us/windows/win32/http/iis-logging. Источник событий — журналы Microsoft IIS. |
Microsoft Network Policy Server (NPS) |
[OOTB] Microsoft Products |
xml |
Нормализатор предназначен для обработки событий операционной системы Microsoft Windows. Источник событий — события Network Policy Server. |
Microsoft Sysmon |
[OOTB] Microsoft Products |
xml |
Нормализатор предназначен для обработки событий модуля Microsoft Sysmon. |
Microsoft Windows |
[OOTB] Microsoft Products |
xml |
Нормализатор предназначен для обработки событий операционной системы Microsoft Windows. |
Microsoft PowerShell |
[OOTB] Microsoft Products |
xml |
Нормализатор предназначен для обработки событий операционной системы Microsoft Windows. |
Microsoft SQL Server |
[OOTB] Microsoft SQL Server xml |
xml |
Предназначен для обработки событий MS SQL Server версии 2008, 2012, 2014, 2016. |
Microsoft Windows Remote Desktop Services |
[OOTB] Microsoft Products |
xml |
Нормализатор предназначен для обработки событий операционной системы Microsoft Windows. Источник событий — журнал Applications and Services Logs - Microsoft - Windows - TerminalServices-LocalSessionManager - Operational |
Microsoft Windows XP/2003 |
[OOTB] SNMP. Windows {XP/2003} |
json |
Предназначен для обработки событий, поступающих от рабочих станций и серверов под управлением операционных систем Microsoft Windows XP, Microsoft Windows 2003 с использованием протокола SNMP. |
MikroTik |
[OOTB] MikroTik syslog |
regexp |
Предназначен для событий, поступающих от устройств MikroTik по Syslog. |
Minerva Labs Minerva EDR |
[OOTB] Minerva EDR |
regexp |
Предназначен для обработки событий от EDR системы Minerva. |
MySQL 5.7 |
[OOTB] MariaDB Audit Plugin Syslog |
Syslog |
Предназачен для обработки событий, поступающих от плагина аудита MariaDB Audit по Syslog. |
NetIQ Identity Manager |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
NetScout Systems nGenius Performance Manager |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Netskope Cloud Access Security Broker |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Netwrix Auditor |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Nextcloud |
[OOTB] Nextcloud syslog |
Syslog |
Предназначен для событий Nextcloud версии 26.0.4, поступающих по syslog. Нормализатор не сохраняет информацию из поля Trace. |
Nexthink Engine |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Nginx |
[OOTB] Nginx regexp |
regexp |
Предназначен для обработки событий журнала веб-сервера Nginx. |
NIKSUN NetDetector |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
One Identity Privileged Session Management |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Open VPN |
[OOTB] OpenVPN file |
regexp |
Предназначен для обработки журнала системы OpenVPN. |
Oracle |
[OOTB] Oracle Audit Trail |
sql |
Предназначен для обработки событий аудита БД, полученных коннектором непосредственно из базы данных Oracle. |
PagerDuty |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Palo Alto Cortex Data Lake |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Palo Alto Networks NGFW |
[OOTB] PA-NGFW (Syslog-CSV) |
Syslog |
Предназначен для обработки событий от межсетевых экранов Palo Alto Networks, поступающих по Syslog в формате CSV. |
Palo Alto Networks PANOS |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Penta Security WAPPLES |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Positive Technologies ISIM |
[OOTB] PTsecurity ISIM |
regexp |
Предназначен для обработки событий от системы PT Industrial Security Incident Manager. |
Positive Technologies Network Attack Discovery (NAD) |
[OOTB] PTsecurity NAD |
Syslog |
Предназначен для обработки событий от PT Network Attack Discovery (NAD), поступающих по Syslog. |
Positive Technologies Sandbox |
[OOTB] PTsecurity Sandbox |
regexp |
Предназначен для обработки событий системы PT Sandbox. |
Positive Technologies Web Application Firewall |
[OOTB] PTsecurity WAF |
Syslog |
Предназначен для обработки событий, поступающих от системы PTsecurity (Web Application Firewall). |
PostgreSQL pgAudit |
[OOTB] PostgreSQL pgAudit Syslog |
Syslog |
Предназначен для обработки событий плагина аудита pgAudit для базы данных PostgreSQL, поступающих по Syslog. |
Proofpoint Insider Threat Management |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Proxmox |
[OOTB] Proxmox file |
regexp |
Предназначен для событий системы Proxmox версии 7.2-3, хранящихся в файле. Нормализатор поддерживает обработку событий в журналах access и pveam. |
PT NAD |
[OOTB] PT NAD json |
json |
Предназначен для обработки событий, поступающий от PT NAD в формате json. Нормализатор поддерживает обработку событий PT NAD версий 11.1, 11.0. |
QEMU - журналы гипервизора |
[OOTB] QEMU - Hypervisor file |
regexp |
Предназначен для обработки событий гипервизора QEMU, хранящихся в файле. Поддерживаются версии QEMU 6.2.0, Libvirt 8.0.0. |
QEMU - журналы виртуальных машин |
[OOTB] QEMU - Virtual Machine file |
regexp |
Предназначен для обработки событий из журналов виртуальных машин гипервизора QEMU версии 6.2.0, хранящихся в файле. |
Radware DefensePro AntiDDoS |
[OOTB] Radware DefensePro AntiDDoS |
Syslog |
Предназначен для обработки событий от системы защиты от DDOS Mitigator, поступающих по Syslog. |
Reak Soft Blitz Identity Provider |
[OOTB] Reak Soft Blitz Identity Provider file |
regexp |
Предназначен для обработки событий системы Reak Soft Blitz Identity Provider версии 5.16, хранящихся в файле. |
Recorded Future Threat Intelligence Platform |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
ReversingLabs N1000 Appliance |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Rubicon Communications pfSense |
[OOTB] pfSense Syslog |
Syslog |
Предназначен для обработки событий, поступающих от межсетевого экрана pfSense, поступающих по Syslog. |
Rubicon Communications pfSense |
[OOTB] pfSense w/o hostname |
Syslog |
Предназначен для обработки событий, поступающих от межсетевого экрана pfSense. Syslog-заголовок этих событий не содержит имени хоста. |
SailPoint IdentityIQ |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Sendmail |
[OOTB] Sendmail syslog |
Syslog |
Предназначен для обработки событий Sendmail версии 8.15.2, поступающих по syslog. |
SentinelOne |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Snort |
[OOTB] Snort 3 json file |
json |
Предназначен для обработки cобытий Snort версии 3 в формате JSON. |
Sonicwall TZ |
[OOTB] Sonicwall TZ Firewall |
Syslog |
Предназначен для обработки событий, поступающих по Syslog от межсетевого экрана Sonicwall TZ. |
Sophos XG |
[OOTB] Sophos XG |
regexp |
Предназначен для обработки событий от межсетевого экрана Sophos XG. |
Squid |
[OOTB] Squid access Syslog |
Syslog |
Предназначен для обработки событий прокси-сервера Squid, поступающих по протоколу Syslog. |
Squid |
[OOTB] Squid access.log file |
regexp |
Предназначен для обработки событий журнала Squid прокси-сервера Squid. Источник событий — журналы access.log |
S-Terra VPN Gate |
[OOTB] S-Terra |
Syslog |
Предназначен для обработки событий от устройств S-Terra VPN Gate. |
Suricata |
[OOTB] Suricata json file |
json |
Пакет содержит нормализатор для событий Suricata версии 7.0.1, хранящихся в файле в формате JSON. Нормализатор поддерживает обработку следующих типов событий: flow, anomaly, alert, dns, http, ssl, tls, ftp, ftp_data, ftp, smb, rdp, pgsql, modbus, quic, dhcp, bittorrent_dht, rfb. |
ThreatConnect Threat Intelligence Platform |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
ThreatQuotient |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
TrapX DeceptionGrid |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Trend Micro Control Manager |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Trend Micro Deep Security |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Trend Micro NGFW |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Trustwave Application Security DbProtect |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Unbound |
[OOTB] Unbound Syslog |
Syslog |
Предназначен для обработки событий, поступающих по Syslog от DNS-сервера Unbound. |
UserGate |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF, поступающих от системы UserGate по Syslog. |
Varonis DatAdvantage |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Veriato 360 |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
VipNet TIAS |
[OOTB] Vipnet TIAS syslog |
Syslog |
Предназначен для обработки событий системы VipNet TIAS версии 3.8, поступающих по Syslog. |
VMware ESXi |
[OOTB] VMware ESXi syslog |
regexp |
Предназначен для обработки событий VMware ESXi (поддержка ограниченного количества событий от ESXi с версиями 5.5, 6.0, 6.5, 7.0), поступающих по Syslog. |
VMWare Horizon |
[OOTB] VMWare Horizon - Syslog |
Syslog |
Предназначен для обработки событий, поступающих от системы VMWare Horizon версии 2106 по Syslog. |
VMwareCarbon Black EDR |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Vormetric Data Security Manager |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Votiro Disarmer for Windows |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Wallix AdminBastion |
[OOTB] Wallix AdminBastion syslog |
regexp |
Предназначен для событий, поступающих от системы Wallix AdminBastion по Syslog. |
WatchGuard - Firebox |
[OOTB] WatchGuard Firebox |
Syslog |
Предназначен для обработки событий межсетевых экранов WatchGuard Firebox, поступающих по Syslog. |
Webroot BrightCloud |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Winchill Fracas |
[OOTB] PTC Winchill Fracas |
regexp |
Предназначен для обработки событий системы регистрации сбоев Winchill Fracas. |
Zabbix |
[OOTB] Zabbix SQL |
sql |
Предназначен для обработки событий Zabbix версии 6.4. |
ZEEK IDS |
[OOTB] ZEEK IDS json file |
json |
Предназначен для обработки журналов системы ZEEK IDS в формате JSON. Нормализатор поддерживает события от ZEEK IDS версии 1.8. |
Zettaset BDEncrypt |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
Zscaler Nanolog Streaming Service (NSS) |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF. |
АйТи Бастион – СКДПУ |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF, поступающих от системы АйТи Бастион - СКДПУ по Syslog. |
А-реал Интернет Контроль Сервер (ИКС) |
[OOTB] A-real IKS syslog |
regexp |
Предназначен для обработки событий системы А-реал Интернет Контроль Сервер (ИКС), поступающих по Syslog. Нормализатор поддерживает события от A-real IKS версии 7.0 и выше. |
Веб-сервер Apache |
[OOTB] Apache HTTP Server file |
regexp |
Предназначен для обработки событий Apache HTTP Server версии 2.4, хранящихся в файле. Нормализатор поддерживает обработку событий журнала Application в форматах Common или Combined Log, и журнала Error. Ожидаемый формат журнала Error: "[%t] [%-m:%l] [pid %P:tid %T] [server\ %v] [client\ %a] %E: %M;\ referer\ %-{Referer}i" |
Веб-сервер Apache |
[OOTB] Apache HTTP Server syslog |
Syslog |
Предназначен для обработки событий системы Apache HTTP Server, поступающих по syslog. Нормализатор поддерживает обработку событий Apache HTTP Server версии 2.4 журнала Access в формате Common или Combined Log, и журнала Error. Ожидаемый формат событий журнала Error: "[%t] [%-m:%l] [pid %P:tid %T] [server\ %v] [client\ %a] %E: %M;\ referer\ %-{Referer}i" |
Веб-сервер Lighttpd |
[OOTB] Lighttpd syslog |
Syslog |
Предназначен для обработки событий Access системы Lighttpd, поступающих по syslog. Нормализатор поддерживает обработку событий Lighttpd версии 1.4. Ожидаемый формат событий журнала Access: $remote_addr $http_request_host_name $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent" |
ИВК Кольчуга-К |
[OOTB] Kolchuga-K Syslog |
Syslog |
Предназначен для обработки событий, поступающих от системы ИВК Кольчуга-К, версии ЛКНВ.466217.002 по Syslog. |
ИнфоТеКС ViPNet IDS |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF, поступающих от системы ИнфоТеКС ViPNet IDS по Syslog. |
ИнфоТеКС ViPNet Coordinator |
[OOTB] VipNet Coordinator Syslog |
Syslog |
Предназначен для обработки событий от системы ViPNet Coordinator, поступающих по Syslog. |
Код безопасности - Континент |
[OOTB][regexp] Continent IPS/IDS & TLS |
regexp |
Предназначен для обработки журнала событий устройств Континент IPS/IDS. |
Код безопасности - Континент |
[OOTB] Continent SQL |
sql |
Предназначен для колучения событий системы Континент из базы данных. |
Код Безопасности SecretNet 7 |
[OOTB] SecretNet SQL |
sql |
Предназначен для обработки событий, полученных коннектором из базы данных системы SecretNet. |
Конфидент - Dallas Lock |
[OOTB] Конфидент Dallas Lock |
regexp |
Предназначен для обработки событий, поступающих от системы защиты информации Dallas Lock версии 8. |
КриптПро Ngate |
[OOTB] Ngate Syslog |
Syslog |
Предназначен для обработки событий, поступающих от системы КриптПро Ngate по Syslog. |
НТ Мониторинг и аналитика |
[OOTB] Syslog-CEF |
Syslog |
Предназначен для обработки событий в формате CEF, поступающих от системы НТ Мониторинг и аналитика по Syslog. |
Прокси-сервер BlueCoat |
[OOTB] BlueCoat Proxy v0.2 |
regexp |
Предназначен для обработки событий прокси-сервера BlueCoat. Источник событий — журнал событий прокси-сервера BlueCoat. |
СКДПУ НТ Шлюз доступа |
[OOTB] Bastion SKDPU-GW |
Syslog |
Предназначен для обработки событий системы СКДПУ НТ Шлюз доступа, поступающих по Syslog. |
Солар Дозор |
[OOTB] Solar Dozor Syslog |
Syslog |
Предназначен для обработки событий, поступающийх от системы Солар Дозор версии 7.9 по Syslog. Нормализатор поддерживает обработку событий в пользовательском формате и не поддерживает обработку событий в формате CEF. |
- |
[OOTB] Syslog header |
Syslog |
Предназначен для обработки событий, поступающих по Syslog. Нормализатор выполняет парсинг Syslog-заголовка события, поле message события не затрагивается. В случае необходимости вы можете выполнить парсинг поля message другими нормализаторами. |
Правила агрегации
Правила агрегации позволяют объединить однотипные повторяющиеся события и заменить их одним общим событием. Таким образом можно уменьшить количество схожих событий, передаваемых в хранилище и/или коррелятор, снизить нагрузку на сервисы, сэкономить место для хранения данных и сэкономить лицензионную квоту (EPS). Агрегационное событие создается по достижении порога по времени или порога по числу событий, смотря что произойдет раньше.
Для правил агрегации можно настроить фильтр и применять его только к событиям, которые соответствуют заданным условиям.
Можно настроить правила агрегации в разделе Ресурсы - Правила агрегации, а затем выбрать созданное правило агрегации в раскрывающемся списке в настройках коллектора. Также можно настроить правила агрегации прямо в настройках коллектора.
Доступные параметры правил агрегации
Параметр |
Описание |
---|---|
Название |
Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. |
Тенант |
Обязательный параметр. Название тенанта, которому принадлежит ресурс. |
Предел событий |
Ограничение по количеству событий. После накопления заданного количества событий с идентичными полями коллектор создает агрегационное событие и начинает накопление событий для следующего агрегированного события. Значение по умолчанию: |
Время ожидания событий |
Обязательный параметр. Ограничение по времени в секундах. По истечении указанного срока накопление базовых событий прекращается, коллектор создает агрегированное событие и начинает сбор событий для следующего агрегированного события. Значение по умолчанию: |
Описание |
Описание ресурса: до 4000 символов в кодировке Unicode. |
Группирующие поля |
Обязательный параметр. В раскрывающемся списке перечислены поля нормализованных событий, значения которых должны совпадать. Например, для сетевых событий это могут быть SourceAddress, DestinationAddress, DestinationPort. В итоговом агрегационном событии эти поля будут заполнены значениями базовых событий. |
Уникальные поля |
В раскрывающемся списке перечислены поля, спектр значений которых нужно сохранить в агрегированном событии. Например, если поле DestinationPort указать не в Группирующие поля, а в Уникальные поля, то агрегированное событие объединит базовые события подключения к разным портам, а поле DestinationPort агрегированного события будет содержать список всех портов, к которым выполнялись подключения. |
Поля суммы |
В раскрывающемся списке можно выбрать поля, значения которых при агрегации будут просуммированы и записаны в одноименные поля агрегированного события. |
Фильтр |
Блок параметров, в котором можно задать условия определения событий, которые будут обрабатываться этим ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. Не используйте в правилах агрегации фильтры с операндом TI или операторами TIDetect, inActiveDirectoryGroup и hasVulnerability. Поля Active Directory, для которых используется оператор inActiveDirectoryGroup, появляются на этапе обогащения, то есть после выполнения правил агрегации. |
В поставку KUMA включены перечисленные в таблице ниже правила агрегации.
Предустановленные правила агрегации
Название правила агрегации |
Описание |
[OOTB] Netflow 9 |
Правило сработает при достижении 100 событий или по истечении 10 секунд. Агрегация событий выполняется по полям:
Поля DeviceCustomString1 и BytesIn суммируются. |
Правила обогащения
Обогащение событий – это дополнение событий информацией, которая может быть использована для выявления инцидента и при проведении расследования.
Правила обогащения позволяют добавлять в поля события дополнительную информацию путем преобразования данных, уже размещённых в полях, или с помощью запроса данных из внешних систем. Например, в событии есть имя учётной записи пользователя. С помощью правила обогащения вы можете добавить сведения об отделе, должности и руководителе этого пользователя в поля события.
Правила обогащения можно использовать в следующих сервисах и функциях KUMA:
Доступные параметры правил обогащения перечислены в таблице ниже.
Закладка Основные параметры
Параметр |
Описание |
---|---|
Название |
Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. |
Тенант |
Обязательный параметр. Название тенанта, которому принадлежит ресурс. |
Тип источника данных |
Обязательный параметр. Выпадающий список для выбора типа входящих событий. В зависимости от выбранного типа отображаются дополнительные параметры: |
Отладка |
Раскрывающийся список, в котором можно включить логирование операций сервиса. По умолчанию логирование выключено. |
Описание |
Описание ресурса: до 4000 символов в кодировке Unicode. |
Фильтр |
Блок параметров, в котором можно задать условия определения событий, которые будут обрабатываться этим ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. |
Предустановленные правила обогащения
В поставку KUMA включены перечисленные в таблице ниже правила обогащения.
Предустановленные правила обогащения
Название правила обогащения |
Описание |
[OOTB] KATA alert |
Используется для обогащения событий, поступивших от KATA в виде гиперссылки на алерт. Гиперссылка размещается в поле DeviceExternalId. |
Правила корреляции
Правила корреляции используются для распознавания определенных последовательностей обрабатываемых событий и выполнения определенных действий после распознавания: например, создание корреляционных событий или алертов, взаимодействие с активным листом.
Правила корреляции можно использовать в следующих сервисах и функциях KUMA:
Доступные параметры правила корреляции зависят от выбранного типа. Типы правил корреляции:
- standard – используется для поиска корреляций между несколькими событиями. Правила этого типа могут создавать корреляционные события.
Этот тип правил используется для определения сложных закономерностей в последовательности событий. Для более простых комбинаций следует использовать другие типы правил корреляции, которые требуют меньше ресурсов.
- simple – используется для создания корреляционных событий при обнаружении определенного события.
- operational – используется для операций с активными листами. Этот тип правил не может создавать корреляционные события.
Для этих ресурсов в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов.
Если правило корреляции используется в корреляторе и по нему был создан алерт, то при изменении правила корреляции существующий алерт не будет изменен, даже если перезапустить сервис коррелятора. Например, если у правила корреляции было изменено название, название алерта останется прежним. Если существующий алерт закрыть, то новый алерт будет создан уже с учетом изменений правила корреляции.
Правила корреляции типа standard
Правила корреляции типа standard используются для определения сложных закономерностей в обрабатываемых событиях.
Поиск закономерностей происходит с помощью контейнеров
Окно правила корреляции содержит следующие закладки параметров:
- Общие – используется для указания основных параметров правила корреляции. На этой закладке можно выбрать тип правила корреляции.
- Селекторы – используется для определения условий, которым должны удовлетворять обрабатываемые события для срабатывания правила корреляции. Доступные параметры зависят от выбранного типа правил.
- Действия – используется для установки триггеров, срабатывающих при выполнении условий, заданных в группе настроек Селекторы. У ресурса правила корреляции должен быть хотя бы один триггер. Доступные параметры зависят от выбранного типа правил.
Закладка Общие
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – тенант, которому принадлежит правило корреляции.
- Тип (обязательно) – раскрывающийся список для выбора типа правила корреляции. Выберите standard, если хотите создать правило корреляции типа standard.
- Группирующие поля (обязательно) – поля событий, которые должны быть сгруппированы в контейнере. Хеш-код значений выбранных полей используется в качестве ключа контейнера. Если срабатывает селектор (см. ниже), отобранные поля копируются в корреляционное событие.
Если в разных селекторах корреляционного правила используются поля, которые имеют разные значения в событиях, эти поля не нужно указывать в разделе Группирующие поля.
- Уникальные поля – поля событий, которые должны быть отправлены в контейнер. Если задан этот параметр, в контейнер будут отправляться только уникальные поля. Хеш-код значений отобранных полей используется в качестве ключа контейнера.
Вы можете использовать локальные переменные в разделах Группирующие поля и Уникальные поля. Для обращения к переменной необходимо перед ее именем указать символ "$".
Для ознакомления с примерами использования локальных переменных в этих разделах используйте правило, поставляемое с KUMA: R403_Обращение на вредоносные ресурсы с хоста с отключенной защитой или устаревшей антивирусной базой. - Частота срабатываний – максимальное количество срабатываний правила корреляции в секунду. Значение по умолчанию: 100.
Если правила корреляции, в которых реализована сложная логика обнаружения закономерностей, не срабатывают, причиной могут быть особенности подсчета срабатываний правила в KUMA. Попробуйте увеличить значение Частота срабатываний, например, до
1000000
. - Время жизни контейнера, сек. (обязательно) – время жизни контейнера в секундах. Значение по умолчанию: 86400 секунд (24 часа). Этот таймер запускается при создании контейнера (когда он получает первое событие). Время жизни не обновляется, и когда оно истекает, срабатывает триггер По истечении времени жизни контейнера из группы настроек Действия, а контейнер удаляется. Триггеры На каждом срабатывании правила и На последующих срабатываниях правила могут срабатывать более одного раза в течение времени жизни контейнера.
- Политика хранения базовых событий – этот раскрывающийся список используется, чтобы определить, какие базовые события должны быть сохранены в корреляционном событии:
- first (значение по умолчанию) – поместить в корреляционное событие первое базовое событие из коллекции событий, инициировавшей создание корреляционного события.
- last – поместить в корреляционное событие последнее базовое событие из коллекции событий, инициировавшей создание корреляционного события.
- all – поместить в корреляционное событие все базовые события из коллекции событий, инициировавшей создание корреляционного события.
- Уровень важности – базовый коэффициент, используемый для определения уровня важности правила корреляции. Значение по умолчанию: Низкий.
- Сортировать по – в этом раскрывающемся списке можно выбрать поле события, по которому селекторы правила корреляции будут отслеживать изменение ситуации. Это может пригодиться, если, например, вы захотите настроить правило корреляции на срабатывание при последовательном возникновении нескольких типов событий.
- Описание – описание ресурса. До 4000 символов в кодировке Unicode.
Закладка Селекторы
В правиле типа standard может быть несколько селекторов. Селекторы можно добавлять с помощью кнопки Добавить селектор и удалять с помощью кнопки Удалить селектор. Селекторы можно перемещать с помощью кнопки .
Последовательность условий, заданных в селекторе корреляционного правила, имеет значение и влияет на производительность системы. Мы рекомендуем на первое место в селекторе ставить наиболее уникальный критерий отбора.
Рассмотрим два примера селекторов, осуществляющих выборку событий успешной аутентификации в Microsoft Windows.
Селектор 1:
Условие 1. DeviceProduct = Microsoft Windows
Условие 2. DeviceEventClassID = 4624
Селектор 2:
Условие 1. DeviceEventClassID = 4624
Условие 2. DeviceProduct = Microsoft Windows
Последовательность условий, заданная в Селекторе 2, более предпочтительна, поскольку оказывает меньшую нагрузку на систему.
В селекторе корреляционного правила могут быть использованы регулярные выражения, соответствующие стандарту RE2.
Применение регулярных выражений в корреляционных правилах создаёт большую нагрузку в сравнении с другими операциями. Поэтому при разработке корреляционных правил мы рекомендуем ограничить использование регулярных выражений до необходимого минимума и применять другие доступные операции.
Для использования регулярного выражения необходимо применить оператор сравнения match
. Регулярное выражение должно быть размещено в константе. Применение capture-групп в регулярных выражениях не обязательно. Для срабатывания корреляционного правила текст поля, сопоставляемый с regexp, должен полностью совпасть с регулярным выражением.
Для ознакомления с синтаксисом и примерами корреляционных правил, в селекторах которых есть регулярные выражения, используйте следующие правила, поставляемые с KUMA:
- R105_04_Подозрительные PowerShell команды. Подозрение на обфускацию.
- R333_Подозрительное создание файлов в директории автозапуска.
Для каждого селектора доступны две закладки Параметры и Локальные переменные.
Закладка Параметры содержит следующие параметры:
- Название (обязательно) – уникальное имя группы событий, удовлетворяющих условиям селектора. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Порог срабатывания селектора (количество событий) (обязательно) – количество событий, которое необходимо получить для срабатывания селектора.
- Фильтр (обязательно) – используется для установки критериев определения событий, из-за которых будет срабатывать селектор. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.
- Обнуление – этот флажок должен быть установлен, если правило корреляции НЕ должно срабатывать при получении селектором определенного количества событий. По умолчанию этот флажок снят.
На закладке Локальные переменные с помощью кнопки Добавить переменную можно объявлять переменные, которые будут действовать в пределах этого правила корреляции.
Закладка Действия
В правиле типа standard может быть несколько триггеров.
- На первом срабатывании правила – этот триггер срабатывает, когда контейнер регистрирует первое в течение срока своей жизни срабатывание селектора.
- На последующих срабатываниях правила – этот триггер срабатывает, когда контейнер регистрирует в течение срока своей жизни второе и последующие срабатывания селектора.
- На каждом срабатывании правила – этот триггер срабатывает каждый раз, когда контейнер регистрирует срабатывание селектора.
- По истечении времени жизни контейнера – этот триггер срабатывает по истечении времени жизни контейнера и используется в связке с селектором с установленным флажком Обнуление. То есть триггер срабатывает, если в течение заданного времени ситуация, обнаруженная правилом корреляции, не разрешается.
Каждый триггер представлен в виде группы настроек со следующими доступными параметрами:
- Отправить событие на дальнейшую обработку – если этот флажок установлен, корреляционное событие будет отправлено на пост-обработку: на внешнее обогащение вне корреляционного правила, для реагирования и в точки назначения.
- Отправить событие снова в коррелятор – если этот флажок установлен, созданное корреляционное событие будет обрабатываться цепочкой правил текущего коррелятора. Это позволяет достичь иерархической корреляции.
Если установлены оба флажка, правило корреляции будет отправлено сначала на пост-обработку, а затем в селекторы текущего правила корреляции.
- Не создавать алерт – если этот флажок установлен, алерт не будет создаваться при срабатывании этого правила корреляции.
- Группа параметров Обновление активных листов – используется для назначения триггера на одну или несколько операций с активными листами. С помощью кнопок Добавить действие с активным листом и Удалить действие с активным листом можно добавлять и удалять операции с активными листами.
Доступные параметры:
- Название (обязательно) – этот раскрывающийся список используется для выбора ресурсов активного листа.
- Операция (обязательно) – этот раскрывающийся список используется для выбора операции, которую необходимо выполнить:
- Получить – получить запись активного листа и записать значения указанных полей в корреляционное событие.
- Установить – записать значения указанных полей корреляционного события в активный лист, создав новую или обновив существующую запись активного листа. При обновлении записи активного листа данные объединяются, и только указанные поля перезаписываются.
- Удалить – удалить запись из активного листа.
- Ключевые поля (обязательно) – это список полей события, используемых для создания записи активного листа. Этот список также используется в качестве ключа записи активного листа.
Ключ записи активного листа зависит только от состава полей и не зависит от порядка их отображения в веб-интерфейсе KUMA.
- Сопоставление (требуется для операций Получить и Установить) – используется для сопоставления полей активного листа с полями событий. Можно установить более одного правила сопоставления.
- Левое поле используется для указания поля активного листа.
Поле не должно содержать специальные символы или только цифры.
- Средний раскрывающийся список используется для выбора полей событий.
- Правое поле можно использовать для назначения константы полю активного листа, если была выбрана операция Установить.
- Левое поле используется для указания поля активного листа.
- Группа параметров Обогащение – вы можете менять значения полей корреляционных событий, используя правила обогащения. Эти правила обогащения хранятся в правиле корреляции, в котором они были созданы. Можно создать несколько правил обогащения. Правила обогащения можно добавлять или удалять с помощью кнопок Добавить обогащение и Удалить обогащение.
- Тип источника – в этом раскрывающемся списке можно выбрать тип обогащения. В зависимости от выбранного типа отобразятся дополнительные параметры, которые также потребуется заполнить.
Доступные типы обогащения:
- Отладка – с помощью этого раскрывающегося списка можно включить логирование операций сервиса.
- Описание – описание ресурса. До 4000 символов в кодировке Unicode.
- Тип источника – в этом раскрывающемся списке можно выбрать тип обогащения. В зависимости от выбранного типа отобразятся дополнительные параметры, которые также потребуется заполнить.
- Группа параметров Изменение категорий – используется для изменения категорий активов, указанных в событии. Правил категоризации может быть несколько: их можно добавить или удалить с помощью кнопок Добавить категоризацию или Удалить категоризацию. Активам можно добавлять или удалять только реактивные категории.
- Действие – этот раскрывающийся список используется для выбора операции над категорией:
- Добавить – присвоить категорию активу.
- Удалить – отвязать актив от категории.
- Поле события – поле события, в котором указан актив, над которым будет совершена операция.
- Идентификатор категории – с помощью кнопки
можно выбрать категорию, над которой будет совершена операция. При нажатии на нее открывается окно Выбор категорий, где отображается дерево категорий. Можно выбрать только категорию со способом наполнения Реактивно.
- Действие – этот раскрывающийся список используется для выбора операции над категорией:
Правила корреляции типа simple
Правила корреляции типа simple используются для определения простых последовательностей событий.
Окно правила корреляции содержит следующие закладки параметров:
- Общие – используется для указания основных параметров правила корреляции. На этой закладке можно выбрать тип правила корреляции.
- Селекторы – используется для определения условий, которым должны удовлетворять обрабатываемые события для срабатывания правила корреляции. Доступные параметры зависят от выбранного типа правила.
- Действия – используется для установки триггеров, срабатывающих при выполнении условий, заданных в группе настроек Селекторы. У правила корреляции должен быть хотя бы один триггер. Доступные параметры зависят от выбранного типа правил.
Закладка Общие
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – тенант, которому принадлежит правило корреляции.
- Тип (обязательно) – раскрывающийся список для выбора типа правила корреляции. Выберите simple, если хотите создать правило корреляции типа simple.
- Наследуемые поля (обязательно) – поля событий, по которым отбираются события. При срабатывания селектора (см. ниже) эти поля будут записаны в корреляционное событие.
- Частота срабатываний – максимальное количество срабатываний правила корреляции в секунду. Значение по умолчанию: 100.
Если правила корреляции, в которых реализована сложная логика обнаружения закономерностей, не срабатывают, причиной могут быть особенности подсчета срабатываний правила в KUMA. Попробуйте увеличить значение Частота срабатываний, например, до
1000000
. - Уровень важности – базовый коэффициент, используемый для определения уровня важности правила корреляции. Значение по умолчанию:
Низкий
. - Описание – описание ресурса. До 4000 символов в кодировке Unicode.
Закладка Селекторы
В правиле типа simple может быть только один селектор, для которого доступны закладки Параметры и Локальные переменные.
Закладка Параметры содержит параметры с блоком параметров Фильтр:
- Фильтр (обязательно) – используется для установки критериев определения событий, из-за которых будет срабатывать селектор. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.
На закладке Локальные переменные с помощью кнопки Добавить переменную можно объявлять переменные, которые будут действовать в пределах этого правила корреляции.
Последовательность условий, заданных в селекторе корреляционного правила, имеет значение и влияет на производительность системы. Мы рекомендуем на первое место в селекторе ставить наиболее уникальный критерий отбора.
Рассмотрим два примера селекторов, осуществляющих выборку событий успешной аутентификации в Microsoft Windows.
Селектор 1:
Условие 1. DeviceProduct = Microsoft Windows
Условие 2. DeviceEventClassID = 4624
Селектор 2:
Условие 1. DeviceEventClassID = 4624
Условие 2. DeviceProduct = Microsoft Windows
Последовательность условий, заданная в Селекторе 2, более предпочтительна, поскольку оказывает меньшую нагрузку на систему.
Закладка Действия
В правиле типа simple может быть только один триггер: На каждом событии. Он активируется каждый раз, когда срабатывает селектор.
Доступные параметры триггера:
- Отправить событие на дальнейшую обработку – если этот флажок установлен, корреляционное событие будет отправлено на пост-обработку: на обогащение, для реагирования и в точки назначения.
- Отправить событие снова в коррелятор – если этот флажок установлен, созданное корреляционное событие будет обрабатываться текущим правилом корреляции. Это позволяет достичь иерархической корреляции.
Если установлены оба флажка, правило корреляции будет отправлено сначала на пост-обработку, а затем в селекторы текущего правила корреляции.
- Не создавать алерт – если этот флажок установлен, алерт не будет создаваться при срабатывании этого правила корреляции.
- Группа параметров Обновление активных листов – используется для назначения триггера на одну или несколько операций с активными листами. С помощью кнопок Добавить действие с активным листом и Удалить действие с активным листом можно добавлять и удалять операции с активными листами.
Доступные параметры:
- Название (обязательно) – этот раскрывающийся список используется для выбора активного листа.
- Операция (обязательно) – этот раскрывающийся список используется для выбора операции, которую необходимо выполнить:
- Получить – получить запись активного листа и записать значения указанных полей в корреляционное событие.
- Установить – записать значения указанных полей корреляционного события в активный лист, создав новую или обновив существующую запись активного листа. При обновлении записи активного листа данные объединяются, и только указанные поля перезаписываются.
- Удалить – удалить запись из активного листа.
- Ключевые поля (обязательно) – это список полей события, используемые для создания записи активного листа. Этот список также используется в качестве ключа записи активного листа.
Ключ записи активного листа зависит только от состава полей и не зависит от порядка их отображения в веб-интерфейсе KUMA.
- Сопоставление (требуется для операций Получить и Установить) – используется для сопоставления полей активного листа с полями событий. Можно установить более одного правила сопоставления.
- Левое поле используется для указания поля активного листа.
Поле не должно содержать специальные символы или только цифры.
- Средний раскрывающийся список используется для выбора полей событий.
- Правое поле можно использовать для назначения константы полю активного листа, если была выбрана операция Установить.
- Левое поле используется для указания поля активного листа.
- Группа параметров Обогащение – вы можете менять значения полей корреляционных событий, используя правила обогащения. Эти правила обогащения хранятся в правиле корреляции, в котором они были созданы. Можно создать несколько правил обогащения. Правила обогащения можно добавлять или удалять с помощью кнопок Добавить обогащение и Удалить обогащение.
- Тип источника – в этом раскрывающемся списке можно выбрать тип обогащения. В зависимости от выбранного типа отобразятся дополнительные параметры, которые также потребуется заполнить.
Доступные типы обогащения:
- Отладка – с помощью этого раскрывающегося списка можно включить логирование операций сервиса.
- Описание – описание ресурса. До 4000 символов в кодировке Unicode.
- Блок параметров Фильтр – позволяет выбрать, какие события будут отправляться на обогащение. Настройка происходит, как описано выше.
- Тип источника – в этом раскрывающемся списке можно выбрать тип обогащения. В зависимости от выбранного типа отобразятся дополнительные параметры, которые также потребуется заполнить.
- Группа параметров Изменение категорий – используется для изменения категорий активов, указанных в событии. Правил категоризации может быть несколько: их можно добавить или удалить с помощью кнопок Добавить категоризацию или Удалить категоризацию. Активам можно добавлять или удалять только реактивные категории.
- Действие – этот раскрывающийся список используется для выбора операции над категорией:
- Добавить – присвоить категорию активу.
- Удалить – отвязать актив от категории.
- Поле события – поле события, в котором указан актив, над которым будет совершена операция.
- Идентификатор категории – с помощью кнопки
можно выбрать категорию, над которой будет совершена операция. При нажатии на нее открывается окно Выбор категорий, где отображается дерево категорий.
- Действие – этот раскрывающийся список используется для выбора операции над категорией:
Правила корреляции типа operational
Правила корреляции типа operational используются для работы с активными листами.
Окно правила корреляции содержит следующие закладки:
- Общие – используется для указания основных параметров правила корреляции. На этой закладке можно выбрать тип правила корреляции.
- Селекторы – используется для определения условий, которым должны удовлетворять обрабатываемые события для срабатывания правила корреляции. Доступные параметры зависят от выбранного типа правил.
- Действия – используется для установки триггеров, срабатывающих при выполнении условий, заданных в группе настроек Селекторы. У правила корреляции должен быть хотя бы один триггер. Доступные параметры зависят от выбранного типа правил.
Закладка Общие
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – тенант, которому принадлежит правило корреляции.
- Тип (обязательно) – раскрывающийся список для выбора типа правила корреляции. Выберите operational, если хотите создать правило корреляции типа operational.
- Частота срабатываний – максимальное количество срабатываний правила корреляции в секунду. Значение по умолчанию: 100.
Если правила корреляции, в которых реализована сложная логика обнаружения закономерностей, не срабатывают, причиной могут быть особенности подсчета срабатываний правила в KUMA. Попробуйте увеличить значение Частота срабатываний, например, до
1000000
. - Описание – описание ресурса. До 4000 символов в кодировке Unicode.
Закладка Селекторы
В правиле типа operational может быть только один селектор, для которого доступны закладки Параметры и Локальные переменные.
Закладка Параметры содержит параметры с блоком параметров Фильтр:
- Фильтр (обязательно) – используется для установки критериев определения событий, из-за которых будет срабатывать селектор. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.
На закладке Локальные переменные с помощью кнопки Добавить переменную можно объявлять переменные, которые будут действовать в пределах этого правила корреляции.
Закладка Действия
В правиле типа operational может быть только один триггер: На каждом событии. Он активируется каждый раз, когда срабатывает селектор.
Доступные параметры триггера:
- Группа параметров Обновление активных листов – используется для назначения триггера на одну или несколько операций с активными листами. С помощью кнопок Добавить действие с активным листом и Удалить действие с активным листом можно добавлять и удалять операции с активными листами.
Доступные параметры:
- Название (обязательно) – этот раскрывающийся список используется для выбора активного листа.
- Операция (обязательно) – этот раскрывающийся список используется для выбора операции, которую необходимо выполнить:
- Получить – получить запись активного листа и записать значения указанных полей в корреляционное событие.
- Установить – записать значения указанных полей корреляционного события в активный лист, создав новую или обновив существующую запись активного листа. При обновлении записи активного листа данные объединяются, и только указанные поля перезаписываются.
- Удалить – удалить запись из активного листа.
- Ключевые поля (обязательно) – это список полей события, используемые для создания записи активного листа. Этот список также используется в качестве ключа записи активного листа.
Ключ записи активного листа зависит только от состава полей и не зависит от порядка их отображения в веб-интерфейсе KUMA.
- Сопоставление (требуется для операций Получить и Установить) – используется для сопоставления полей активного листа с полями событий. Можно установить более одного правила сопоставления.
- Левое поле используется для указания поля активного листа.
Поле не должно содержать специальные символы или только цифры.
- Средний раскрывающийся список используется для выбора полей событий.
- Правое поле можно использовать для назначения константы полю активного листа, если была выбрана операция Установить.
- Левое поле используется для указания поля активного листа.
Переменные в корреляторах
Если для покрытия каких-то сценариев обеспечения безопасности недостаточно отслеживания значений в полях событий, активных листах или словарях, вы можете воспользоваться глобальными и локальными переменными. С их помощью можно выполнять различные действия над поступающими в корреляторы значениями, реализуя сложную логику выявления угроз. Переменные можно объявить в корреляторе (глобальные переменные) или в правиле корреляции (локальные переменные), присвоив им какую-либо функцию, а затем обращаться к ним из правил корреляции, как к обычным полям событий, получая в ответ результат срабатывания функции.
Область применения переменных:
- При поиске группирующих или уникальных значений полей в правилах корреляции.
- В селекторах правил корреляции в фильтрах условий, при которых должно срабатывать правило корреляции.
- При обогащении корреляционных событий. В качестве типа источника следует выбирать Событие.
- При наполнении активных листов значениями.
К переменным можно обращаться так же, как к полям события, предваряя их название символом $.
Локальные переменные в группирующих и уникальных полях
Вы можете использовать локальные переменных в разделах Группирующие поля и Уникальные поля правил корреляции типа standard. Для использования локальной переменной необходимо перед ее именем указывать символ "$".
Вы можете ознакомиться с примером использования локальных переменных в разделах Группирующие поля и Уникальные поля в правиле, поставляемом в KUMA: R403_Обращение на вредоносные ресурсы с хоста с отключенной защитой или устаревшей антивирусной базой.
В началоЛокальные переменные в селекторе
Чтобы использовать локальную переменную в селекторе:
- Добавьте локальную переменную в правило.
- В окне Правила корреляции перейдите на вкладку Общие и добавьте созданную локальную переменную в раздел Группирующие поля. Перед именем локальной переменной укажите символ "$".
- В окне Правила корреляции перейдите на вкладку Селекторы, выберите существующий фильтр или создайте новый и нажмите на кнопку Добавить условие.
- В качестве операнда выберите поле события.
- В качестве значения поля события укажите локальную переменную и укажите символ "$" перед именем переменной.
- Укажите остальные параметры фильтра.
- Нажмите Сохранить.
Вы можете ознакомиться с примером использования локальных переменных в правиле, поставляемом с KUMA: R403_Обращение на вредоносные ресурсы с хоста с отключенной защитой или устаревшей антивирусной базой.
В началоЛокальные переменные в обогащении событий
Вы можете использовать правила корреляции типа standard и simple для обогащения событий с помощью локальных переменных.
Обогащение текстом и числами
Обогащение событий можно выполнять с помощью текста (строк). Для этого могут быть использованы функции, позволяющие модифицировать строки: to_lower, to_upper, str_join, append, prepend, substring, tr, replace, str_join.
Обогащение событий можно выполнять с помощью чисел. Для этого могут быть использованы функции: сложение (оператор "+"), вычитание (оператор "-"), умножение (оператор "*"), деление (оператор "/"), round, ceil, floor, abs, pow.
Также для работы с данными в локальных переменных могут быть использованы регулярные выражения.
Применение регулярных выражений в правилах корреляции создаёт большую нагрузку в сравнении с другими операциями. Поэтому при разработке правил корреляции мы рекомендуем ограничить использование регулярных выражений до необходимого минимума и применять другие доступные операции.
Обогащение временных отметок
Обогащение событий можно выполнять с помощью временных отметок (даты и времени). Для этого могут быть использованы функции, позволяющие получать или модифицировать временные метки: now, extract_from_timestamp, parse_timestamp, format_timestamp, truncate_timestamp, time_diff.
Операции с активными списками и таблицами
Вы можете выполнять обогащение событий с помощью локальных переменных и данных, находящихся в активных списках и таблицах.
Для обогащения событий данными из активного списка необходимо воспользоваться функциями active_list, active_list_dyn.
Для обогащения событий данными из таблицы необходимо воспользоваться функциями table_dict, dict.
Вы можете создавать условные операторы при помощи функции conditional в локальных переменных. Таким образом переменная может вернуть одно из значений в зависимости от того, какие данные поступили для обработки.
Использование локальной переменной для обогащения событий
Чтобы использовать локальную переменную для обогащения событий:
- Добавьте локальную переменную в правило.
- В окне Правила корреляции перейдите на вкладку Общие и добавьте созданную локальную переменную в раздел Группирующие поля. Перед именем локальной переменной укажите символ "$".
- В окне Правила корреляции перейдите на вкладку Действия и в группе параметров Обогащение в раскрывающемся списке Тип источника данных выберите событие.
- В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое необходимо передать значение локальной переменной.
- В раскрывающемся списке Исходное поле выберите локальную переменную. Перед именем локальной переменной укажите символ "$".
- Укажите остальные параметры правила.
- Нажмите Сохранить.
Локальные переменные в обогащении активных листов
Вы можете использовать локальные переменные для обогащения активных листов.
Чтобы выполнить обогащение активного списка при помощи локальной переменной:
- Добавьте локальную переменную в правило.
- В окне Правила корреляции перейдите на вкладку Общие и добавьте созданную локальную переменную в раздел Группирующие поля. Перед именем локальной переменной укажите символ "$".
- В окне Правила корреляции перейдите на вкладку Действия и в группе параметров Обновление активных листов добавьте локальную переменную в поле Ключевые поля. Перед именем локальной переменной укажите символ "$".
- В группе параметров Сопоставление укажите соответствие между полями события и полями активного списка.
- Нажмите на кнопку Сохранить.
Свойства переменных
Локальные и глобальные переменные
Свойства глобальных и локальных переменных различаются.
Глобальные переменные:
- Глобальные переменные объявляются на уровне коррелятора и действуют только в пределах этого коррелятора.
- К глобальным переменным коррелятора можно обращаться из всех правил корреляции, которые в нем указаны.
- В правилах корреляции типа standard одна и та же глобальная переменная в каждом селекторе может принимать разные значения.
- Невозможно переносить глобальные переменные между разными корреляторами.
Локальные переменные:
- Локальные переменные объявляются на уровне правила корреляции и действуют только в пределах этого правила.
- В правилах корреляции типа standard областью действия локальной переменной является только тот селектор, в котором переменная была объявлена.
- Локальные переменные можно объявлять в любых типах правил корреляции.
- Невозможно переносить локальные переменные между правилами или селекторами.
- Локальная переменная не может быть использована в качестве глобальной переменной.
Переменные в разных типах правил корреляции
- В правилах корреляции типа operational в закладке Действия можно указывать все доступные или объявленные в этом правиле переменные.
- В правилах корреляции типа standard в закладке Действия можно указывать только переменные, указанные в этих правилах на закладке Общие в поле Группирующие поля.
- В правилах корреляции типа simple в закладке Действия можно указывать только переменные, указанные в этих правилах на закладке Общие в поле Наследуемые поля.
Требования к переменным
Добавляя функцию переменной необходимо сначала указать название функции, а затем в круглых скобках перечислить ее параметры. Исключением являются простейшие математические операции (сложение, вычитание, умножение, деление), при их использовании скобками обозначается приоритет выполнения операций.
Требования к названиям функций:
- Должно быть уникально в рамках коррелятора.
- Должно содержать от 1 до 128 символов в кодировке Unicode.
- Не может начинаться с символа $.
- Должно быть написано в camelCase или CamelCase.
Особенности указания функций переменных:
- Последовательность указания параметров имеет значение.
- Параметры передаются через запятую:
,
. - Строковые параметры передаются в одинарных кавычках:
'
. - Наименования полей событий и переменные указываются без кавычек.
- При обращении к переменной как параметру перед ее названием необходимо добавлять символ
$
. - Ставить пробел между параметрами необязательно.
- Во всех функциях, где в качестве параметров допускается использование переменной, допускается создавать вложенные функции.
Функции переменных
Операции с активными листами и словарями
Функции "active_list" и "active_list_dyn"
Функции позволяют получать информацию из активного листа и динамически формировать имя поля активного листа и ключа.
Необходимо указать параметры в следующей последовательности:
- название активного листа;
- выражение, возвращающее название поля активного листа;
- одно или несколько выражений, из результатов которых будет составлен ключ.
Пример использования
Результат выполнения
active_list('Test', to_lower('DeviceHostName'), to_lower(DeviceCustomString2), to_lower(DeviceCustomString1))
Получение значения поля активного листа.
С помощью этих функций из переменной можно обратиться к активному листу общего тенанта. Для этого после названия активного листа необходимо добавить суффикс @Shared (регистр имеет значение). Например, active_list('exampleActiveList@Shared', 'score', SourceAddress,SourceUserName).
Функция "table_dict"
Получение информации о значении в указанном столбце словаря типа таблица.
Необходимо указать параметры в следующей последовательности:
- название словаря;
- название столбца словаря;
- одно или несколько выражений, из результатов которых будет составлен ключ строки словаря.
Пример использования
Результат выполнения
table_dict('exampleTableDict', 'office', SourceUserName)
Получение данных из словаря
exampleTableDict
из строки с ключомSourceUserName
из столбцаoffice
.table_dict('exampleTableDict', 'office', SourceAddress, to_lower(SourceUserName))
Получение данных из словаря
exampleTableDict
из строки с составным ключом из значения поляSourceAddress
и значения поляSourceUserName
в нижнем регистре из столбцаoffice
.
С помощью этой функции из переменной можно обратиться к словарю общего тенанта. Для этого после названия активного листа необходимо добавить суффикс @Shared
(регистр имеет значение). Например, table_dict('exampleTableDict@Shared', 'office', SourceUserName)
.
Функция "dict"
Получение информации о значении в указанном столбце словаря типа словарь.
Необходимо указать параметры в следующей последовательности:
- название словаря;
- одно или несколько выражений, из результатов которых будет составлен ключ строки словаря.
Пример использования
Результат выполнения
dict('exampleDictionary', SourceAddress)
Получение данных из словаря
exampleDictionary
из строки с ключомSourceAddress
.dict('exampleDictionary', SourceAddress, to_lower(SourceUserName))
Получение данных из словаря
exampleDictionary
из строки с составным ключом из значения поляSourceAddress
и значения поляSourceUserName
в нижнем регистре.
С помощью этой функции из переменной можно обратиться к словарю общего тенанта. Для этого после названия активного листа необходимо добавить суффикс @Shared
(регистр имеет значение). Например, dict('exampleDictionary@Shared', SourceAddress)
.
Операции со строками
Функция "len"
Возвращает число символов в строке.
Строку можно передать строкой, названием поля или переменной.
Примеры использования |
|
|
|
Функция "to_lower"
Перевод символов в строке в нижний регистр.
Строку можно передать строкой, названием поля или переменной.
Примеры использования |
|
|
|
Функция "to_upper"
Перевод символов в строке в верхний регистр. Строку можно передать строкой, названием поля или переменной.
Примеры использования |
|
|
|
Функция "append"
Добавление символов в конец строки.
Необходимо указать параметры в следующей последовательности:
- исходная строка;
- добавляемая строка.
Строки можно передать строкой, названием поля или переменной.
Примеры использования |
Результат использования |
|
Строка из поля |
|
Строка из переменной |
|
Строка из поля |
Функция "prepend"
Добавление символов в начало строки.
Необходимо указать параметры в следующей последовательности:
- исходная строка;
- добавляемая строка.
Строки можно передать строкой, названием поля или переменной.
Примеры использования |
Результат использования |
|
Строка из поля |
|
Строка из переменной |
|
Строка из поля |
Функция "substring"
Возвращает подстроку из строки.
Необходимо указать параметры в следующей последовательности:
- исходная строка;
- позиция начала подстроки (натуральное число или 0);
- (необязательно) позиция конца подстроки.
Строки можно передать строкой, названием поля или переменной. Если номер позиции больше, чем длина строки исходных данных, возвращается пустая строка.
Примеры использования |
Результат использования |
|
Возвращает часть строки из поля |
|
Возвращает часть строки из переменной |
|
Возвращает всю строку из поля |
Функция "tr"
Убирает из начала и конца строки указанные символы.
Необходимо указать параметры в следующей последовательности:
- исходная строка;
- (необязательно) строка, которую следует удалить из начала и конца исходной строки.
Строки можно передать строкой, названием поля или переменной. Если строку на удаление не указать, в начале и в конце исходной строки будут удалены пробелы.
Примеры использования |
Результат использования |
|
В начале и в конце строки из поля |
|
Если переменной |
|
Если в поле события |
Функция "replace"
Замена в строке всех вхождений последовательности символов А на последовательность символов B.
Необходимо указать параметры в следующей последовательности:
- исходная строка;
- строка поиска: последовательность символов, подлежащая замене;
- строка замены: последовательность символов, на которую необходимо заменить строку поиска.
Строки можно передать выражением.
Примеры использования |
Результат использования |
|
Возвращается строка из поля события |
|
Возвращается строка из переменной |
Функция "regexp_replace"
Замена в строке последовательности символов, удовлетворяющих регулярному выражению, на последовательность символов и группы захвата регулярного выражения.
Необходимо указать параметры в следующей последовательности:
- исходная строка;
- строка поиска: регулярное выражение;
- строка замены: последовательность символов, на которую необходимо заменить строку поиска, и идентификаторы групп захвата регулярного выражения. Строку можно передать выражением.
Строки можно передать строкой, названием поля или переменной. Допускается использовать неименованные группы захвата.
В регулярных выражениях, используемых в функциях переменных, каждый символ обратной косой черты необходимо дополнительно экранировать. Например, вместо регулярного выражения ^example\\
необходимо указывать выражение ^example\\\\
.
Примеры использования |
Результат использования |
|
Возвращается строка из поля события |
Функция "regexp_capture"
Получение из исходной строки результата, удовлетворяющего условию регулярного выражения.
Необходимо указать параметры в следующей последовательности:
- исходная строка;
- строка поиска: регулярное выражение.
Строки можно передать строкой, названием поля или переменной. Допускается использовать неименованные группы захвата.
В регулярных выражениях, используемых в функциях переменных, каждый символ обратной косой черты необходимо дополнительно экранировать. Например, вместо регулярного выражения ^example\\
необходимо указывать выражение ^example\\\\
.
Примеры использования |
Примеры значений |
Результат использования |
|
|
|
Операции с метками времени
Функция now
Получение временной метки в формате epoch. Запускается без аргументов.
Примеры использования |
|
Функция "extract_from_timestamp"
Получение атомарных представлений времени (в виде год, месяц, день, час, минута, секунда, день недели) из полей и переменных с временем в формате epoch.
Параметры необходимо указать в следующей последовательности:
- Поле события, имеющего тип timestamp, или переменная.
- Обозначение атомарного представления времени. Параметр регистрозависимый.
Возможные варианты обозначения атомарного времени:
- y – год в виде числа.
- M – месяц, числовое обозначение.
- d – число месяца.
- wd – день недели: Monday, Tuesday, Wednesday, Thursday, Friday, Saturday, Sunday.
- h – часы в 24-часовом формате.
- m – минуты.
- s – секунды.
- (необязательно) Обозначение часового пояса. Если параметр не указан, время высчитывается в формате UTC.
Примеры использования
extract_from_timestamp(Timestamp, 'wd')
extract_from_timestamp(Timestamp, 'h')
extract_from_timestamp($otherVariable, 'h')
extract_from_timestamp(Timestamp, 'h', 'Europe/Moscow')
Функция "parse_timestamp"
Представление времени из формата RFC3339 (например, "2022-05-24 00:00:00", "2022-05-24 00:00:00+0300) в формат epoch.
Примеры использования |
|
|
Функция "format_timestamp"
Представление времени из формата epoch в формат RFC3339.
Параметры необходимо указать в следующей последовательности:
- Поле события, имеющего тип timestamp, или переменная.
- Обозначение формата времени: RFC3339.
- (необязательно) Обозначение часового пояса. Если параметр не указан, время высчитывается в формате UTC.
Примеры использования
format_timestamp(Timestamp, 'RFC3339')
format_timestamp($otherVariable, 'RFC3339')
format_timestamp(Timestamp, 'RFC3339', 'Europe/Moscow')
Функция "truncate_timestamp"
Округление времени в формате epoch. После округления время возвращается в формате epoch. Время округляется в меньшую сторону.
Параметры необходимо указать в следующей последовательности:
- Поле события, имеющего тип timestamp, или переменная.
- Параметр округления:
- 1s – округление до секунд;
- 1m – округление до минут;
- 1h – округление до часов;
- 24h – округление до суток.
- (необязательно) Обозначение часового пояса. Если параметр не указан, время высчитывается в формате UTC.
Примеры использования
Примеры округляемых значений
Результат использования
truncate_timestamp(Timestamp, '1m')
1654631774175 (7 June 2022 г., 19:56:14.175)
1654631760000 (7 June 2022 г., 19:56:00)
truncate_timestamp($otherVariable, '1h')
1654631774175 (7 June 2022 г., 19:56:14.175)
1654628400000 (7 June 2022 г., 19:00:00)
truncate_timestamp(Timestamp, '24h', 'Europe/Moscow')
1654631774175 (7 June 2022 г., 19:56:14.175)
1654560000000 (7 June 2022 г., 0:00:00)
Функция "time_diff"
Получение интервала времени между двумя метками времени в формате epoch.
Параметры необходимо указать в следующей последовательности:
- Время конца отрезка. Поле события, имеющего тип timestamp, или переменная.
- Время начала отрезка. Поле события, имеющего тип timestamp, или переменная.
- Представление временного интервала:
- ms – в миллисекундах;
- s – в секундах;
- m – в минутах;
- h – в часах;
- d – в днях.
Примеры использования
time_diff(EndTime, StartTime, 's')
time_diff($otherVariable, Timestamp, 'h')
time_diff(Timestamp, DeviceReceiptTime, 'd')
Математические операции
Представлены как простейшими математическими операциями, так и функциями.
Простейшие математические операции
Операции:
- сложение;
- вычитание;
- умножение;
- деление;
- деление по модулю.
Использование круглых скобок определяет последовательность действий
Доступные аргументы:
- числовые поля события;
- числовые переменные;
- вещественные числа.
При делении по модулю в качестве аргументов можно использовать только натуральные числа.
Ограничения использования:
- деление на ноль возвращает ноль;
- математические операции между числами и строками возвращают ноль;
- целые числа, полученные в результате операций, возвращаются без точки.
Примеры использования
(Type=3; otherVariable=2; Message=text)
Результат использования
Type + 1
4
$otherVariable - Type
-1
2 * 2.5
5
2 / 0
0
Type * Message
0
(Type + 2) * 2
10
Type % $otherVariable
1
Функция "round"
Округление чисел.
Доступные аргументы:
- числовые поля события;
- числовые переменные;
- числовые константы.
Примеры использования
(DeviceCustomFloatingPoint1=7.75; DeviceCustomFloatingPoint2=7.5 otherVariable=7.2)
Результат использования
round(DeviceCustomFloatingPoint1)
8
round(DeviceCustomFloatingPoint2)
8
round($otherVariable)
7
Функция "ceil"
Округление чисел в большую сторону.
Доступные аргументы:
- числовые поля события;
- числовые переменные;
- числовые константы.
Примеры использования
(DeviceCustomFloatingPoint1=7.15; otherVariable=8.2)
Результат использования
ceil(DeviceCustomFloatingPoint1)
8
ceil($otherVariable)
9
Функция "floor"
Округление чисел в меньшую сторону.
Доступные аргументы:
- числовые поля события;
- числовые переменные;
- числовые константы.
Примеры использования
(DeviceCustomFloatingPoint1=7.15; otherVariable=8.2)
Результат использования
floor(DeviceCustomFloatingPoint1)
7
floor($otherVariable)
8
Функция "abs"
Получение числа по модулю.
Доступные аргументы:
- числовые поля события;
- числовые переменные;
- числовые константы.
Примеры использования
(DeviceCustomNumber1=-7; otherVariable=-2)
Результат использования
abs(DeviceCustomFloatingPoint1)
7
abs($otherVariable)
2
Функция "pow"
Возведение числа в степень.
Параметры необходимо указать в следующей последовательности:
- База – вещественные числа.
- Степень – натуральные числа.
Доступные аргументы:
- числовые поля события;
- числовые переменные;
- числовые константы.
Примеры использования
pow(DeviceCustomNumber1, DeviceCustomNumber2)
pow($otherVariable, DeviceCustomNumber1)
Функция "str_join"
Позволяет объединить несколько строк в одну с использованием разделителя.
Параметры необходимо указать в следующей последовательности:
- Разделитель. Строка.
- Строка1, строка2, строкаN. Минимум 2 выражения.
Примеры использования
Результат использования
str_join('|', to_lower(Name), to_upper(Name), Name)
Строка.
Функция "conditional"
Позволяет получить одно значения в случае выполнения условия и другое значение, если условие не выполнится.
Параметры необходимо указать в следующей последовательности:
- Условие. Строка. Синтаксис аналогичен условиям в SQL Where. В условии можно использовать функции переменных KUMA и ссылаться на другие переменные.
- Значение при выполнении условия. Выражение.
- Значение при невыполнении условия. Выражение.
Поддерживаемые операторы:
- AND
- OR
- NOT
- =
- !=
- <
- <=
- >
- >=
- LIKE (передается регулярное выражение RE2, а не SQL-выражение)
- ILIKE (передается регулярное выражение RE2, а не SQL-выражение)
- BETWEEN
- IN
- IS NULL (проверка на пустое значение, например 0 или пустую строку)
Примеры использования (значение зависит от аргументов 2 и 3)
conditional('SourceUserName = \\'root\\' AND DestinationUserName = SourceUserName', 'match', 'no match')
conditional(`DestinationUserName ILIKE 'svc_.*'`, 'match', 'no match')
conditional(`DestinationUserName NOT LIKE 'svc_.*'`, 'match', 'no match')
Объявление переменных
Для объявления переменных их необходимо добавить в коррелятор или правило корреляции.
Чтобы добавить глобальную переменную в существующий коррелятор:
- В веб-интерфейсе KUMA в разделе Ресурсы → Корреляторы выберите набор ресурсов нужного коррелятора.
Откроется мастер установки коррелятора.
- Выберите шаг мастера установки Глобальные переменные.
- Нажмите на кнопку Добавить переменную и укажите следующие параметры:
- В окне Переменная введите название переменной.
- В окне Значение введите функцию переменной.
Переменных можно добавить несколько. Добавленные переменные можно изменить или удалить с помощью значка
.
- Выберите шаг мастера установки Проверка параметров и нажмите Сохранить.
Глобальная переменная добавлена в коррелятор. К ней можно обращаться, как к полю события, указывая перед названием переменной символ $. Переменная будет использоваться при корреляции после перезапуска сервиса коррелятора.
Чтобы добавить локальную переменную в существующее правило корреляции:
- В веб-интерфейсе KUMA в разделе Ресурсы → Правила корреляции выберите нужное правило корреляции.
Откроется окно параметров правила корреляции. Параметры правила корреляции можно также открыть из коррелятора, в которое оно было добавлено, перейдя на шаг мастера установки Корреляция.
- Откройте закладку Селекторы.
- В селекторе откройте закладку Локальные переменные, нажмите на кнопку Добавить переменную и укажите следующие параметры:
- В окне Переменная введите название переменной.
- В окне Значение введите функцию переменной.
Переменных можно добавить несколько. Добавленные переменные можно изменить или удалить с помощью значка
.
Для правил корреляции типа standard повторите этот шаг для каждого селектора, в которым вы хотите объявить переменные.
- Нажмите Сохранить.
Локальная переменная добавлена в правило корреляции. К ней можно обращаться, как к полю события, указывая перед названием переменной символ $. Переменная будет использоваться при корреляции после перезапуска сервиса коррелятора.
Добавленные переменные можно изменить или удалить. Если правило корреляции обращается к необъявленной переменной (например, если ее название было изменено), в качестве результата возвращается пустая строка.
Если вы измените название переменной, вам потребуется вручную изменить название этой переменной во всех правилах корреляции, где вы ее использовали.
В началоПредустановленные правила корреляции
В поставку KUMA включены перечисленные в таблице ниже правила корреляции.
Предустановленные правила корреляции
Название правила корреляции |
Описание |
[OOTB] KATA alert |
Используется для обогащения событий KATA. |
[OOTB] Successful Bruteforce |
Срабатывает после выявления успешной попытки аутентификации после множества неуспешных попыток аутентификации. Правило работает на основе событий демона sshd. |
[OOTB][AD] Account created and deleted within a short period of time |
Выявляет факты создания и последующего удаления учётных записей на хостах на базе ОС Microsoft Windows. |
[OOTB][AD] An account failed to log on from different hosts |
Выявляет множественные неуспешные попытки аутентификации на различных хостах. |
[OOTB][AD] Granted TGS without TGT (Golden Ticket) |
Выявляет подозрения на атаку типа "Golden Ticket". Правило работает на основе событий ОС Microsoft Windows. |
[OOTB][AD][Technical] 4768. TGT Requested |
Техническое правило, используется для формирования активного списка – [OOTB][AD] List of requested TGT. EventID 4768. Правило работает на основе событий ОС Microsoft Windows. |
[OOTB][AD] Membership of sensitive group was modified |
Работает на базе событий ОС Microsoft Windows. |
[OOTB][AD] Multiple accounts failed to log on from the same host |
Срабатывает после выявления множественных неуспешных попыток аутентификации на одном хосте от имени разных учётных записей. |
[OOTB][AD] Possible Kerberoasting attack |
Выявляет подозрения на атаки типа "Kerberoasting". Правило работает на основе событий ОС Microsoft Windows. |
[OOTB][AD] Successful authentication with the same account on multiple hosts |
Выявляет подключения на разные хосты под одной учётной записью. Правило работает на основе событий ОС Microsoft Windows. |
[OOTB][AD] The account added and deleted from the group in a short period of time |
Выявляет добавление и последующее удаление пользователя из группы. Правило работает на основе событий ОС Microsoft Windows. |
[OOTB][Net] Possible port scan |
Выявляет подозрения на сканирование порта. Правило работает на основе событий Netflow, Ipfix. |
Фильтры
Фильтры используются для выбора событий на основе определенных пользователем условий.
Это неверно только тогда, когда фильтры используются в сервисе коллектор, где они выбирают все события, которые НЕ удовлетворяют условиям фильтра.
Фильтры можно использовать в следующих сервисах и функциях KUMA:
- Коллектор.
- Коррелятор.
- Хранилище.
- Агенты KUMA.
- Правила корреляции.
- Правила обогащения.
- Правила агрегации.
- Точки назначения.
- Правила реагирования.
- Правила сегментации.
Можно использовать отдельные фильтры или встроенные фильтры, которые хранятся в сервисе или ресурсе, где они были созданы.
Для этих ресурсов в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов.
Доступные параметры фильтра:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. Встроенные фильтры создаются в других ресурсах или сервисах и не имеют имен.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Блок параметров Условия – здесь вы можете сформулировать критерии фильтрации, создав условия фильтрации и группы фильтров, а также добавив существующие фильтры.
С помощью кнопки Добавить группу можно добавить группу фильтров. Можно переключать групповые операторы между И, ИЛИ, НЕ. В группы фильтров можно добавить группы, условия и существующие фильтры. Условия, помещенные в подгруппу НЕ, объединяются оператором И.
С помощью кнопки Добавить фильтр можно добавить существующий фильтр, который следует выбрать в раскрывающемся списке Выберите фильтр.
С помощью кнопки Добавить условие можно добавить строку с полями для определения условия (см. ниже).
Условия, группы и фильтры можно удалить с помощью кнопки
.
Параметры условий:
- Если (обязательно) – в этом раскрывающемся списке можно указать, требуется ли использовать инвертированную функцию оператора
- Левый операнд и Правый операнд (обязательно) – используются для указания значений, которые будет обрабатывать оператор. Доступные типы зависят от выбранного оператора.
- Оператор (обязательно) – используется для выбора оператора условия.
В этом же раскрывающемся списке можно установить флажок без учета регистра, если требуется, чтобы оператор игнорировал регистр значений. Флажок игнорируется, если выбраны операторы inSubnet, inActiveList, inCategory, InActiveDirectoryGroup, hasBit, inDictionary. По умолчанию флажок снят.
Доступные типы операндов зависят от того, является ли операнд левым (L) или правым (R).
Доступные типы операндов для левого (L) и правого (R) операндов
Оператор |
Тип "поле события" |
Тип "активный лист" |
Тип "словарь" |
Тип "таблица" |
Тип "TI" |
Тип "константа" |
Тип "список" |
= |
L,R |
L,R |
L,R |
L,R |
L,R |
R |
R |
> |
L,R |
L,R |
L,R |
L,R |
L |
R |
|
>= |
L,R |
L,R |
L,R |
L,R |
L |
R |
|
< |
L,R |
L,R |
L,R |
L,R |
L |
R |
|
<= |
L,R |
L,R |
L,R |
L,R |
L |
R |
|
inSubnet |
L,R |
L,R |
L,R |
L,R |
L,R |
R |
R |
contains |
L,R |
L,R |
L,R |
L,R |
L,R |
R |
R |
startsWith |
L,R |
L,R |
L,R |
L,R |
L,R |
R |
R |
endsWith |
L,R |
L,R |
L,R |
L,R |
L,R |
R |
R |
match |
L |
L |
L |
L |
L |
R |
R |
hasVulnerability |
L |
L |
L |
L |
|
|
|
hasBit |
L |
L |
L |
L |
|
R |
R |
inActiveList |
|
|
|
|
|
|
|
inDictionary |
|
|
|
|
|
|
|
inCategory |
L |
L |
L |
L |
|
R |
R |
inActiveDirectoryGroup |
L |
L |
L |
L |
|
R |
R |
TIDetect |
|
|
|
|
|
|
|
В поставку KUMA включены перечисленные в таблице ниже фильтры.
Предустановленные фильтры
Название фильтра |
Описание |
[OOTB][AD] A member was added to a security-enabled global group (4728) |
Выбирает события добавления пользователя в группу безопасности (security-enabled global group) Active Directory. |
[OOTB][AD] A member was added to a security-enabled universal group (4756) |
Выбирает события добавления пользователя в группу безопасности (security-enabled universal group) Active Directory. |
[OOTB][AD] A member was removed from a security-enabled global group (4729) |
Выбирает события удаления пользователя из группы безопасности (security-enabled global group) Active Directory. |
[OOTB][AD] A member was removed from a security-enabled universal group (4757) |
Выбирает события удаления пользователя из группы безопасности (security-enabled universal group) Active Directory. |
[OOTB][AD] Account Created |
Выбирает события создания учётной записи в ОС Windows. |
[OOTB][AD] Account Deleted |
Выбирает события удаления учётной записи в ОС Windows. |
[OOTB][AD] An account failed to log on (4625) |
Выбирает события неуспешной попытки входа в ОС Windows. |
[OOTB][AD] Successful Kerberos authentication (4624, 4768, 4769, 4770) |
Выбирает события успешной попытки входа в ОС Windows и события с идентификаторами 4769, 4770, регистрирующиеся на контроллерах домена. |
[OOTB][AD][Technical] 4768. TGT Requested |
Выбирает события Microsoft Windows c идентификатором 4768. |
[OOTB][Net] Possible port scan |
Выбирает события, которые могут говорить о проведении сканирования портов. |
[OOTB][SSH] Accepted Password |
Выбирает события успешного подключения с использование пароля по протоколу SSH. |
[OOTB][SSH] Failed Password |
Выбирает события попыток подключения с использование пароля по протоколу SSH. |
Активные листы
Активный лист – это контейнер для данных, которые используются корреляторами KUMA при анализе событий по правилам корреляции.
Например, если у вас есть список IP-адресов с плохой репутацией, вы можете:
- Создать корреляционное правило типа operational и добавить в активный лист эти IP-адреса.
- Создать корреляционное правило типа standard и указать активный лист в качестве условия фильтрации.
- Создать коррелятор с этим правилом.
В этом случае KUMA выберет все события, которые содержат IP-адреса, внесенные в активный лист, и создаст корреляционное событие.
Вы можете наполнять активные листы автоматически с помощью корреляционных правил типа simple или импортировать файл с данными для активного листа.
Вы можете добавлять, копировать и удалять активные листы.
Активные листы можно использовать в следующих сервисах и функциях KUMA:
Один и тот же активный лист может использоваться в разных корреляторах. При этом для каждого коррелятора создается своя сущность активного листа. Таким образом, содержимое активных листов, используемых разными корреляторами, различается, даже если идентификатор и название активных листов одинаковые.
В активный лист добавляются данные только по правилам корреляции, добавленным в коррелятор.
Вы можете добавлять, изменять, дублировать, удалять и экспортировать записи в активном листе коррелятора.
В процессе корреляции при удалении записей из активных листов в корреляторах создаются служебные события. Эти события существуют только в корреляторах, они не перенаправляются в другие точки назначения. Правила корреляции можно настроить на отслеживание этих событий, чтобы с их помощью распознавать угрозы. Поля служебных событий удаления записи из активного листа описаны ниже.
Поле события |
Значение или комментарий |
|
Идентификатор события |
|
Время удаления записи, срок жизни которой истек |
|
|
|
|
|
|
|
Идентификатор коррелятора |
|
Название коррелятора |
|
Идентификатор активного листа |
|
Ключ записи, чей срок жизни истек. |
|
Увеличенное на единицу количество обновлений удаленной записи |
Просмотр таблицы активных листов
Чтобы просмотреть таблицу активных листов коррелятора:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Сервисы нажмите на кнопку Активные сервисы.
- Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
- Нажмите на кнопку Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
Таблица содержит следующие данные:
- Название – имя активного листа.
- Записи – количество записей в активном листе.
- Размер на диске – размер активного листа.
- Каталог – путь к активному листу на сервере коррелятора KUMA.
Добавление активного листа
Чтобы добавить активный лист:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Ресурсы нажмите на кнопку Активные листы.
- Нажмите на кнопку Добавить активный лист.
- Выполните следующие действия:
- В поле Название введите имя активного листа.
- В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
- В поле Срок жизни укажите время, в течение которого в активном листе будет храниться добавленная в него запись.
По истечении указанного времени запись удаляется. Время указывается в секундах.
Значение по умолчанию: 0. Если в поле указано значение 0, запись хранится 36000 дней (около 100 лет).
- В поле Описание введите любую дополнительную информацию.
Вы можете использовать до 4000 символов в кодировке Unicode.
Поле необязательно для заполнения.
- Нажмите на кнопку Сохранить.
Активный лист будет добавлен.
В началоПросмотр параметров активного листа
Чтобы просмотреть параметры активного листа:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Ресурсы нажмите на кнопку Активные листы.
- В столбце Название выберите активный лист, параметры которого вы хотите просмотреть.
Откроется окно с параметрами активного листа. В нем отображается следующая информация:
- Идентификатор – идентификатор активного листа.
- Название – уникальное имя ресурса.
- Тенант – название тенанта, которому принадлежит ресурс.
- Срок жизни – время, в течение которого в активном листе будет храниться добавленная в него запись. Указывается в секундах.
- Описание – любая дополнительная информация о ресурсе.
Изменение параметров активного листа
Чтобы изменить параметры активного листа:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Ресурсы нажмите на кнопку Активные листы.
- В столбце Название выберите активный лист, параметры которого вы хотите изменить.
- Укажите значения для следующих параметров:
- Название – уникальное имя ресурса.
- Срок жизни – время, в течение которого в активном листе будет храниться добавленная в него запись. Указывается в секундах.
Если в поле указано значение 0, запись хранится бессрочно.
- Описание – любая дополнительная информация о ресурсе.
Поля Идентификатор и Тенант недоступны для редактирования.
Дублирование параметров активного листа
Чтобы скопировать активный лист:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Ресурсы нажмите на кнопку Активные листы.
- Установите флажок рядом с активным листом, который вы хотите скопировать.
- Нажмите на кнопку Дублировать.
- Укажите нужные вам параметры.
- Нажмите на кнопку Сохранить.
Активный лист будет скопирован.
В началоУдаление активного листа
Чтобы удалить активный лист:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Ресурсы нажмите на кнопку Активные листы.
- Установите флажки рядом с активными листами, которые вы хотите удалить.
Если вы хотите удалить все листы, установите флажок рядом со столбцом Название.
Должен быть установлен хотя бы один флажок.
- Нажмите на кнопку Удалить.
- Нажмите на кнопку Ок.
Активные листы будут удалены.
В началоПросмотр записей в активном листе
Чтобы просмотреть список записей в активном листе:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Сервисы нажмите на кнопку Активные сервисы.
- Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
- Нажмите на кнопку Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
- В столбце Название выберите нужный вам активный лист.
Откроется таблица записей для выбранного листа.
Таблица содержит следующие данные:
- Ключ – значение ключа записи.
- Повторы записи – общее количество упоминаний записи в событиях и загрузок идентичных записей при импорте активных листов в KUMA.
- Срок действия – дата и время, когда запись должна быть удалена.
Если при создании активного листа в поле Срок жизни было указано значение 0, записи этого активного листа хранятся 36000 дней (около 100 лет).
- Создано – время создания активного листа.
- Последнее обновление – время последнего обновления активного листа.
Поиск записей в активном листе
Чтобы найти запись в активном листе:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Сервисы нажмите на кнопку Активные сервисы.
- Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
- Нажмите на кнопку Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
- В столбце Название выберите нужный вам активный лист.
Откроется окно со списком записей для выбранного листа.
- В поле Поиск введите значение ключа записи или несколько знаков из ее ключа.
В таблице записей активного листа отобразятся только те записи, в ключе которых есть введенные символы.
В началоДобавление записи в активный лист
Чтобы добавить запись в активный лист:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Сервисы нажмите на кнопку Активные сервисы.
- Установите флажок напротив нужного коррелятора.
- Нажмите на кнопку Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
- В столбце Название выберите нужный вам активный лист.
Откроется окно со списком записей для выбранного листа.
- Нажмите на кнопку Добавить.
Откроется окно Создать новую запись.
- Укажите значения для следующих параметров:
- В поле Ключ введите имя записи.
Вы можете указать несколько значений, используя символ "|".
Поле Ключ не может быть пустым. Если поле остается пустым, при попытке сохранить изменения KUMA возвращает ошибку.
- В поле Значение укажите значение для полей в столбце Поле.
KUMA берет названия полей из корреляционных правил, к которым привязан активный лист. Эти названия недоступны для редактирования. Вы можете удалить эти поля при необходимости.
- Если вы хотите добавить дополнительное значение, нажмите на кнопку Добавить элемент.
- В столбце Поле укажите название поля.
Название должно соответствовать следующим требованиям:
- название уникально;
- не содержит табуляцию;
- не содержит специальные символы, кроме символа нижнего подчеркивания;
- максимальное количество символов – 128.
Название не может начинаться с символа нижнего подчеркивания и содержать только цифры.
- В столбце Значение укажите значение для этого поля.
Оно должно соответствовать следующим требованиям:
- не содержит табуляцию;
- не содержит специальные символы, кроме символа нижнего подчеркивания;
- максимальное количество символов – 1024.
Поле необязательно для заполнения.
- В поле Ключ введите имя записи.
- Нажмите на кнопку Сохранить.
Запись будет добавлена. После сохранения записи в активном листе будут отсортированы в алфавитном порядке.
В началоДублирование записей в активном листе
Чтобы дублировать запись в активном листе:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Сервисы нажмите на кнопку Активные сервисы.
- Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
- Нажмите на кнопку Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
- В столбце Название выберите нужный вам активный лист.
Откроется окно со списком записей для выбранного листа.
- Установите флажок для записи, которую вы хотите скопировать.
- Нажмите на кнопку Дублировать.
- Укажите нужные вам параметры.
Поле Ключ не может быть пустым. Если поле остается пустым, при попытке сохранить изменения KUMA возвращает ошибку.
Редактирование названий полей в столбце Поле для записей, добавленных в активный лист ранее, недоступно. Вы можете менять названия только для записей, добавленных в момент редактирования. Название не может начинаться с символа нижнего подчеркивания и содержать только цифры.
- Нажмите на кнопку Сохранить.
Запись будет скопирована. После сохранения записи в активном листе будут отсортированы в алфавитном порядке.
В началоИзменение записи в активном листе
Чтобы изменить запись в активном листе:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Сервисы нажмите на кнопку Активные сервисы.
- Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
- Нажмите на кнопку Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
- В столбце Название выберите нужный вам активный лист.
Откроется окно со списком записей для выбранного листа.
- Нажмите на название записи в столбце Ключ.
- Укажите требуемые значения.
- Нажмите на кнопку Сохранить.
Запись будет изменена. После сохранения записи в активном листе будут выстроены в алфавитном порядке.
Ограничения, действующие при редактировании записи:
- Название записи недоступно для редактирования. Вы можете изменить его, выполнив импорт аналогичных данных с другим названием.
- Редактирование названий полей в столбце Поле для записей, добавленных в активный лист ранее, недоступно. Вы можете менять названия только для записей, добавленных в момент редактирования. Название не может начинаться с символа нижнего подчеркивания и содержать только цифры.
- Значения в столбце Значение должны соответствовать следующим требованиям:
- не содержит буквы русского алфавита;
- не содержит пробелы и табуляцию;
- не содержит специальные символы, кроме символа нижнего подчеркивания;
- максимальное количество символов – 128.
Удаление записей в активном листе
Чтобы удалить записи из активного листа:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Сервисы нажмите на кнопку Активные сервисы.
- Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
- Нажмите на кнопку Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
- В столбце Название выберите нужный вам активный лист.
Откроется окно со списком записей для выбранного листа.
- Установите флажки для записей, которые вы хотите удалить.
Если вы хотите удалить все записи, установите флажок рядом с названием столбца Ключ.
Должен быть установлен хотя бы один флажок.
- Нажмите на кнопку Удалить.
- Нажмите на кнопку Ок.
Записи будут удалены.
В началоИмпорт данных в активный лист
Чтобы импортировать данные в активный лист:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Сервисы нажмите на кнопку Активные сервисы.
- Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
- Нажмите на кнопку Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
- Наведите курсор мыши на строку с требуемым активным листом.
- Нажмите на
слева от названия активного листа.
- Выберите Импортировать.
Откроется окно импорта активного листа.
- В поле Файл выберите файл, который требуется импортировать.
- В раскрывающемся списке Формат выберите формат файла:
- csv.
- tsv.
- internal.
- В поле Ключевое поле введите название столбца с ключами записей активного листа.
- Нажмите на кнопку Импортировать.
Данные из файла будут импортированы в активный лист. Записи, внесенные в лист ранее, сохраняются.
При импорте данные из файла не проходят проверку на допустимые символы. Если вы будете использовать эти данные в виджетах, при наличии недопустимых символов в данных виджеты будут отображаться некорректно.
В началоЭкспорт данных из активного листа
Чтобы экспортировать активный лист:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Сервисы нажмите на кнопку Активные сервисы.
- Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
- Нажмите на кнопку Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
- Наведите курсор мыши на строку с требуемым активным листом.
- Нажмите на
слева от нужного активного листа.
- Нажмите на кнопку Экспортировать.
Активный лист будет загружен в формате JSON с использованием настроек вашего браузера. Название загруженного файла соответствует названию активного листа.
В началоПредустановленные активные листы
В поставку KUMA включены перечисленные в таблице ниже активные листы.
Предустановленные активные листы
Название активного листа |
Описание |
[OOTB][AD] End-users tech support accounts |
Активный список используется в качестве фильтра при работе корреляционного правила [OOTB][AD] Successful authentication with same user account on multiple hosts. В активный список могут быть добавлены учётные записи сотрудников технической поддержки. Записи не удаляются из активного списка. |
[OOTB][AD] List of requested TGT. EventID 4768 |
Активный список наполняется правилом [OOTB][AD][Technical] 4768. TGT Requested, также данный активный список используется в селекторе правила [OOTB][AD] Granted TGS without TGT (Golden Ticket). Записи удаляются из списка через 10 часов после внесения. |
[OOTB][AD] List of sensitive groups |
Активный список используется в качестве фильтра при работе корреляционного правила [OOTB][AD] Membership of sensitive group was modified. В активный список могут быть добавлены критичные доменные группы, членство в которых необходимо отслеживать. Записи не удаляются из активного списка. |
[OOTB][Linux] CompromisedHosts |
Активный список наполняется правилом [OOTB] Successful Bruteforce потенциально скомпрометированными хостами под управлением ОС Linux. Записи удаляются из списка через 24 часа после внесения. |
Словари
Описание параметров
Словари – это ресурсы, в которых хранятся данные, которые могут использоваться другими ресурсами и сервисами KUMA.
Словари могут использоваться в следующих сервисах и функциях KUMA:
Доступные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Описание – вы можете добавить до 4000 символов в кодировке Unicode, описывающих ресурс.
- Тип (обязательно) – тип словаря. От выбранного типа зависит формат данных, которые может содержать словарь:
- В тип Словарь можно добавлять пары ключ–значение.
Не рекомендуется добавлять в словари этого типа более 50 000 записей.
При добавлении в словарь строк с одинаковыми ключами каждая новая строка будет записана поверх уже существующий строки с тем же самым ключом. В итоге в словарь будет добавлена только одна строка.
- В тип Таблица можно добавлять данные в виде сложных таблиц. С этим типом словарей можно взаимодействовать с помощью REST API.
- В тип Словарь можно добавлять пары ключ–значение.
- Блок параметров Значения – содержит таблицу с данными словаря:
- Для типа Словарь в блоке отображается перечень пар Ключ – Значение. Таблицу можно дополнять строками с помощью кнопки
. Удалить строки можно с помощью кнопки
, которая отображается при наведении курсора мыши на нужную строку.
- Для типа Таблица в блоке отображается таблица с данными. Таблицу можно дополнять строками и столбцами с помощью кнопки
. Удалить строки и столбцы можно с помощью кнопок
, которые отображаются при наведении курсора мыши на нужную строку или заголовок нужного столбца. Заголовки столбцов доступны для редактирования.
Если словарь содержит больше 5000 записей, они не отображаются в веб-интерфейсе KUMA. Для просмотра содержимого таких словарей содержимое необходимо экспортировать в формат CSV. Если CSV-файл отредактировать и снова импортировать в KUMA, словарь будет обновлен.
- Для типа Словарь в блоке отображается перечень пар Ключ – Значение. Таблицу можно дополнять строками с помощью кнопки
Импорт и экспорт словарей
Данные словарей можно импортировать или экспортировать в формате CSV (в кодировке UTF-8) с помощью кнопок Импортировать CSV и Экспортировать CSV.
Формат CSV-файла зависит от типа словаря:
- Тип Словарь:
{КЛЮЧ},{ЗНАЧЕНИЕ}\n
- Тип Таблица:
{Заголовок столбца 1},{Заголовок столбца N},{Заголовок столбца N+1}\n
{Ключ1},{ЗначениеN},{ЗначениеN+1}\n
{Ключ2},{ЗначениеN},{ЗначениеN+1}\n
Ключи должны быть уникальными как для CSV-файла, так и для словаря. В таблицах ключи указываются в первом столбце. Ключ должен содержать от 1 до 128 символов в кодировке Unicode.
Значения должны содержать от нуля до 256 символов в кодировке Unicode.
При импорте содержимое словаря перезаписывается загружаемым файлом. При импорте в словарь также изменяется название ресурса, чтобы отразить имя импортированного файла.
При экспорте, если ключ или значение содержат символы запятой или кавычек (, и "), они заключаются в кавычки ("). Кроме того, символ кавычки (") экранируется дополнительной кавычкой (").
Если в импортируемом файле обнаружены некорректные строки (например, неверные разделители), то при импорте в словарь такие строки будут проигнорированы, а при импорте в таблицу процесс импорта будет прерван.
Взаимодействие со словарями через API
С помощью REST API можно считывать содержимое словарей типа Таблица, а также изменять его, даже если эти ресурсы используются активными сервисами. Это позволяет, например, настроить обогащение событий данными из динамически изменяемых таблиц, выгружаемых из сторонних приложений.
Предустановленные словари
В поставку KUMA включены перечисленные в таблице ниже словари.
Предустановленные словари
Название словаря |
Тип |
Описание |
[OOTB] Ahnlab. Severity |
dictionary |
Содержит таблицу соответствия между идентификатором приоритета и его названием. |
[OOTB] Ahnlab. SeverityOperational |
dictionary |
Содержит значения параметра SeverityOperational и соответствующее ему описание. |
[OOTB] Ahnlab. VendorAction |
dictionary |
Содержит таблицу соответствия между идентификатором выполняемой операции и её названием. |
[OOTB] Cisco ISE Message Codes |
dictionary |
Cодержит коды событий Cisco ISE и соотвествующие им имена. |
[OOTB] DNS. Opcodes |
dictionary |
Содержит таблицу соответствия между десятичными кодами операций DNS и их описаниями, зарегистрированными IANA. |
[OOTB] IANAProtocolNumbers |
dictionary |
Содержит номера портов транспортных протоколов (TCP, UDP) и соответствующие им имена сервисов, зарегистрированные IANA. |
[OOTB] Juniper - JUNOS |
dictionary |
Содержит идентификаторы событий JUNOS и соответствующие им описания. |
[OOTB] KEDR. AccountType |
dictionary |
Содержит идентификатор типа учетной записи и соответствующее ему наименование типа. |
[OOTB] KEDR. FileAttributes |
dictionary |
Cодержит идентификаторы атрибутов файлов, хранимые файловой системой, и соответствующие им описания. |
[OOTB] KEDR. FileOperationType |
dictionary |
Содержит идентификаторы операций с файлами из API KATA и соответствующие им названия операции. |
[OOTB] KEDR. FileType |
dictionary |
Содержит идентификаторы изменённого файла из API KATA и соответствующие им описания типов файлов. |
[OOTB] KEDR. IntegrityLevel |
dictionary |
Содержит SID параметра INTEGRITY LEVEL операционной системы Microsoft Windows и соответствующие им описания. |
[OOTB] KEDR. RegistryOperationType |
dictionary |
Содержит идентификаторы операций с реестром из API KATA и соответствующие им значения. |
[OOTB] Linux. Sycall types |
dictionary |
Содержит идентификаторы системных вызовов ОС Linux и соответствующие им названия. |
[OOTB] MariaDB Error Codes |
dictionary |
Словарь содержит коды ошибок СУБД MariaDB и используется нормализатором [OOTB] MariaDB Audit Plugin syslog для обогащения событий. |
[OOTB] Microsoft SQL Server codes |
dictionary |
Содержит идентификаторы ошибок MS SQL Server и соответствующие им описания. |
[OOTB] MS DHCP Event IDs Description |
dictionary |
Содержит идентификаторы событий DHCP сервера Microsoft Windows и соответствующие им описания. |
[OOTB] S-Terra. Dictionary MSG ID to Name |
dictionary |
Содержит идентификаторы событий устройств S-Terra и соответствующие им имена событий. |
[OOTB] S-Terra. MSG_ID to Severity |
dictionary |
Содержит идентификаторы событий устройств S-Terra и соответствующие им значения Severity. |
[OOTB] Syslog Priority To Facility and Severity |
table |
Таблица содержит значения Priority и соответствующие ему значения полей Facility and Severity. |
[OOTB] VipNet Coordinator Syslog Direction |
dictionary |
Содержит идентификаторы направления (последовательность специальных символов), используемые в ViPNet Coordinator для обозначения направления, и соответствующие им значения. |
[OOTB] Wallix EventClassId - DeviceAction |
dictionary |
Cодержит индентифкаторы событий Wallix AdminBastion и соответствующие им описания. |
[OOTB] Windows.Codes (4738) |
dictionary |
Содержит коды операции, присутствующие в событии аудита MS Windows с идентификатором 4738, и соотвествующие им имена. |
[OOTB] Windows.Codes (4719) |
dictionary |
Содержит коды операции, присутствующие в событии аудита MS Windows с идентификатором 4719, и соотвествующие им имена. |
[OOTB] Windows.Codes (4663) |
dictionary |
Содержит коды операции, присутствующие в событии аудита MS Windows с идентификатором 4663, и соотвествующие им имена. |
[OOTB] Windows.Codes (4662) |
dictionary |
Содержит коды операции, присутствующие в событии аудита MS Windows с идентификатором 4662, и соотвествующие им имена. |
[OOTB] Windows. EventIDs and Event Names mapping |
dictionary |
Содержит идентификаторы событий ОС Windows и соответствующие имена событий. |
[OOTB] Windows. FailureCodes (4625) |
dictionary |
Содержит идентификаторы из полей Failure Information\Status и Failure Information\Sub Status события 4625 Microsoft Windows и соответствующие им описания. |
[OOTB] Windows. ImpersonationLevels (4624) |
dictionary |
Содержит идентификаторы из поля Impersonation level событий с идентификатором 4624 Microsoft Windows и соответствующие им описания. |
[OOTB] Windows. KRB ResultCodes |
dictionary |
Содержит коды ошибок Kerberos v5 и соответствующие им описания. |
[OOTB] Windows. LogonTypes (Windows all events) |
dictionary |
Содержит идентификаторы типов входов пользователя и соответствующие им наименования. |
[OOTB] Windows_Terminal Server. EventIDs and Event Names mapping |
dictionary |
Содержит индентификаторы событий Microsoft Terminal Server и соотвествующие им имена. |
[OOTB] Windows. Validate Cred. Error Codes |
dictionary |
Содержит идентификаторы типов входов пользователя и соответствующие им наименования. |
[OOTB] ViPNet Coordinator Syslog Direction |
dictionary |
Содержит идентификаторы направления (последовательность специальных символов), используемые в ViPNet Coordinator для обозначения направления и соотвествующие им значения. |
[OOTB] Syslog Priority To Facility and Severity |
table |
Cодержит значения Priority и соотвествуюие ему значения полей Facility and Severity. |
Правила реагирования
Правила реагирования запускают для заданных событий автоматическое выполнение задач Kaspersky Security Center, действия по реагированию для Kaspersky Endpoint Detection and Response, KICS for Networks, Active Directory и запуск пользовательского скрипта.
Автоматическое выполнение задач Kaspersky Security Center, Kaspersky Endpoint Detection and Response, KICS for Networks и Active Directory по правилам реагирования доступно при интеграции с перечисленными программами.
Можно настроить правила реагирования в разделе Ресурсы - Реагирование, а затем выбрать созданное правило реагирования в раскрывающемся списке в настройках коррелятора. Также можно настроить правила реагирования прямо в настройках коррелятора.
Правила реагирования для Kaspersky Security Center
Вы можете настроить правила реагирования для автоматического запуска задач антивирусной проверки и обновления на активах Kaspersky Security Center.
При создании и изменении правил реагирования для Kaspersky Security Center вам требуется задать значения для следующих параметров.
Параметры правила реагирования
Параметр |
Описание |
---|---|
Название |
Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. |
Тенант |
Обязательный параметр. Название тенанта, которому принадлежит ресурс. |
Тип |
Обязательный параметр, доступен при интеграции KUMA с Kaspersky Security Center. Тип правила реагирования, ksctasks. |
Задача Kaspersky Security Center |
Обязательный параметр. Название задачи Kaspersky Security Center, которую требуется запустить. Задачи должны быть созданы заранее, их названия должны начинаться со слова " С помощью KUMA можно запустить следующие типы задач Kaspersky Security Center:
|
Поле события |
Обязательный параметр. Определяет поле события для актива, для которого нужно запустить задачу Kaspersky Security Center. Возможные значения:
|
Рабочие процессы |
Количество процессов, которые сервис может запускать одновременно. По умолчанию количество рабочих процессов соответствует количеству виртуальных процессоров сервера, на котором установлен сервис. |
Описание |
Описание правила реагирования. Вы можете добавить до 4000 символов в кодировке Unicode. |
Фильтр |
Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. |
Для отправки запросов в Kaspersky Security Center необходимо убедиться, что Kaspersky Security Center доступен по протоколу UDP.
Если правила реагирования принадлежат общему тенанту, то в качестве доступных для выбора задач Kaspersky Security Center отображаются задачи от сервера Kaspersky Security Center, к которому подключен главный тенант.
Если в правиле реагирования выбрана задача, которая отсутствует на сервере Kaspersky Security Center, к которому подключен тенант, для активов этого тенанта задача не будет выполнена. Такая ситуация может возникнуть, например, когда два тенанта используют общий коррелятор.
В началоПравила реагирования для пользовательского скрипта
Вы можете создать скрипт с командами, которые требуется выполнить на сервере KUMA при обнаружении выбранных событий, и настроить правила реагирования для автоматического запуска этого скрипта. В этом случае программа запустит скрипт при получении событий, соответствующих правилам реагирования.
Файл скрипта хранится на сервере, где установлен сервис коррелятора, использующий ресурс реагирования: /opt/kaspersky/kuma/correlator/<Идентификатор коррелятора>/scripts. Пользователю kuma
этого сервера требуются права на запуск скрипта.
При создании и изменении правил реагирования для произвольного скрипта вам требуется задать значения для следующих параметров.
Параметры правила реагирования
Параметр |
Описание |
---|---|
Название |
Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. |
Тенант |
Обязательный параметр. Название тенанта, которому принадлежит ресурс. |
Тип |
Обязательный параметр. Тип правила реагирования, script. |
Время ожидания |
Количество секунд, в течение которого должно завершиться выполнение скрипта. Если это время превышено, выполнение скрипта прерывается. |
Название скрипта |
Обязательный параметр. Имя файла скрипта. Если ресурс реагирования прикреплен к сервису коррелятора, но в папке /opt/kaspersky/kuma/correlator/<Идентификатор коррелятора>/scripts файл скрипта отсутствует, коррелятор не будет работать. |
Аргументы скрипта |
Параметры или значения полей событий, которые необходимо передать скрипту. Если в скрипте производятся какие-либо действия с файлами, к ним следует указывать абсолютный путь. Параметры можно обрамлять кавычками ("). Имена полей событий передаются в формате Пример: |
Рабочие процессы |
Количество процессов, которые сервис может запускать одновременно. По умолчанию количество рабочих процессов соответствует количеству виртуальных процессоров сервера, на котором установлен сервис. |
Описание |
Описание ресурса. Вы можете добавить до 4000 символов в кодировке Unicode. |
Фильтр |
Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. |
Правила реагирования для KICS for Networks
Вы можете настроить правила реагирования для автоматического запуска действий по реагированию на активах KICS for Networks. Например, изменить статус актива в KICS for Networks.
При создании и изменении правил реагирования для KICS for Networks вам требуется задать значения для следующих параметров.
Параметры правила реагирования
Параметр |
Описание |
---|---|
Название |
Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. |
Тенант |
Обязательный параметр. Название тенанта, которому принадлежит ресурс. |
Тип |
Обязательный параметр. Тип правила реагирования, kics. |
Поле события |
Обязательный параметр. Определяет поле события для актива, для которого нужно выполнить действия по реагированию. Возможные значения:
|
Задача KICS for Networks |
Действие по реагированию, которое требуется выполнить при получении данных, соответствующих фильтру. Доступны следующие типы действий по реагированию:
При срабатывании правила реагирования из KUMA в KICS for Networks будет отправлен API-запрос на изменение статуса указанного устройства на Разрешенное или Неразрешенное. |
Рабочие процессы |
Количество процессов, которые сервис может запускать одновременно. По умолчанию количество рабочих процессов соответствует количеству виртуальных процессоров сервера, на котором установлен сервис. |
Описание |
Описание ресурса. Вы можете добавить до 4000 символов в кодировке Unicode. |
Фильтр |
Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. |
Правила реагирования для Kaspersky Endpoint Detection and Response
Вы можете настроить правила реагирования для автоматического запуска действий по реагированию на активах Kaspersky Endpoint Detection and Response. Например, вы можете настроить автоматическую изоляцию актива от сети.
При создании и изменении правил реагирования для Kaspersky Endpoint Detection and Response вам требуется задать значения для следующих параметров.
Параметры правила реагирования
Параметр |
Описание |
---|---|
Поле события |
Обязательный параметр. Определяет поле события для актива, для которого нужно выполнить действия по реагированию. Возможные значения:
|
Тип задачи |
Действие по реагированию, которое требуется выполнить при получении данных, соответствующих фильтру. Доступны следующие типы действий по реагированию:
Хотя бы одно из указанных выше полей должно быть заполнено.
Все перечисленные операции выполняются на активах с Kaspersky Endpoint Agent для Windows. На активах с Kaspersky Endpoint Agent для Linux выполняется только запуск программы. На программном уровне возможность создания правил запрета и сетевой изоляции для активов с Kaspersky Endpoint Agent для Linux не ограничена. KUMA и Kaspersky Endpoint Detection and Response не уведомляют о неуспешном применении этих правил. |
Рабочие процессы |
Количество процессов, которые сервис может запускать одновременно. По умолчанию количество рабочих процессов соответствует количеству виртуальных процессоров сервера, на котором установлен сервис. |
Описание |
Описание правила реагирования. Вы можете добавить до 4000 символов в кодировке Unicode. |
Фильтр |
Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. |
Правила реагирования через Active Directory
Правила реагирования через Active Directory определяют действия, которые будут применяться к учетной записи в случае срабатывания правила.
При создании и изменении правил реагирования через Active Directory вам требуется задать значения для следующих параметров.
Параметры правила реагирования
Параметр |
Описание |
---|---|
Название |
Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. |
Тенант |
Обязательный параметр. Название тенанта, которому принадлежит ресурс. |
Тип |
Обязательный параметр. Тип правила реагирования, Реагирование через Active Directory. |
Источник идентификатора аккаунта |
Поле события, откуда будет взято значение идентификатора учетной записи Active Directory. Возможные значения:
|
Команда Active Directory |
Команда, которая будет применяться к учетной записи при срабатывании правила реагирования. Доступные значения:
Если в вашем домене Active Directory для учетных записей допускается установка флажка User cannot change password, использование в качестве реагирования сброса пароля учетной записи приведет к коллизии требований к учетной записи: пользователь не сможет аутентифицироваться. Администратору домена потребуется снять один из флажков для затронутой учетной записи: User cannot change password или User must change password at next logon.
|
Фильтр |
Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. |
Шаблоны уведомлений
Шаблоны уведомлений используются в уведомлениях о создании алертов.
Параметры шаблонов уведомлений
Параметр |
Описание |
---|---|
Название |
Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. |
Тенант |
Обязательный параметр. Название тенанта, которому принадлежит ресурс. |
Тема |
Тема электронного письма с уведомлением о создании алерта. В теме письма можно обращаться к полям алерта. Пример: |
Шаблон |
Обязательный параметр. Тело электронного письма с уведомлением о создании алерта. Шаблон поддерживает синтаксис, с помощью которого уведомление можно наполнить данными из алерта. Подробнее про синтаксис вы можете прочитать в официальной документации языка Go. Для удобства можно открыть текст письма в отдельном окне, нажав на значок |
Предустановленные шаблоны уведомлений
В поставку KUMA включены перечисленные в таблице ниже шаблоны уведомлений.
Предустановленные шаблоны уведомлений
Название шаблона |
Описание |
[OOTB] New alert in KUMA |
Базовый шаблон уведомлений. |
Функции в шаблонах уведомлений
В шаблонах доступны функции, перечисленные в таблице ниже.
Функции в шаблонах
Параметр |
Описание |
---|---|
|
Принимает первым параметром время в миллисекундах (unix time), вторым параметром можно передать формат времени по стандартам RFC. Часовой пояс изменить нельзя. Пример вызова: Результат вызова: 18 Nov 2022 13:46 Примеры форматов дат, поддерживаемые функцией:
|
|
Функция вызывается внутри функции range для ограничения списка данных. Обрабатывает списки которые не имеют ключей, принимает любой список данных первым параметром и обрезает список по второму значению. Например, в функцию можно передавать поля алерта Пример вызова:
|
|
Формирует ссылку на алерт с URL, указанным в настройках подключения к SMTP-серверу в качестве псевдонима сервера Ядра KUMA или с реальным URL сервиса Ядра KUMA, если псевдоним не задан. Пример вызова:
|
|
Принимает вид ссылки, доступной для перехода. Пример вызова:
|
Синтаксис шаблона уведомления
В шаблоне можно обращаться к полям алерта, содержащим строку или число:
|
В письме будет отображаться название алерта, то есть содержимое поля CorrelationRuleName
.
Некоторые поля алерта содержат массивы данных. Например, это поля алерта с относящимися к нему событиями, активами, учетными записями. К таким вложенным объектам можно обращаться с помощью функции range, которая последовательно обращается к полям 50 первых вложенных объектов. При обращении с помощью функции range к полю, в котором нет массива данных, возвращается ошибка. Пример:
|
В письме будут отображаться значения полей DeviceHostName
и CreatedAt
из 50 связанных с алертом активов:
|
С помощью параметра limit можно ограничить количество объектов, возвращаемых функцией range:
|
В письме будут отображаться значения полей DisplayName
и CreatedAt
из 5 связанных с алертом активов, слова "Устройства" и "Дата создания" выделены HTML-тегами <strong>:
|
Вложенные объекты могут иметь свои вложенные объекты. К ним можно обратиться с помощью вложенных функций range:
|
В письме будет отображаться по десять идентификаторов сервисов (поле ServiceID
) из базовых событий, относящихся к пяти корреляционным событиям алерта. Всего 50 строк. Обратите внимание, что обращение к событиям происходит через вложенную структуру EventWrapper, которая находится в алерте в поле Events. События доступны в поле Event этой структуры, что отражено в примере выше. Таким образом, если поле A содержит вложенную структуру [B] и в структуре [B] есть поле C, которое является строкой или числом, то чтобы обратиться к полю C необходимо указать путь {{ A.C }}.
Некоторые поля объектов содержат вложенные словари в формате "ключ - значение" (например, поле событий Extra
). К ним можно обратиться с помощью функции range с переданными ей переменными: range $placeholder1, $placeholder2 := .FieldName
. Значения переменных затем можно вызывать, указывая из названия. Пример:
|
В письме через HTML-тег <br> будут отображаться пары "ключ - значение" из полей Extra
базовых событий, принадлежащих корреляционным событиям. Вызываются данные из пяти базовых событий из каждого из трех корреляционных событий.
В шаблонах уведомлений можно использовать HTML-теги, выстраивая их в сложные структуры. Ниже приводится пример таблицы для полей корреляционного события:
|
С помощью функции link_alert в письмо с уведомлением можно вставить HTML-ссылку на алерт:
|
В письме будет отображаться ссылка на окно алерта.
Ниже приведен пример, как можно из связанных с алертом данных извлечь сведения о наивысшей категории активов и поместить ее в уведомления:
|
Коннекторы
Коннекторы используются для установления соединений между сервисами KUMA, активного и пассивного получения событий.
В программе доступны следующие типы коннекторов:
- internal – используется для установления связи между сервисами KUMA.
- tcp – используется для пассивного получения событий по протоколу TCP. Доступен для агентов Windows и Linux.
- udp – используется для пассивного получения событий по протоколу UDP. Доступен для агентов Windows и Linux.
- netflow – используется для пассивного получения событий в формате NetFlow.
- sflow – используется для пассивного получения событий в формате SFlow.
- nats-jetstream – используется для взаимодействия с брокером сообщений NATS. Доступен для агентов Windows и Linux.
- kafka – используется для коммуникации с шиной данных Apache Kafka. Доступен для агентов Windows и Linux.
- http – используется для получения событий по протоколу HTTP. Доступен для агентов Windows и Linux.
- sql – используется для выборки данных из СУБД.
Программа поддерживает работу со следующими типами баз данных SQL:
- SQLite.
- MSSQL.
- MySQL.
- PostgreSQL.
- Cockroach.
- Oracle.
- Firebird.
- file – используется для получения данных из текстового файла. Доступен для агентов Linux.
- 1c-log и 1c-xml – используются для получения данных из журналов 1С. Доступны для агентов Linux.
- diode – используется для однонаправленной передачи данных в промышленных ICS-сетях с использованием диодов данных.
- ftp – используется для получения данных по протоколу File Transfer Protocol. Доступен для агентов Windows и Linux.
- nfs – используется для получения данных по протоколу Network File System. Доступен для агентов Windows и Linux.
- wmi – используется для получения данных с помощью Windows Management Instrumentation. Доступен для агентов Windows.
- wec – используется для получения данных с помощью Windows Event Forwarding (WEF) и Windows Event Collector (WEC) или локальных журналов ОС хоста под управлением Windows. Доступен для агентов Windows.
- snmp – используется для получения данных с помощью Simple Network Management Protocol. Доступен для агентов Windows и Linux.
- snmp-trap – используется для получения данных с помощью "ловушек" Simple Network Management Protocol (SNMP Trap). Доступен для агентов Windows и Linux.
Просмотр параметров коннектора
Чтобы просмотреть параметры коннектора:
- В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коннекторы.
- В структуре папок выберите папку, в которой располагается нужный вам коннектор.
- Выберите коннектор, параметры которого вы хотите просмотреть.
Параметры коннекторов отображаются на двух вкладках: Основные параметры и Дополнительные параметры. Подробное описание параметров каждого коннектора см. в разделе Параметры коннекторов.
В началоДобавление коннектора
Вы можете включить отображение непечатаемых символов для всех полей ввода, кроме поля Описание.
Чтобы добавить коннектор:
- В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Коннекторы.
- В структуре папок выберите папку, в которой должен располагаться коннектор.
Корневые папки соответствуют тенантам. Для того, чтобы коннектор был доступен определенному тенанту, его следует создать в папке этого тенанта.
Если в дереве папок отсутствует требуемая папка, вам нужно создать ее.
По умолчанию добавляемые коннекторы создаются в папке Общий.
- Нажмите на кнопку Добавить коннектор.
- Укажите параметры для выбранного типа коннектора.
Параметры, которые требуется указать для каждого типа коннектора, приведены в разделе Параметры коннекторов.
- Нажмите на кнопку Сохранить.
Параметры коннекторов
Этот раздел содержит описание параметров всех поддерживаемых KUMA типов коннекторов.
Тип internal
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, internal.
- URL (обязательно) – URL, с которым необходимо установить связь.
- Доступные форматы: hostname:port, IPv4:port, IPv6:port, :port.
- Описание – описание ресурса: до 4000 символов в кодировке Unicode.
Закладка Дополнительные параметры:
- Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса.
По умолчанию указывается значение Выключено.
Тип tcp
При создании этого типа коннектора вам требуется указать значения следующих параметров:
Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, tcp.
- URL (обязательно) – URL, с которым необходимо установить связь. Доступные форматы: hostname:port, IPv4:port, IPv6:port, :port.
- Разделитель – используется для указания символа, определяющего границу между событиями. Доступные значения:
\n
,\t
,\0
. Если разделитель не задан (выбрано пустое значение), то по умолчанию используется значение:\n
. - Описание – описание ресурса: до 4000 символов в кодировке Unicode.
Закладка Дополнительные параметры:
- Размер буфера – используется для установки размера буфера коннектора. Значение по умолчанию: 1 МБ; максимальное: 64 МБ.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Режим TLS – режим шифрования TLS с использованием сертификатов в формате pem x509:
- Выключено (по умолчанию) – не использовать шифрование TLS.
- Включено – использовать шифрование, но без верификации сертификатов.
- С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
- Нестандартный PFX – использовать шифрование. При выборе этого варианта требуется сформировать сертификат с закрытым ключом в формате PKCS#12-контейнера во внешнем центре сертификации, экспортировать сертификат из хранилища и загрузить его в веб-интерфейс KUMA в виде PFX-секрета. Добавить PFX-секрет.
При использовании TLS невозможно указать IP-адрес в качестве URL.
- Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
- Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
Тип udp
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, udp.
- URL (обязательно) – URL, с которым необходимо установить связь. Доступные форматы: hostname:port, IPv4:port, IPv6:port, :port.
- Разделитель – используется для указания символа, определяющего границу между событиями. Доступные значения:
\n
,\t
,\0
. Если разделитель не задан (выбрано пустое значение), то события не разделяются. - Описание – описание ресурса: до 4000 символов в кодировке Unicode.
Закладка Дополнительные параметры:
- Размер буфера – используется для установки размера буфера коннектора. Значение по умолчанию: 16 Кб; максимальное: 64 Кб.
- Рабочие процессы – используется для установки числа рабочих процессов для коннектора. Значение по умолчанию: 1.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
- Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
Тип netflow
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, netflow.
- URL (обязательно) – URL, с которым необходимо установить связь.
- Описание – описание ресурса: до 4000 символов в кодировке Unicode.
- Закладка Дополнительные параметры:
- Размер буфера – используется для установки размера буфера коннектора. Значение по умолчанию: 16 Кб; максимальное: 64 Кб.
- Рабочие процессы – используется для установки числа рабочих процессов для коннектора. Значение по умолчанию: 1.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
Тип sflow
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, sflow.
- URL (обязательно) – URL, с которым требуется установить связь. Доступные форматы: hostname:port, IPv4:port, IPv6:port, :port.
- Описание – описание ресурса: до 4000 символов в кодировке Unicode.
Закладка Дополнительные параметры:
- Размер буфера – используется для установки размера буфера коннектора. Значение по умолчанию: 1 МБ; максимальное: 64 МБ.
- Рабочие процессы – используется для установки количества рабочих процессов для коннектора. Значение по умолчанию: 1.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Отладка – раскрывающийся список, позволяющий включить логирование ресурса. По умолчанию указывается значение Выключено.
Тип nats-jetstream
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, nats-jetstream.
- URL (обязательно) – URL, с которым необходимо установить связь.
- Топик (обязательно) – тема сообщений NATS. Должно содержать символы в кодировке Unicode.
- Разделитель – используется для указания символа, определяющего границу между событиями. Доступные значения:
\n
,\t
,\0
. Если разделитель не задан (выбрано пустое значение), то события не разделяются. - Описание – описание ресурса: до 4000 символов в кодировке Unicode.
Закладка Дополнительные параметры:
- Размер буфера – используется для установки размера буфера коннектора. Значение по умолчанию: 16 Кб; максимальное: 64 Кб.
- Идентификатор группы – параметр GroupID для сообщений NATS. Должно содержать от 1 до 255 символов в кодировке Unicode. Значение по умолчанию:
default
. - Рабочие процессы – используется для установки числа рабочих процессов для коннектора. Значение по умолчанию: 1.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Идентификатор кластера – идентификатор кластера NATS.
- Режим TLS – использование шифрования TLS:
- Выключено (по умолчанию) – не использовать шифрование TLS.
- Включено – использовать шифрование, но без верификации сертификата.
- С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
- Нестандартный CA – использовать шифрование с верификацией сертификата, подписанного центром сертификации. Секрет с сертификатом выбирается в раскрывающемся списке Нестандартный CA, который отображается при выборе этого пункта.
Создание сертификата, подписанного центром сертификации
При использовании TLS невозможно указать IP-адрес в качестве URL.
Для использования сертификатов KUMA на сторонних устройствах необходимо изменить расширение файла сертификата с CERT на CRT. В противном случае может возвращаться ошибка x509: certificate signed by unknown authority.
- Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
- Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
Тип kafka
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, kafka.
- URL – URL, с которым необходимо установить связь. Доступные форматы: hostname:port, IPv4:port, IPv6:port.
- Топик – тема сообщений Kafka. Должен содержать от 1 до 255 следующих символов: a–z, A–Z, 0–9, ".", "_", "-".
- Авторизация – необходимость агентам проходить авторизацию при подключении к коннектору:
- выключена (по умолчанию).
- PFX.
При выборе этого варианта требуется сформировать сертификат с закрытым ключом в формате PKCS#12-контейнера во внешнем центре сертификации, экспортировать сертификат из хранилища и загрузить его в веб-интерфейс KUMA в виде PFX-секрета.
- обычная.
При выборе этого варианта требуется указать секрет, содержащий данные учетной записи пользователя для авторизации при подключении к коннектору.
- Идентификатор группы – параметр GroupID для сообщений Kafka. Должен содержать от 1 до 255 следующих символов: a–z, A–Z, 0–9, ".", "_", "-".
- Описание – описание ресурса: до 4000 символов в кодировке Unicode.
Закладка Дополнительные параметры:
- Размер одного сообщения в запросе – размер сообщения в запросе следует указывать в байтах. Значение по умолчанию 16 Мб.
- Максимальное время ожидания одного сообщения – время ожидания сообщения заданного размера. Значение по умолчанию 5 секунд.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Режим TLS – использование шифрования TLS:
- Выключено (по умолчанию) – не использовать шифрование TLS.
- Включено – использовать шифрование, но без верификации сертификата.
- С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
- Нестандартный CA – использовать шифрование с верификацией сертификата, подписанного центром сертификации. Секрет с сертификатом выбирается в раскрывающемся списке Нестандартный CA, который отображается при выборе этого пункта.
Создание сертификата, подписанного центром сертификации
При использовании TLS невозможно указать IP-адрес в качестве URL.
Для использования сертификатов KUMA на сторонних устройствах необходимо изменить расширение файла сертификата с CERT на CRT. В противном случае может возвращаться ошибка x509: certificate signed by unknown authority.
- Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
Тип http
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, http.
- URL (обязательно) – URL, с которым необходимо установить связь. Доступные форматы: hostname:port, IPv4:port, IPv6:port, :port.
- Разделитель – используется для указания символа, определяющего границу между событиями. Доступные значения:
\n
,\t
,\0
. Если разделитель не задан (выбрано пустое значение), то события не разделяются. - Описание – описание ресурса: до 4000 символов в кодировке Unicode.
- Закладка Дополнительные параметры:
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Режим TLS – использование шифрования TLS:
- Выключено (по умолчанию) – не использовать шифрование TLS.
- Включено – использовать шифрование, но без верификации.
- С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
При использовании TLS невозможно указать IP-адрес в качестве URL.
- Прокси-сервер – раскрывающийся список, в котором можно выбрать ресурс прокси-сервера.
- Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
Тип sql
KUMA поддерживает работу с несколькими типами баз данных.
При создании коннектора вам требуется задать значения для общих параметров коннектора и индивидуальных параметров подключения к базе данных.
Для коннектора на закладке Основные параметры вам требуется задать значения следующих параметров:
- Название (обязательно) – уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тип (обязательно) – тип коннектора, sql.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Запрос по умолчанию (обязательно) – SQL-запрос, который выполняется при подключении к базе данных.
- Переподключаться к БД каждый раз при отправке запроса – по умолчанию флажок снят.
- Интервал запросов, сек. – интервал выполнения SQL-запросов. Указывается в секундах. Значение по умолчанию: 10 секунд.
- Описание – описание ресурса: до 4000 символов в кодировке Unicode.
Для подключения к базе данных на закладке Основные параметры вам требуется задать значения следующих параметров:
- URL (обязательно) – секрет, в котором хранится список URL-адресов для подключения к базе данных.
При необходимости вы можете изменить или создать секрет.
При создании подключений могут некорректно обрабатываться строки с учетными данными, содержащими специальные символы. Если при создании подключения возникает ошибка, но вы уверены в том, что значения параметров корректны, укажите специальные символы в процентной кодировке.
- Столбец идентификатора (обязательно) – название столбца, содержащего идентификатор для каждой строки таблицы.
- Начальное значение идентификатора (обязательно) – значение в столбце идентификатора, по которому будет определена строка, с которой требуется начать считывание данных из SQL-таблицы.
- Запрос – поле для дополнительного SQL-запроса. Запрос, указанный в этом поле, выполняется вместо запроса по умолчанию.
- Интервал запросов, сек. – интервал выполнения SQL-запросов. Интервал, указанный в этом поле, используется вместо интервала, указанного по умолчанию для коннектора.
Указывается в секундах. Значение по умолчанию: 10 секунд.
Для коннектора на закладке Дополнительные параметры вам требуется задать значения следующих параметров:
- Кодировка символов – кодировка символов. Значение по умолчанию:
UTF-8
.KUMA конвертирует ответы SQL в кодировку UTF-8. Вы можете настроить SQL-сервер на отправку ответов в кодировке UTF-8 или выбрать их кодировку на стороне KUMA.
- Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
В рамках одного коннектора вы можете создать подключение для нескольких поддерживаемых баз данных.
Поддерживаемые типы SQL и особенности их использования
Оператор UNION не поддерживается коннекторами типа SQL.
Поддерживаются следующие типы SQL:
- MSSQL
Примеры URL:
sqlserver://{user}:{password}@{server:port}/{instance_name}?database={database}
– (рекомендуемый вариант)sqlserver://{user}:{password}@{server}?database={database}
В качестве плейсхолдера в SQL-запросе используются символы
@p1
.Если вам требуется подключиться с доменными учетными данными, укажите имя учетной записи в формате
<домен>%5C<пользователь>
. Например:sqlserver://domain%5Cuser:password@ksc.example.com:1433/SQLEXPRESS?database=KAV
. - MySQL
Пример URL:
mysql://{user}:{password}@tcp({server}:{port})/{database}
В качестве плейсхолдера в SQL-запросе используются символ
?
. - PostgreSQL
Пример URL:
postgres://{user}:{password}@{server}/{database}?sslmode=disable
В качестве плейсхолдера в SQL-запросе используются символы
$1
. - CockroachDB
Пример URL:
postgres://{user}:{password}@{server}:{port}/{database}?sslmode=disable
В качестве плейсхолдера в SQL-запросе используются символы
$1
. - SQLite3
Пример URL:
sqlite3://file:{file_path}
В качестве плейсхолдера в SQL-запросе используется знак вопроса:
?
.При обращении к SQLite3, если начальное значение идентификатора используется в формате datetime, в SQL-запрос нужно добавить преобразование даты с помощью функции sqlite datetime. Например, select * from connections where datetime(login_time) > datetime(?, 'utc') order by login_time. В этом примере
connections
– это таблица SQLite, а значение переменной?
берется из поля Начальное значение идентификатора, и его следует указывать в формате {date}T{time}Z (например, - 2021-01-01T00:10:00Z). - Oracle DB
Начиная с версии 2.1.3 KUMA использует новый драйвер для подключения к oracle. При обновлении KUMA переименует секрет для подключения в oracle-deprecated и коннектор продолжит работу. Если после запуска коллектора с типом драйвера oracle-deprecated не удается получить события, создайте новый секрет с драйвером oracle и используйте его для подключения.
Мы рекомендуем использовать новый драйвер.
Пример URL секрета с новым драйвером oracle:
oracle://{user}:{password}@{server}:{port}/{service_name}
oracle://{user}:{password}@{server}:{port}/?SID={SID_VALUE}
Пример URL секрета с прежним драйвером oracle-deprecated:
oracle-deprecated://{user}/{password}@{server}:{port}/{service_name}
В качестве плейсхолдера в SQL-запросе используется переменная
:val
.При обращении к Oracle DB, если начальное значение идентификатора используется в формате datetime, нужно учитывать тип поля в самой базе данных и при необходимости добавить дополнительные преобразования строки со временем в запросе для обеспечения корректной работы sql коннектора. Например, если в базе создана таблица Connections, в которой есть поле login_time, возможны следующие преобразования:
- Если у поля login_time тип TIMESTAMP, то в зависимости от настроек базы в поле login_time может лежать значение в формате YYYY-MM-DD HH24:MI:SS (например, 2021-01-01 00:00:00). Тогда в поле Начальное значение идентификатора следует указать значение 2021-01-01T00:00:00Z, а в запросе произвести преобразование с помощью функции to_timestamp. Например:
select * from connections where login_time > to_timestamp(:val, 'YYYY-MM-DD"T"HH24:MI:SS"Z"')
- Если у поля login_time тип TIMESTAMP WITH TIME ZONE, то в зависимости от настроек базы в поле login_time может лежать значение в формате YYYY-MM-DD"T"HH24:MI:SSTZH:TZM (например, 2021-01-01T00:00:00+03:00). Тогда в поле Начальное значение идентификатора следует указать значение 2021-01-01T00:00:00+03:00, а в запросе произвести преобразование с помощью функции to_timestamp_tz. Например:
select * from connections_tz where login_time > to_timestamp_tz(:val, 'YYYY-MM-DD"T"HH24:MI:SSTZH:TZM')
Подробнее о функциях to_timestamp и to_timestamp_tz см. в официальной документации Oracle.
Для обращения к Oracle DB необходимо установить пакет Astra Linux libaio1.
- Если у поля login_time тип TIMESTAMP, то в зависимости от настроек базы в поле login_time может лежать значение в формате YYYY-MM-DD HH24:MI:SS (например, 2021-01-01 00:00:00). Тогда в поле Начальное значение идентификатора следует указать значение 2021-01-01T00:00:00Z, а в запросе произвести преобразование с помощью функции to_timestamp. Например:
- Firebird SQL
Пример URL:
firebirdsql://{user}:{password}@{server}:{port}/{database}
В качестве плейсхолдера в SQL-запросе используется знак вопроса:
?
.Если возникает проблема подключения к firebird на Windows, используйте полный путь до файла с базой данных. Например:
firebirdsql://{user}:{password}@{server}:{port}/C:\Users\user\firebird\db.FDB
В SQL-запросах поддерживается последовательный запрос сведений из базы данных. Например, если в поле Запрос указать запрос select * from <название таблицы с данными> where id > <плейсхолдер>
, то при первом обращении к таблице в качестве значения плейсхолдера будет использоваться значение поля Начальное значение идентификатора. При этом в сервисе, в котором используется SQL-коннектор, сохраняется идентификатор последней прочитанной записи, и во время следующего обращения к базе данных в качестве значения плейсхолдера в запросе будет использоваться идентификатор этой записи.
Тип file
Тип file используется для получения данных из любого текстового файла. Одна строка файла считается одним событием. Разделители между строк: \n. Коннектор этого типа доступен для Linux-агентов.
Чтобы обеспечить передачу файлов с сервера Windows для обработки коллектором KUMA, выполните следующие действия:
- На сервере Windows предоставьте доступ для чтения по сети к папке с файлами, подлежащими обработке.
- На сервере Linux примонтируйте сетевую папку с файлами на сервере Linux (cм. список поддерживаемых ОС).
- На сервере Linux установите коллектор, который будет обрабатывать файлы из примонтированной сетевой папки.
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, file.
- URL (обязательно) – полный путь до файла, с которым требуется выполнять взаимодействие. Например,
/var/log/*som?[1-9].log
.Шаблоны масок для файлов и директорий
- Описание – описание ресурса: до 4000 символов в кодировке Unicode.
- Закладка Дополнительные параметры:
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
Тип 1c-xml
Тип 1c-xml используется для получения данных из журналов регистрации программы 1С. При обработке коннектором многострочные события преобразовываются в однострочные. Коннектор этого типа доступен для Linux-агентов.
При создании этого типа коннектора требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, 1c-xml.
- URL (обязательно) – полный путь до директории с файлами, с которыми требуется выполнять взаимодействие. Например,
/var/log/1c/logs/
. - Описание – описание ресурса: до 4000 символов в кодировке Unicode.
- Закладка Дополнительные параметры:
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
Схема работы коннектора:
- Происходит поиск всех файлов с журналами 1C с расширением XML внутри указанной директории. Журналы помещаются в директорию или вручную, или через приложение, написанное на языке 1С, например, с помощью функции ВыгрузитьЖурналРегистрации(). Коннектор поддерживает журналы, полученные только таким образом. Подробнее о том, как получить журналы 1С, см. в официальной документации 1С.
- Файлы сортируются по возрастанию времени последнего изменения и отбрасываются все файлы, измененные раньше, чем последний прочитанный.
Сведения об обработанных файлах хранятся в файле /<рабочая директория коллектора>/1c_xml_connector/state.ini и имеют следующий формат: "offset=<число>\ndev=<число>\ninode=<число>".
- В каждом непрочитанном файле определяются события.
- События из файла по очереди принимаются на обработку, при этом многострочные события преобразовываются в однострочные события.
Ограничения коннектора:
- Установка коллектора с коннектором 1c-xml на ОС Windows не поддерживается. Чтобы обеспечить передачу файлов с журналами 1С для обработки коллектором KUMA, выполните следующие действия:
- На сервере Windows предоставьте доступ для чтения по сети к папке с журналами 1С.
- На сервере Linux примонтируйте сетевую папку с журналами 1С на сервере Linux (cм. список поддерживаемых ОС).
- На сервере Linux установите коллектор, который будет обрабатывать файлы с журналами 1С из примонтированной сетевой папки.
- Не читаются файлы с некорректным форматом событий. Например, если теги события в файле на русском языке, коллектор не прочитает такие события.
- Если дополнить уже прочитанный коннектором файл новыми событиями и если этот файл не является последним прочитанным файлом в директории, все события из файла будут обработаны заново.
Тип 1c-log
Тип 1c-log используется для получения данных из технологических журналов программы 1С. Разделители между строк: \n. Из многострочной записи о событии коннектор принимает только первую строку. Коннектор этого типа доступен для Linux-агентов.
При создании этого типа коннектора требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, 1c-log.
- URL (обязательно) – полный путь до директории с файлами, с которыми требуется выполнять взаимодействие. Например,
/var/log/1c/logs/
. - Описание – описание ресурса: до 4000 символов в кодировке Unicode.
- Закладка Дополнительные параметры:
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
Схема работы коннектора:
- Происходит поиск всех файлов технологических журналов 1C.
Требования к файлам журналов:
- Файлы с расширением LOG создаются в директории журналов (по умолчанию
/var/log/1c/logs/
) в поддиректории каждого процесса. - События записываются в файл в течение часа, после чего создается следующий файл журнала.
- Название файлов имеет следующий формат:
<ГГ><ММ><ДД><ЧЧ>.log
. Например,22111418.log
– файл, созданный в 2022 году, в 11 месяце, 14 числа в 18 часов. - Каждое событие начинается с времени события в формате <мм>:<cc>.<микросекунды>-<длительность_в_микросекундах>.
- Файлы с расширением LOG создаются в директории журналов (по умолчанию
- Отбрасываются уже обработанные файлы.
Сведения об обработанных файлах хранятся в файле /<рабочая директория коллектора>/1c_log_connector/state.json.
- Принимаются на обработку новые события, при этом время события приводится к формату RFC3339.
- Обрабатывается следующий в очереди файл.
Ограничения коннектора:
- Установка коллектора с коннектором 1c-log на ОС Windows не поддерживается. Чтобы обеспечить передачу файлов с журналами 1С для обработки коллектором KUMA, выполните следующие действия:
- На сервере Windows предоставьте доступ для чтения по сети к папке с журналами 1С.
- На сервере Linux примонтируйте сетевую папку с журналами 1С на сервере Linux (cм. список поддерживаемых ОС).
- На сервере Linux установите коллектор, который будет обрабатывать файлы с журналами 1С из примонтированной сетевой папки.
- Из многострочной записи о событии на обработку принимается только первая строка.
- Нормализатор обрабатывает только следующие типы событий:
- ADMIN
- ATTN
- CALL
- CLSTR
- CONN
- DBMSSQL
- DBMSSQLCONN
- DBV8DBENG
- EXCP
- EXCPCNTX
- HASP
- LEAKS
- LIC
- MEM
- PROC
- SCALL
- SCOM
- SDBL
- SESN
- SINTEG
- SRVC
- TLOCK
- TTIMEOUT
- VRSREQUEST
- VRSRESPONSE
Тип diode
Используется для передачи событий с помощью диода данных.
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, diode.
- Директория с событиями от диода данных (обязательно) – полный путь до директории на сервере коллектора KUMA, в которую диод данных перемещает файлы с событиями из изолированного сегмента сети. После считывания коннектором файлы удаляются из директории. Путь может содержать до 255 символов в кодировке Unicode.
- Разделитель – используется для указания символа, определяющего границу между событиями. Доступные значения:
\n
,\t
,\0
. Если разделитель не задан (выбрано пустое значение), то по умолчанию используется значение:\n
.Этот параметр должен совпадать для коннектора и точки назначения, используемых для передачи событий из изолированного сегмента сети с помощью диода данных.
- Описание – описание ресурса: до 4000 символов в кодировке Unicode.
- Закладка Дополнительные параметры:
- Рабочие процессы – количество служб, обрабатывающих очередь запросов. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
- Интервал запросов, сек. – регулярность считывания файлов из директории с событиями от диода данных. Значение по умолчанию: 2. Значение указывается в секундах.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
Этот параметр должен совпадать для коннектора и точки назначения, используемых для передачи событий из изолированного сегмента сети с помощью диода данных.
- Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
Тип ftp
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, ftp.
- URL (обязательно) – Действительный URL файла или маски файлов, который начинается со схемы 'ftp://'. Для маски файлов допустимо использование * ? [...].
Если в URL не содержится порт ftp сервера, подставляется 21 порт.
- Учетные данные для URL – для указания логина и пароля к FTP серверу. При отсутствии логина и пароля строка остается пустой.
- Описание – описание ресурса: до 4000 символов в кодировке Unicode.
- Закладка Дополнительные параметры:
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
Тип nfs
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, nfs.
- URL (обязательно) – путь до удаленной директории в формате nfs://host/path.
- Маска имени файла (обязательно) – маска, по которой фильтруются файлы с событиями. Допустимо использование масок "
*
", "?
", "[...]
". - Интервал запросов, сек. – интервал опроса. Промежуток времени, через который перечитываются файлы с удаленной системы. Значение указывается в секундах. По умолчанию указано значение: 0.
- Описание – описание ресурса: до 4000 символов в кодировке Unicode.
- Закладка Дополнительные параметры:
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
Тип wmi
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, wmi.
- URL (обязательно) – URL создаваемого коллектора, например
kuma-collector.example.com:7221
.При создании коллектора для получения данных с помощью Windows Management Instrumentation автоматически создается агент, который будет получать необходимые данные на удаленном устройстве и перенаправлять их в сервис коллектора. В поле URL требуется указать адрес этого коллектора. URL известен заранее, если вы знаете, на каком сервере планируете установить сервис, но это поле можно заполнить и после завершения мастера установки, скопировав данные из раздела Ресурсы → Активные сервисы.
- Описание – описание ресурса: до 4000 символов в кодировке Unicode.
- Учетные данные по умолчанию – раскрывающийся список, в котором выбирать значение не требуется. Учетные данные для подключения к хостам необходимо указывать в таблице Удаленные хосты (см. ниже).
- В таблице Удаленные хосты перечисляются удаленные устройства Windows, к которым требуется установить подключение. Доступные столбцы:
- Хост (обязательно) – IP-адрес или имя устройства, с которого необходимо принимать данные. Например, "machine-1".
- Домен (обязательно) – название домена, в котором расположено удаленное устройство. Например, "example.com".
- Тип журналов – раскрывающийся список для выбора названия журналов Windows, которые требуется получить. По умолчанию в списке отображаются только предварительно настроенные журналы, но вы можете расширить список пользовательскими журналами, введя их название в поле Журналы Windows, а затем нажав ENTER. Конфигурация сервисов и ресурсов KUMA может потребовать дополнительных изменений для правильной обработки настраиваемых журналов.
Журналы, доступные по умолчанию:
- Application
- ForwardedEvents
- Security
- System
- HardwareEvents
Если в одном из подключений WMI используется хотя бы один журнал с неверным названием, в этом случае агент, использующий коннектор, не будет получать события из всех журналов данного подключения, даже если названия остальных журналов указаны верно. При этом подключения WMI-агента, в которых все названия журналов указаны правильно, будет работать корректно.
- Секрет – учетные данные для доступа к удаленному устройству Windows с правами на чтение журналов. Если оставить это поле пустым, то будут использоваться учетные данные из секрета, выбранного в раскрывающемся списке Учетные данные, используемые по умолчанию. Логин в секрете необходимо указывать без домена, значение домена для доступа к хосту берется из столбца Домен таблицы Удаленные хосты.
Можно выбрать ресурс секрета в раскрывающемся списке или создать его с помощью кнопки
. Выбранный секрет можно изменить, нажав на кнопку
.
- Закладка Дополнительные параметры:
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
Получение событий с удаленного устройства
Условия для получения событий с удаленного устройства Windows с агентом KUMA:
- Для запуска агента KUMA на удаленном устройстве необходимо использовать учетную запись с правами Log on as a service.
- Для получения событий от агента KUMA необходимо использовать учетную запись с правами Event Log Readers. Для серверов домена может быть создана одна такая учетная запись, чтобы через групповую политику ее права на чтение логов можно было распространить на все серверы и рабочие станции домена.
- На удаленных устройствах Windows необходимо открыть следующие TCP-порты 135, 445, 49152-65535.
- На удаленных устройствах требуется запустить следующие службы:
- Remote Procedure Call (RPC)
- RPC Endpoint Mapper
Тип wec
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, wec.
- URL (обязательно) – URL создаваемого коллектора, например
kuma-collector.example.com:7221
.При создании коллектора для получения данных с помощью Windows Event Collector автоматически создается агент, который будет получать необходимые данные на удаленном устройстве и перенаправлять их в сервис коллектора. В поле URL требуется указать адрес этого коллектора. URL известен заранее, если вы знаете, на каком сервере планируете установить сервис, но это поле можно заполнить и после завершения мастера установки, скопировав данные из раздела Ресурсы → Активные сервисы.
- Описание – описание ресурса: до 4000 символов в кодировке Unicode.
- Журналы Windows (обязательно) – в этом раскрывающемся списке необходимо выбрать названия журналов Windows, которые требуется получить. По умолчанию в списке отображаются только предварительно настроенные журналы, но вы можете расширить список пользовательскими журналами, введя их название в поле Журналы Windows, а затем нажав ENTER. Конфигурация сервисов и ресурсов KUMA может потребовать дополнительных изменений для правильной обработки настраиваемых журналов.
Преднастроенные журналы:
- Application
- ForwardedEvents
- Security
- System
- HardwareEvents
Если неверно указать название хотя бы одного журнала, в этом случае агент, использующий коннектор, не будет получать события из всех журналов, даже если названия остальных журналов указаны верно.
- Закладка Дополнительные параметры:
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
Для запуска агента KUMA на удаленном устройстве необходимо использовать сервисную учетную запись с правами Log on as a service. Для получения событий из журнала ОС сервисная учётная запись также должна обладать правами Event Log Readers.
Вы можете создать одну учетную запись с правами Log on as a service и Event Log Readers, а затем права этой учетной записи на чтение журналов распространить на все серверы и рабочие станции домена с помощью групповой политики.
Мы рекомендуем запретить для сервисной учётной записи возможность интерактивного входа.
В началоТип snmp
Для обработки событий, полученных по SNMP, необходимо использовать нормализатор типа json.
Доступен для Windows- и Linux-агентов. Поддерживаемые версии протокола:
- snmpV1
- snmpV2
- snmpV3
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, snmp.
- Версия SNMP (обязательно) – в этом раскрывающемся списке можно выбрать версию используемого протокола.
- Хост (обязательно) – имя хоста или его IP-адрес. Доступные форматы: hostname, IPv4, IPv6.
- Порт (обязательно) – порт для подключения к хосту. Обычно используются значения 161 или 162.
С помощью параметров Версия SNMP, Хост и Порт определяется одно подключение к SNMP-ресурсу. Таких подключений в одном коннекторе можно создать несколько, добавляя новые с помощью кнопки SNMP-ресурс. Удалить подключения можно с помощью кнопки
.
- Секрет (обязательно) – раскрывающийся список для выбора секрета, в котором хранятся учетные данные для подключения через Simple Network Management Protocol. Тип секрета должен соответствовать версии SNMP. При необходимости секрет можно создать в окне создания коннектора с помощью кнопки
. Выбранный секрет можно изменить, нажав на кнопку
.
- В таблице Данные источника можно задать правила именования получаемых данных, по которым идентификаторы объектов OID будут преобразовываться в ключи, с которыми сможет взаимодействовать нормализатор. Доступные столбцы таблицы:
- Название параметра (обязательно) – произвольное название для типа данных. Например, "Имя узла" или "Время работы узла".
- OID (обязательно) – уникальный идентификатор, который определяет, где искать требуемые данные на источнике событий. Например, "1.3.6.1.2.1.1.5".
- Ключ (обязательно) – уникальный идентификатор, возвращается в ответ на запрос к устройству со значением запрошенного параметра. Например, "sysName". К этому ключу можно обращаться при нормализации данных.
- Описание – описание ресурса: до 4000 символов в кодировке Unicode.
- Закладка Дополнительные параметры:
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
Тип snmp-trap
Коннектор типа snmp-trap используется в агентах и коллекторах для пассивного приема SNMP-Trap сообщений. В коннекторе сообщения принимаются и подготавливаются к нормализации путем сопоставления идентификаторов SNMP-объектов с временными ключами. Затем сообщение необходимо передать в JSON-нормализатор, где временные ключи будут сопоставлены с полями KUMA и будет создано событие.
Для обработки событий, полученных по SNMP, необходимо использовать нормализатор типа json.
Доступен для Windows- и Linux-агентов. Поддерживаемые версии протокола:
- snmpV1
- snmpV2
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, snmp-trap.
- Версия SNMP (обязательно) – в этом раскрывающемся списке необходимо выбрать версию используемого протокола: snmpV1 или snmpV2.
Например, Windows по умолчанию использует версию snmpV2.
- URL (обязательно) – URL, на котором будут ожидаться сообщения SNMP Trap. Доступные форматы: hostname:port, IPv4:port, IPv6:port, :port.
С помощью параметров Версия SNMP и URL определяется одно соединение для приема событий SNMP Trap. Таких соединений в одном коннекторе можно создать несколько, добавляя новые с помощью кнопки SNMP-ресурс. Удалить соединения можно с помощью кнопки
.
- В таблице Данные источника необходимо задать правила именования получаемых данных, по которым идентификаторы объектов OID будут преобразовываться в ключи, с которыми сможет взаимодействовать нормализатор.
При создании коннектора таблица предзаполняется примерами значений идентификаторов объектов и их ключей. Если в поступающих событиях необходимо определить и нормализовать больше данных, дополните таблицу строками с перечнем OID-объектов и их ключей.
С помощью кнопки Применить значения OID для WinEventLog таблицу можно заполнить сопоставлениями для значений OID, поступающих в журналах WinEventLog.
Доступные столбцы таблицы:
- Название параметра – произвольное название для типа данных. Например, "
Имя узла
" или "Время работы узла
". - OID (обязательно) – уникальный идентификатор, который определяет, где искать требуемые данные на источнике событий. Например, "
1.3.6.1.2.1.1.1
". - Ключ (обязательно) – уникальный идентификатор, возвращается в ответ на запрос к устройству со значением запрошенного параметра. Например, "
sysDescr
". К этому ключу можно обращаться при нормализации данных.
Данные обрабатываются по принципу списка разрешенных: объекты, которые не указаны в таблице, не будут переданы в нормализатор для дальнейшей обработки.
- Название параметра – произвольное название для типа данных. Например, "
- Описание – описание ресурса: до 4000 символов в кодировке Unicode.
- Закладка Дополнительные параметры:
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
- Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
Настройка источника SNMP-trap сообщений для Windows
Настройка устройства Windows для отправки SNMP-trap сообщений в коллектор KUMA происходит в несколько этапов:
События от источника SNMP-trap сообщений должен принимать коллектор KUMA, в котором используется коннектор типа snmp-trap и нормализатор типа json.
Чтобы настроить и запустить службы SNMP и SNMP Trap в Windows 10:
- Откройте раздел Settings → Apps → Apps and features → Optional features → Add feature → Simple Network Management Protocol (SNMP) и нажмите Install.
- Дождитесь завершения установки и перезагрузите компьютер.
- Убедитесь, что служба SNMP запущена. Если какие-то из перечисленных ниже служб не запущены, включите их:
- Services → SNMP Service.
- Services → SNMP Trap.
- Нажмите правой кнопкой мыши на службе Services → SNMP Service, в контекстном меню выберите Properties и задайте следующие параметры:
- На закладке Log On установите флажок Local System account.
- На закладке Agent заполните поля Contact (например, укажите
User-win10
) и Location (например, укажитеekaterinburg
). - На закладке Traps:
- В поле Community Name введите community public и нажмите Add to list.
- В поле Trap destination нажмите Add, укажите IP-адрес или хост сервера KUMA, на котором развернут коллектор, ожидающий SNMP-события, и нажмите Add.
- На закладке Security:
- Установите флажок Send authentication trap.
- В таблице Accepted community names нажмите Add, а затем введите Community Name public, указав в качестве Community rights значение READ WRITE.
- Установите флажок Accept SNMP packets from any hosts.
- Нажмите Apply и подтвердите выбор.
- Нажмите правой кнопкой мыши на службу Services → SNMP Service и выберите Restart.
Чтобы настроить и запустить службы SNMP и SNMP Trap в Windows XP:
- Откройте раздел Start → Control Panel → Add or Remove Programs → Add/Remove Windows Components → Management and Monitoring Tools → Details.
- Выберите Simple Network Management Protocol и WMI SNMP Provider, затем нажмите OK → Next.
- Дождитесь завершения установки и перезагрузите компьютер.
- Убедитесь, что служба SNMP запущена. Если какие-то из перечисленных ниже служб не запущены, включите их, выбрав для параметра Startup type значение Automatic:
- Services → SNMP Service.
- Services → SNMP Trap.
- Нажмите правой кнопкой мыши на службе Services → SNMP Service, в контекстном меню выберите Properties и задайте следующие параметры:
- На закладке Log On установите флажок Local System account.
- На закладке Agent заполните поля Contact (например, укажите
User-win10
) и Location (например, укажитеekaterinburg
). - На закладке Traps:
- В поле Community Name введите community public и нажмите Add to list.
- В поле Trap destination нажмите Add, укажите IP-адрес или хост сервера KUMA, на котором развернут коллектор, ожидающий SNMP-события, и нажмите Add.
- На закладке Security:
- Установите флажок Send authentication trap.
- В таблице Accepted community names нажмите Add, а затем введите Community Name public, указав в качестве Community rights значение READ WRITE.
- Установите флажок Accept SNMP packets from any hosts.
- Нажмите Apply и подтвердите выбор.
- Нажмите правой кнопкой мыши на службу Services → SNMP Service и выберите Restart.
Изменение порта службы snmptrap
При необходимости вы можете изменить порт службы snmptrap.
Чтобы изменить порт службы snmptrap:
- Откройте папку C:\Windows\System32\drivers\etc.
- Откройте файл services с помощью программы Notepad от имени администратора.
- В разделе файла service name для службы snmptrap укажите порт коннектора snmp-trap, добавленный в коллектор KUMA.
- Сохраните файл.
- Откройте панель управления и выберите Administrative Tools → Services.
- Нажмите на службу SNMP Service правой кнопкой мыши и выберите Restart.
Чтобы настроить службу Event to Trap Translator, с помощью которой события Windows переводятся в SNMP-trap сообщения:
- Наберите в командной строке
evntwin
и нажмите Enter. - В переключателе Configuration type выберите Custom, а затем нажмите на кнопку Edit.
- В блоке параметров Event sources найдите и добавьте с помощью кнопки Add события, которые вы хотите отправить в коллектор KUMA с установленным коннектором SNMP Trap.
- Нажмите на кнопку Settings, в открывшемся окне установите флажок Don't apply throttle и нажмите OK.
- Нажмите Apply и подтвердите выбор.
Предустановленные коннекторы
В поставку KUMA включены перечисленные в таблице ниже коннекторы.
Предустановленные коннекторы
Название коннектора |
Комментарий |
[OOTB] Continent SQL |
Собирает события из СУБД АПКШ Континент. Для использования необходимо настроить параметры соответствующего типа секрета. |
[OOTB] InfoWatch Trafic Monitor SQL |
Собирает события из СУБД системы InfoWatch Trafic Monitor. Для использования необходимо настроить параметры соответствующего типа секрета. |
[OOTB] KSC MSSQL |
Собирает события из СУБД MS SQL системы Kaspersky Security Center. Для использования необходимо настроить параметры соответствующего типа секрета. |
[OOTB] KSC MySQL |
Собирает события из СУБД MySQL системы Kaspersky Security Center. Для использования необходимо настроить параметры соответствующего типа секрета. |
[OOTB] KSC PostgreSQL |
Собирает события из СУБД PostgreSQL системы Kaspersky Security Center версии 15.0. Для использования необходимо настроить параметры соответствующего типа секрета. |
[OOTB] Oracle Audit Trail SQL |
Собирает события аудита из СУБД Oracle. Для использования необходимо настроить параметры соответствующего типа секрета. |
[OOTB] SecretNet SQL |
Собирает события из СУБД системы SecretNet SQL. Для использования необходимо настроить параметры соответствующего типа секрета. |
Секреты
Секреты используются для безопасного хранения конфиденциальной информации, такой как логины и пароли, которые должны использоваться KUMA для взаимодействия с внешними службами. Если секрет хранит данные учётной записи, такие как логин и пароль, то при подключении коллектора к источнику событий учётная запись, заданная в секрете, может быть заблокирована согласно настроенной в системе-источнике событий парольной политике.
Секреты можно использовать в следующих сервисах и функциях KUMA:
- Коллектор (при использовании шифрования TLS).
- Коннектор (при использовании шифрования TLS).
- Точки назначения (при использовании шифрования TLS или авторизации).
- Прокси-серверы.
Доступные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип секрета.
При выборе в раскрывающемся списке типа секрета отображаются параметры для настройки выбранного типа секрета. Эти параметры описаны ниже.
- Описание – вы можете добавить до 4000 символов в кодировке Unicode.
В зависимости от типа секрета доступны различные поля для заполнения. Вы можете выбрать один из следующих типов секрета:
- credentials – тип секрета используется для хранения данных учетных записей, с помощью которых осуществляется подключение к внешним службам, например к SMTP-серверам. При выборе этого типа секрета требуется заполнить поля Пользователь и Пароль. При использовании в ресурсе Секрет типа credentials для подключения коллектора к источнику событий, например СУБД, учётная запись, заданная в секрете, может быть заблокирована согласно настроенной в системе-источнике событий парольной политике.
- token – тип секрета используется для хранения токенов для API-запросов. Токены используются, например, при подключении к IRP-системам. При выборе этого типа секрета требуется заполнить поле Токен.
- ktl – тип секрета используется для хранения данных учетной записи Kaspersky Threat Intelligence Portal. При выборе этого типа секрета требуется заполнить следующие поля:
- Пользователь и Пароль (обязательные поля) – имя пользователя и пароль вашей учетной записи Kaspersky Threat Intelligence Portal.
- Файл обмена личной информацией - PKCS (.PFX) (обязательно) – позволяет загрузить ключ сертификата Kaspersky Threat Intelligence Portal.
- Пароль PFX-файла (обязательно) – пароль для доступа к ключу сертификата Kaspersky Threat Intelligence Portal.
- urls – тип секрета используется для хранения URL для подключения к базам SQL и прокси-серверам. В поле Описание требуется описать, для какого именно подключения вы используете секрет urls.
Вы можете указать URL в следующих форматах: hostname:port, IPv4:port, IPv6:port, :port.
- pfx – тип секрета используется для импорта PFX-файла с сертификатами. При выборе этого типа секрета требуется заполнить следующие поля:
- Файл обмена личной информацией - PKCS (.PFX) (обязательно) – используется для загрузки PFX-файла. Файл должен содержать сертификат и ключ. В PFX-файлы можно включать сертификаты, подписанными центрами сертификации, для проверки сертификатов сервера.
- Пароль PFX-файла (обязательно) – используется для ввода пароля для доступа к ключу сертификата.
- kata/edr – тип секрета используется для хранения файла сертификата и закрытого ключа, требуемых при подключении к серверу Kaspersky Endpoint Detection and Response. При выборе этого типа секрета вам требуется загрузить следующие файлы:
- Файл сертификата – сертификат сервера KUMA.
Файл должен иметь формат PEM. Вы можете загрузить только один файл сертификата.
- Закрытый ключ шифрования соединения – RSA-ключ сервера KUMA.
Ключ должен быть без пароля и с заголовком PRIVATE KEY. Вы можете загрузить только один файл ключа.
Вы можете сгенерировать файлы сертификата и ключа по кнопке
.
- Файл сертификата – сертификат сервера KUMA.
- snmpV1 – тип секрета используется для хранения значения Уровень доступа (например,
public
илиprivate
), которое требуется при взаимодействии по протоколу Simple Network Management Protocol. - snmpV3 – тип секрета используется для хранения данных, требуемых при взаимодействии по протоколу Simple Network Management Protocol. При выборе этого типа секрета требуется заполнить поля:
- Пользователь – имя пользователя, указывается без домена.
- Уровень безопасности – уровень безопасности пользователя:
- NoAuthNoPriv – сообщения отправляются без аутентификации и без обеспечения конфиденциальности.
- AuthNoPriv – сообщения посылаются с аутентификацией, но без обеспечения конфиденциальности.
- AuthPriv – сообщения посылаются с аутентификацией и обеспечением конфиденциальности.
В зависимости от выбранного уровня могут отобразиться дополнительные параметры.
- Пароль – пароль аутентификации пользователя SNMP. Это поле становится доступно при выборе уровней безопасности AuthNoPriv и AuthPriv.
- Протокол аутентификации – доступны следующие протоколы: MD5, SHA, SHA224, SHA256, SHA384, SHA512. Это поле становится доступно при выборе уровней безопасности AuthNoPriv и AuthPriv.
- Протокол шифрования – протокол, используемый для шифрования сообщений. Доступны следующие протоколы: DES, AES. Это поле становится доступно при выборе уровня безопасности AuthPriv.
- Пароль обеспечения безопасности – пароль шифрования, который был указан при создании пользователя SNMP. Это поле становится доступно при выборе уровня безопасности AuthPriv.
- certificate – тип секрета используется для хранения файлов сертификатов. Файлы загружаются в ресурс с помощью кнопки Загрузить файл сертификата. Поддерживаются открытые ключи сертификата X.509 в Base64.
Предустановленные секреты
В поставку KUMA включены перечисленные в таблице ниже секреты.
Предустановленные секреты
Название секрета |
Описание |
[OOTB] Continent SQL connection |
Хранит конфиденциальные данные и параметры подключения к БД АПКШ Континент. Для использования необходимо указать логин и пароль БД. |
[OOTB] KSC MSSQL connection |
Хранит конфиденциальные данные и параметры подключения к БД MS SQL Kaspersky Security Center (KSC). Для использования необходимо указать логин и пароль БД. |
[OOTB] KSC MySQL Connection |
Хранит конфиденциальные данные и параметры подключения к БД MySQL Kaspersky Security Center (KSC). Для использования необходимо указать логин и пароль БД. |
[OOTB] Oracle Audit Trail SQL Connection |
Хранит конфиденциальные данные и параметры подключения к БД Oracle. Для использования необходимо указать логин и пароль БД. |
[OOTB] SecretNet SQL connection |
Хранит конфиденциальные данные и параметры подключения к БД MS SQL системы SecretNet. Для использования необходимо указать логин и пароль БД. |
Правила сегментации
В KUMA можно настроить правила сегментации алертов, то есть правила разделения однотипных корреляционных событий по разным алертам.
По умолчанию, если в корреляторе какое-то правило корреляции сработает несколько раз, все созданные в результате этого корреляционные события будут присоединены к одному алерту. Правила сегментации алертов дают возможность определить условия, при которых на основе таких однотипных корреляционных событий будут создаваться разные алерты. Это может пригодиться, если вы хотите разделить поток корреляционных событий, например, по количеству событий или объединить некоторых из событий, отличающиеся чем-то важным от других, в отдельный алерт.
Сегментация алертов настраивается в два этапа:
- Создаются правила сегментации, в которых определяются условия, по которым будет разделяться поток корреляционных событий.
- К правилам сегментации привязываются правила корреляции, в которых должны срабатывать правила сегментации.
Параметры правил сегментации
Правила сегментации создаются в разделе Ресурсы → Правила сегментации веб-интерфейса KUMA.
Доступные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип правила сегментации. Доступные значения:
- По фильтру – алерты создаются, если корреляционные события соответствуют условиям фильтра, заданным в блоке параметров Фильтр.
С помощью кнопки Добавить условие можно добавить строку с полями для определения условия. С помощью кнопки Добавить группу можно добавить группу фильтров. Можно переключать групповые операторы между И, ИЛИ, НЕ. В группы фильтров можно добавить другие группы условий и отдельные условия. Условия и группы можно менять местами, перетягивая их за значок
, а также удалять с помощью значка
.
- Левый операнд и Правый операнд – используются для указания значений, которые будет обрабатывать оператор.
В левом операнде указываются названия полей событий, которые обрабатывает фильтр.
В правом операнде можно выбрать тип значения – константа или список, – а также указать само значение.
- Доступные операторы
- Левый операнд и Правый операнд – используются для указания значений, которые будет обрабатывать оператор.
- По группирующим полям – алерт создается, если корреляционное событие содержит поля событий, указанные в блоке параметров Группирующие поля правила корреляции.
Поля добавляются с помощью кнопки Добавить поле. Добавленные поля можно удалить, нажав на значок креста или на кнопку Сбросить.
- По количеству событий – алерт создается, если количество корреляционных событий в предыдущем алерте превысило значение, указанное в поле Количество корреляционных событий.
- По фильтру – алерты создаются, если корреляционные события соответствуют условиям фильтра, заданным в блоке параметров Фильтр.
- Шаблон именование алертов (обязательно) – шаблон, по которому будут получать название алерты, создаваемые по этому правилу сегментации. Значение по умолчанию:
{{.Timestamp}}
.В поле шаблона можно указывать текст, а также поля события в формате
{{.<название поля события>}}
. При формировании названия алерта вместо названия поля события будет подставляться содержащееся в нем значение.Название алерта, созданного с помощью правил сегментации, имеет следующий формат: "<Название правила корреляции, создавшего алерт> (<текст из поля шаблона именования алертов> <дата создания алерта>)".
- Описание – описание ресурса: до 4000 символов в кодировке Unicode.
Привязка правил сегментации к правилам корреляции
Связи правила сегментации и правил корреляции создаются отдельно для каждого тенанта. Они отображаются в разделе Параметры → Алерты → Сегментация веб-интерфейса KUMA в таблице со следующими столбцами:
- Тенант – название тенанта, которому принадлежат правила сегментации.
- Обновлено – дата и время последнего обновления правил сегментации.
- Выключено – в этом столбце отображается метка, если правила сегментации выключены.
Чтобы привязать правило сегментации алерта к правилам корреляции:
- Откройте раздел Параметры → Алерты → Сегментация веб-интерфейса KUMA.
- Выберите тенант, для которого вы хотите создать правило сегментации:
- Если у тенанта уже есть правила сегментации, выберите его в таблице.
- Если у тенанта нет правил сегментации, нажмите Добавить параметры для нового тенанта и в раскрывающемся списке Тенант выберите нужный тенант.
Отображается таблица с созданными связями правил сегментации и корреляции.
- В блоке параметров Связи правил сегментации нажмите Добавить и укажите параметры правила сегментации:
- Название (обязательно) – в этом поле укажите название правила сегментации. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенанты и правила корреляции (обязательно) – в этом раскрывающемся списке выберите тенант и принадлежащее ему правило корреляции, события которого вы хотите выделить в отдельный алерт. Можно выбрать более одного правила корреляции.
- Правило сегментации (обязательно) – в этом блоке параметров требуется выбрать ранее созданное правило сегментации, в котором определены условия сегментации.
- Выключено – установите этот флажок при необходимости выключить связь правила сегментации.
- Нажмите Сохранить.
Правило сегментации и правила корреляции связаны. Корреляционные события, создаваемые указанными правилами корреляции, будут объединены в отдельный алерт с названием, определенном в правиле сегментации.
Чтобы выключить связи правил сегментации и правил корреляции для тенанта:
- Откройте раздел Параметры → Алерты веб-интерфейса KUMA и выберите тенант, правила сегментации которого вы хотите выключить.
- Установите флажок Выключено.
- Нажмите Сохранить.
Связи правил сегментации и правил корреляции для выбранного тенанта выключены.
В началоПример расследования инцидента с помощью KUMA
Выявление атаки на IT-инфраструктуру организации с помощью KUMA состоит из следующих шагов:
- Предварительная подготовка
- Назначение алерта пользователю
- Проверка на соответствие между сработавшим правилом корреляции и данными событий алерта
- Анализ информации об алерте
- Проверка на ложное срабатывание
- Определение критичности алерта
- Создание инцидента
- Расследование
- Поиск связанных активов
- Поиск связанных событий
- Запись причин инцидента
- Реагирование
- Восстановление работоспособности активов
- Закрытие инцидента
В описании шагов приводится пример действий по реагированию, которые мог бы выполнить аналитик при обнаружении инцидента в IT-инфраструктуре организации. Вы можете посмотреть описание и пример для каждого шага, перейдя по ссылке в его названии. Примеры относятся непосредственно к описываемому шагу.
Условия инцидента, для которого приводятся примеры, см. в разделе Условия возникновения инцидента.
Более подробную информацию о способах и инструментах реагирования вы можете посмотреть в документе Руководство по реагированию на инциденты информационной безопасности. На сайте Securelist "Лаборатории Касперского" вы также можете ознакомиться с дополнительными рекомендациями по выявлению инцидентов и реагированию.
Условия возникновения инцидента
Параметры компьютера (далее также "актива"), на котором произошел инцидент:
- ОС актива – Windows 10.
- Программное обеспечение актива – Kaspersky Administration Kit, Kaspersky Endpoint Security.
Параметры KUMA:
- Настроена интеграция с Active Directory, Kaspersky Security Center, Kaspersky Endpoint Detection and Response.
- Установлены правила корреляции SOC_package из комплекта поставки программы.
Злоумышленник, заметив не заблокированный компьютер администратора, выполнил следующие действия на этом компьютере:
- Скачал вредоносный файл со своего сервера.
- Выполнил команду для создания ключа реестра в ветви
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
. - Добавил скачанный на первом шаге файл в автозапуск с помощью реестра.
- Очистил журнал событий безопасности Windows.
- Завершил сессию.
Шаг 1. Предварительная подготовка
Предварительная подготовка включает следующие этапы:
- Мониторинг событий.
Когда в KUMA создан и настроен коллектор, программа записывает события информационной безопасности, зарегистрированные на контролируемых элементах IT-инфраструктуры организации, в базу событий. Вы можете найти и просмотреть эти события.
- Создание коррелятора и правил корреляции.
При обнаружении последовательности событий, удовлетворяющих условиям правила корреляции, программа создает алерты. Если для нескольких событий срабатывает одно и то же правило корреляции, все эти события привязываются к одному алерту. Вы можете использовать правила корреляции из комплекта поставки и создавать их вручную.
- Настройка отправки уведомлений об алерте на один или несколько адресов электронной почты.
Если отправка уведомлений настроена, при получении нового алерта KUMA отправляет на указанный адрес или адреса электронной почты уведомление. В уведомлении отображается ссылка на алерт.
- Добавление активов.
Вы можете выполнить на активе действия по реагированию (например, заблокировать запуск файла), только если актив добавлен в KUMA.
Для выполнения действий по реагированию необходима интеграция KUMA с Kaspersky Security Center и Kaspersky Endpoint Detection and Response.
Пример
В рамках предварительной подготовки аналитик выполнил следующие действия:
- Установил и привязал к коррелятору правила корреляции SOC_package из комплекта поставки.
- Настроил отправку уведомлений об алертах на свой адрес электронной почты.
- Импортировал в KUMA активы из Kaspersky Security Center.
Согласно условиям инцидента, после того, как администратор выполнил вход в свою учетную запись, был запущен вредоносный файл, который злоумышленник добавил в автозапуск Windows. От актива в KUMA поступили события из журнала событий безопасности Windows. Для этих событий сработали правила корреляции.
В результате в базу алертов KUMA были записаны следующие алерты:
- R223_Сбор информации о процессах.
- R050_Очистка журнала событий Windows.R295_Манипуляции с системой непривилегированным процессом.
- R097_Манипуляции с загрузочным скриптом.
- R093_Изменение критичных веток реестра.
В информации об алерте указаны названия правил корреляции, по которым были созданы алерты, и время первого и последнего событий, созданных при повторном срабатывании правил.
На адрес электронной почты аналитика пришли уведомления об алертах. Аналитик перешел по ссылке на алерт R093_Изменение критичных веток реестра из уведомления.
Шаг 2. Назначение алерта пользователю
Вы можете назначить алерт себе или другому пользователю.
Пример В рамках рассматриваемого инцидента аналитик назначает алерт себе. |
Шаг 3. Проверка на соответствие между сработавшим правилом корреляции и данными событий алерта
На этом этапе вам нужно просмотреть информацию об алерте и убедиться, что данные событий алерта соответствуют сработавшему правилу корреляции.
Пример В названии алерта указано, что была изменена критичная ветвь реестра. В информации об алерте, в разделе Связанные события отображается таблица событий, относящихся к алерту. Аналитик видит, что в таблице записано одно событие, где указан путь к измененному ключу реестра, исходное и новое значение ключа. Следовательно, правило корреляции соответствует событию. |
Шаг 4. Анализ информации об алерте
На этом этапе вам нужно проанализировать информацию об алерте, чтобы определить, какие данные требуется для дальнейшего анализа алерта.
Пример Из информации об алерте аналитик узнает следующие данные:
Эту информацию можно просмотреть в информации о событии, вызвавшем создание алерта (Алерты → алерт R093_Изменение критичных веток реестра → Связанные события → событие 2022-08-23 17:27:05), в полях FileName, DeviceHostName, SourceUserName соответственно. |
Шаг 5. Проверка на ложное срабатывание
На этом этапе вам нужно убедиться, что активность, по которой сработало правило корреляции, не является нормальной для IT-инфраструктуры организации.
Пример На этом этапе аналитик проверяет, может ли обнаруженная активность быть легитимной в связи с нормальной работой системы (например, обновлением). В информации о событии видно, что под учетной записью пользователя с помощью утилиты reg.exe был создан ключ реестра. Также ключ реестра был создан в ветви |
Шаг 6. Определение критичности алерта
При необходимости вы можете изменить уровень критичности алерта.
Пример Аналитик присваивает алерту высокую степень критичности. |
Шаг 7. Создание инцидента
Если в ходе выполнения шагов 3–6 становится понятно, что алерт требует расследования, вы можете создать инцидент.
Пример Для проведения расследования аналитик создает инцидент. |
Шаг 8. Расследование
Этот этап включает просмотр информации о связанных с инцидентом активах, учетных записях, алертах в информации об инциденте.
Информация о затронутых активах и учетных записях отображается на вкладке Связанные активы и Связанные пользователи в информации об инциденте.
Пример Аналитик открывает информацию о затронутом в рамках инцидента активе (Инциденты → необходимый инцидент → Связанные алерты → необходимый алерт → Связанные активы → необходимый актив). В информации об активе видно, что актив привязан к категориям Business impact/HIGH и Device type/Workstation, которые являются критичными для IT-инфраструктуры организации. Также в информации об активе могут быть полезны следующие данные:
|
Шаг 9. Поиск связанных активов
Вы можете просмотреть алерты, которые происходили на связанных с инцидентом активах.
Пример Аналитик проверяет другие алерты, которые происходили на связанных с инцидентом активах (Инциденты → необходимый инцидент → Связанные алерты → необходимый алерт → Связанные активы → необходимый актив → Связанные алерты). В окне с алертами можно настроить фильтрацию по времени или статусу, чтобы исключить устаревшие или уже обработанные алерты. По времени, в которое были записаны алерты актива, аналитик определяет, что эти алерты связаны между собой, поэтому их можно привязать к инциденту (отметить флажками необходимые алерты → Привязать → необходимый инцидент → Привязать). Также аналитик находит связанные алерты для учетной записи и привязывает их к инциденту. Все связанные активы, которые были в новых алертах, также проверяются. |
Шаг 10. Поиск связанных событий
Вы можете расширить расследование, выполнив поиск событий из связанных алертов.
События можно найти в базе событий KUMA вручную или выбрать любой из связанных алертов и в информации о нем нажать на кнопку Найти в событиях (Инциденты → необходимый инцидент → Связанные алерты → необходимый алерт → Связанные активы → Найти в событиях). Найденные события можно привязать к выбранному алерту, предварительно отвязав алерт от инцидента.
Пример В результате поиска аналитику удалось найти событие A new process has been created, в котором была записана команда для создания нового ключа реестра. Исходя из данных события, аналитик обнаружил, что родительским процессом для
В результате поиска аналитик обнаружил, что файл был скачан из внешнего источника с помощью процесса Произведя поиск связанных событий для каждого алерта инцидента, аналитик выявил всю цепочку атаки. |
Шаг 11. Запись причин инцидента
Вы можете внести необходимую для расследования информацию в журнал изменений инцидента.
Пример По результатам, полученным в ходе поиска связанных с инцидентом событий, аналитик выявил причины инцидента и записал результаты анализа в поле Журнал изменений в информации об инциденте, чтобы передать информацию другим аналитикам. |
Шаг 12. Реагирование на инцидент
Вы можете выполнить следующие действия по реагированию:
- Выполнить сетевую изоляцию актива.
- Запустить антивирусную проверку.
- Запретить запуск файла на активах.
Перечисленные действия доступны при интеграции KUMA с Kaspersky Security Center и Kaspersky Endpoint Detection and Response.
Пример
У аналитика есть информация о связанных с инцидентом активах и об индикаторах компрометации, которая поможет в выборе действий по реагированию.
В рамках рассмотренного инцидента рекомендуется выполнить следующие действия:
- Запустить внеплановую антивирусную проверку актива, на котором был добавлен файл в автозапуск.
Задача антивирусной проверки запускается через Kaspersky Security Center.
- Изолировать актив от сети на время антивирусной проверки.
Изоляция актива выполняется с помощью Kaspersky Endpoint Detection and Response.
- Поместить файл ChromeUpdate.bat в карантин и создать правила запрета на запуск этого файла на других активах организации.
Правило запрета на запуск файла создается с помощью Kaspersky Endpoint Detection and Response.
- Запустить внеплановую антивирусную проверку актива, на котором был добавлен файл в автозапуск.
Шаг 13. Восстановление работоспособности активов
После того как IT-инфраструктура будет очищена от следов присутствия злоумышленника, вы можете отключить правила запрета и сетевой изоляции активов в Kaspersky Endpoint Detection and Response.
Пример После выполнения действий по расследованию, реагированию и очистке IT-инфраструктуры организации от следов атаки можно приступить к восстановлению работоспособности активов. Для этого можно отключить правила запрета на запуск файла и правила сетевой изоляции активов в Kaspersky Endpoint Detection and Response, если они не были отключены автоматически. |
Шаг 14. Закрытие инцидента
После того как были приняты меры по очистке IT-инфраструктуры организации от следов присутствия злоумышленника, вы можете закрыть инцидент.
В началоАналитика
KUMA предоставляет обширную аналитику по данным, доступным программе из следующих источников:
- События в хранилище
- Алерты
- Активы
- Учетные записи, импортированные из Active Directory
- Сведения из коллекторов о количестве обработанных событий
- Метрики
Вы можете настроить и получать аналитику в разделах Панель мониторинга, Отчеты, Состояние источников веб-интерфейса KUMA. Для построения аналитики используются только данные из тенантов, к которым у пользователя есть доступ.
Формат даты зависит от языка локализации, выбранного в настройках программы. Возможные варианты формата даты:
- Английская локализация: ГГГГ-ММ-ДД.
- Русская локализация: ДД.ММ.ГГГГ.
Панель мониторинга
В разделе Панель мониторинга вы можете контролировать состояние безопасности сети вашей организации.
Панель мониторинга представляет собой набор виджетов, которые отображают аналитику данных безопасности сети. Вы можете просмотреть данные только по тем тенантам, к которым вы имеете доступ.
Набор виджетов, используемых на панели мониторинга, называется макетом. Вы можете создавать макеты вручную или воспользоваться преднастроенными макетами. Параметры виджетов в преднастроенных макетах можно редактировать при необходимости. По умолчанию на панели мониторинга отображается преднастроенный макет Alerts Overview.
Создавать, редактировать и удалять макеты могут только пользователи с ролями Администратор и Аналитик. Пользователи с учетными записями всех ролей могут просматривать макеты и назначать макеты по умолчанию. Если макет назначен по умолчанию, этот макет отображается для учетной записи при каждом переходе в раздел Панель мониторинга. Выбранный макет по умолчанию сохраняется для текущей учетной записи пользователя.
Информация на панели мониторинга обновляется в соответствии с расписанием, заданным в параметрах макета. При необходимости вы можете обновить данные принудительно.
Для удобства представления данных на панели мониторинга вы можете включить режим ТВ. В этом случае вы перейдете в режим полноэкранного просмотра панели мониторинга в FullHD-разрешении. В режиме ТВ вы также можете настроить показ слайд-шоу для выбранных макетов.
Создание макета панели мониторинга
Чтобы создать макет:
- Откройте веб-интерфейс KUMA и выберите раздел Панель мониторинга.
- Откройте раскрывающийся список в правом верхнем углу окна Панель мониторинга и выберите Создать макет.
Откроется окно Новый макет.
- В раскрывающемся списке Тенанты выберите тенантов, которым будет принадлежать создаваемый макет и данными из которых будут наполняться виджеты макета.
Выбор танантов в этом раскрывающемся списке не имеет значения, если вы хотите создать универсальный макет (см. ниже).
- В раскрывающемся списке Период выберите период времени, по которому требуется аналитика:
- 1 час
- 1 день (это значение выбрано по умолчанию)
- 7 дней
- 30 дней
- В течение периода – получать аналитику за выбранный период времени. Период времени устанавливается с помощью календаря, который отображается при выборе этого параметра.
Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период День1, 00:00:00 – День 2, 00:00:00, а не День 1, 00:00:00 – День 1, 23:59:59.
- В раскрывающемся списке Обновлять каждые выберите частоту обновления данных в виджетах макета:
- 1 минута
- 5 минут
- 15 минут
- 1 час (это значение выбрано по умолчанию)
- 24 часа
- В раскрывающемся списке Добавить виджет выберите требуемый виджет и настройте его параметры.
В макет можно добавить более одного виджета.
Виджеты также можно перетаскивать по окну и изменять их размер с помощью кнопки
, которая появляется при наведении указателя мыши на виджет.
Добавленные в макет виджеты можно редактировать или удалять, нажав на значок
, а затем выбрав требуемое действие: Изменить или Удалить.
- В поле Название макета введите уникальное имя макета. Должно содержать от 1 до 128 символов в кодировке Unicode.
- При необходимости нажмите на значок
справа от поля названия макета и установите флажки напротив дополнительных параметров макета:
- Универсальный – если вы установите этот флажок, в виджетах макета будут отображаться данные из тенантов, которых вы выберите в разделе Выбрано тенантов, расположенном в меню слева. Это означает, что данные в виджетах макета будут меняться в зависимости от выбранных вами тенантов, при этом вам не придется редактировать параметры макета. Для универсальных макетов тенанты, выбранные в раскрывающемся списке Тенанты, не учитываются.
Если флажок не установить, в виджетах макета будут отображаться данные из тенантов, выбранных в раскрывающемся списке Тенанты в параметрах макета. Если какие-либо из выбранных в макете тенантов вам недоступны, их данные не будут отображаться в виджетах макета.
В универсальных макетах невозможно использовать виджет активные листы.
Универсальные макеты могут создавать и редактировать только главные администраторы. Просматривать такие макеты могут все пользователи.
- Отображать данные по КИИ – если вы установите этот флажок, в виджетах макета будут в том числе отображаться данные об активах, алертах и инцидентах, имеющих отношение к критической информационной инфраструктуре (КИИ). При этом такие макеты будут доступы для просмотра только пользователям, в параметрах которых установлен флажок Доступ к объектам КИИ.
Если флажок не установить, в виджетах макета не будут отображаться данные об активах, алертах и инцидентах, относящихся к КИИ, даже если у пользователя есть доступ к объектам КИИ.
- Универсальный – если вы установите этот флажок, в виджетах макета будут отображаться данные из тенантов, которых вы выберите в разделе Выбрано тенантов, расположенном в меню слева. Это означает, что данные в виджетах макета будут меняться в зависимости от выбранных вами тенантов, при этом вам не придется редактировать параметры макета. Для универсальных макетов тенанты, выбранные в раскрывающемся списке Тенанты, не учитываются.
- Нажмите Сохранить.
Новый макет создан и отображается в разделе Панель мониторинга веб-интерфейса KUMA.
В началоВыбор макета панели мониторинга
Чтобы выбрать макет панели мониторинга:
- Раскройте список в верхнем правом углу окна Панель мониторинга.
- Выберите нужный макет.
Выбранный макет отобразится в разделе Панель мониторинга веб-интерфейса KUMA.
В началоВыбор макета панели мониторинга в качестве макета по умолчанию
Чтобы выбрать макет, который будет отображаться на панели мониторинга по умолчанию:
- В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
- Раскройте список в верхнем правом углу окна Панель мониторинга.
- Наведите указатель мыши на требуемый макет.
- Нажмите на значок
.
Выбранный макет будет отображаться на панели мониторинга по умолчанию.
В началоРедактирование макета панели мониторинга
Чтобы отредактировать макет панели мониторинга:
- В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
- Раскройте список в верхнем правом углу окна.
- Наведите указатель мыши на требуемый макет.
- Нажмите на значок
.
Откроется окно Настройка макета.
- Внесите необходимые изменения. Параметры, доступные для изменения, аналогичны параметрам, доступным при создании макета.
- Нажмите на кнопку Сохранить.
Макет панели мониторинга будет отредактирован и отобразится в разделе Панель мониторинга веб-интерфейса KUMA.
Если макет был удален или присвоен другому тенанту, пока вы вносили в него изменения, при нажатии на кнопку Сохранить отобразится ошибка. Макет не будет сохранен. Обновите страницу веб-интерфейса KUMA, чтобы в раскрывающемся списке просмотреть перечень доступных макетов.
В началоУдаление макета панели мониторинга
Чтобы удалить макет:
- В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
- Раскройте список в верхнем правом углу окна.
- Наведите указатель мыши на требуемый макет.
- Нажмите на значок
и подтвердите действие.
Макет будет удален.
В началоВключение и отключение режима ТВ
Мы рекомендуем для отображения аналитики в режиме ТВ создать отдельного пользователя с минимально необходимым набором прав.
Чтобы включить режим ТВ:
- В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
- В правом верхнем углу нажмите на кнопку
.
Откроется окно Параметры.
- Переведите переключатель Режим ТВ в положение Включено.
- Если вы хотите настроить показ макетов в режиме слайд-шоу, выполните следующие действия:
- Переведите переключатель Слайд-шоу в положение Включено.
- В поле Время ожидания укажите, через сколько секунд должно происходить переключение макетов.
- В раскрывающемся списке Очередь выберите макеты для просмотра. Если не выбран ни один макет, в режиме слайд-шоу будут по очереди отображаться все макеты, доступные пользователю.
- Если требуется, измените порядок показа макетов, перетаскивая их с помощью кнопки
.
- Нажмите на кнопку Сохранить.
Режим ТВ будет включен. Чтобы вернуться к работе с веб-интерфейсом KUMA, нужно отключить режим ТВ.
Чтобы отключить режим ТВ:
- Откройте веб-интерфейс KUMA и выберите раздел Панель мониторинга.
- В правом верхнем углу нажмите на кнопку
.
Откроется окно Параметры.
- Переведите переключатель Режим ТВ в положение Выключено.
- Нажмите на кнопку Сохранить.
Режим ТВ будет отключен. В левой части экрана отобразится панель с разделами веб-интерфейса KUMA.
При внесении изменений в макеты, выбранные для слайд-шоу, эти изменения будут автоматически отображаться в активных сессиях слайд-шоу.
В началоПреднастроенные макеты панели мониторинга
KUMA поставляется с набором преднастроенных макетов, которые содержат следующие виджеты:
- Макет Alerts Overview (Обзор алертов):
- Active alerts (Активные алерты) – количество незакрытых алертов.
- Unassigned alerts (Неназначенные алерты) – количество алертов со статусом Новый.
- Latest alerts (Последние алерты) – таблица с информацией о последних 10 незакрытых алертах, принадлежащих выбранным в макете тенантам.
- Alerts distribution (Распределение алертов) – количество алертов, созданных в течение указанного для виджета периода.
- Alerts by priority (Алерты по уровню важности) – количество незакрытых алертов, сгруппированных по уровню важности.
- Alerts by assignee (Алерты по исполнителю) – количество алертов со статусом Назначен. Сгруппированы по имени учетной записи.
- Alerts by status (Алерты по статусу) – количество алертов, имеющих статус Новый, Открыт, Назначен или Эскалирован. Сгруппированы по статусу.
- Affected users in alerts (Затронутые пользователи) – количество пользователей, связанных с алертами, имеющими статус Новый, Назначен или Эскалирован. Сгруппированы по имени учетной записи.
- Affected assets (Затронутые активы) – таблица с информацией об уровне важности активов и количестве незакрытых алертов, с которыми они связаны.
- Affected assets categories (Затронутые категории активов) – категории активов, привязанных к незакрытым алертам.
- Top event source by alerts number (Топ источников событий по количеству алертов) – количество алертов со статусом Новый, Назначен или Эскалирован, сгруппированных по источнику алерта (поле события DeviceProduct).
На виджете отображается не более 10 источников событий.
- Alerts by rule (Количество алертов по правилу) – количество алертов со статусом Новый, Назначен или Эскалирован, сгруппированных по правилам корреляции.
- Макет Incidents Overview (Обзор инцидентов):
- Active incidents (Активные инциденты) – количество незакрытых инцидентов.
- Unassigned Incidents (Неназначенные инциденты) – количество инцидентов со статусом Открыт.
- Latest Incidents (Последние инциденты) – таблица с информацией о последних 10 незакрытых инцидентах, принадлежащих выбранным в макете тенантам.
- Incidents distribution (Распределение инцидентов) – количество инцидентов, созданных в течение указанного для виджета периода.
- Incidents by priority (Инциденты по уровню важности) – количество незакрытых инцидентов, сгруппированных по уровню важности.
- Incidents by assignee (Инциденты по исполнителю) – количество инцидентов со статусом Назначен. Сгруппированы по имени учетной записи пользователя.
- Incidents by status (Инциденты по статусам) – количество инцидентов, сгруппированных по статусу.
- Affected assets in incidents (Активы в инцидентах) – количество активов, связанных с незакрытыми инцидентами.
- Affected users in incidents (Пользователи в инцидентах) – пользователи, связанные с инцидентами.
- Affected asset categories in incidents (Категории активов в инцидентах) – категории активов, связанных с незакрытыми инцидентами.
- Active incidents by tenant (Инциденты по тенантам) – количество инцидентов всех статусов, сгруппированных по тенантам.
- Макет Network Overview (Обзор сетевой активности):
- Netflow top internal IPs (Топ внутренних IP-адресов по полученному netflow-трафику) – суммарный размер полученного активом netflow-трафика в байтах. Данные сгруппированы по внутренним IP-адресам активов.
На виджете отображается не более 10 IP-адресов.
- Netflow top external IPs (Топ внешних IP-адресов по полученному netflow-трафику) – суммарный размер полученного активом netflow-трафика в байтах. Данные сгруппированы по внешним IP-адресам активов.
- Netflow top hosts for remote control (Топ активов, на которые были обращения на порты для удаленного управления) – количество событий, связанных с обращением на один из следующих портов: 3389, 22, 135. Данные сгруппированы по именам активов.
- Netflow total bytes by internal ports (Топ внутренних портов по приему netflow-трафика) – количество байт, переданное на внутренние порты активов. Данные сгруппированы по номерам портов.
- Top Log Sources by Events count (Топ источников событий) – 10 источников, от которых было получено наибольшее количество событий.
- Netflow top internal IPs (Топ внутренних IP-адресов по полученному netflow-трафику) – суммарный размер полученного активом netflow-трафика в байтах. Данные сгруппированы по внутренним IP-адресам активов.
По умолчанию для преднастроенных макетов указан период обновления Никогда. Вы можете редактировать эти макеты при необходимости.
В началоОтчеты
В KUMA можно настроить регулярное формирование отчетов о процессах программы.
Отчеты формируются с помощью шаблонов отчетов, которые созданы и хранятся в закладке Шаблоны раздела Отчеты.
Сформированные отчеты хранятся в закладке Сформированные отчеты раздела Отчеты.
Для возможности сохранять сформированные отчеты в форматах HTML и PDF необходимо установить требуемые пакеты на устройстве с Ядром KUMA.
При развертывании KUMA в отказоустойчивом варианте временная зона сервера Ядра программы и время в браузере пользователя могут различаться. Это различие проявляется в расхождении времени, которое проставляется в отчетах, сформированных по расписанию, и данных, которые пользователь может экспортировать из виджетов. Чтобы избежать расхождения, рекомендуется настроить расписание формирования отчетов с учетом разницы временной зоны пользователей и временем UTC.
Шаблон отчета
Шаблоны отчетов используются для указания аналитических данных, которые следует включать в отчет, а также для настройки частоты создания отчетов. Администраторы и аналитики могут создавать, редактировать и удалять шаблоны отчетов. Отчеты, созданные с использованием шаблонов отчетов, отображаются на закладке Сформированные отчеты.
Шаблоны отчетов доступны на закладке Шаблоны раздела Отчеты, где отображается таблица существующих шаблонов. В таблице есть следующие столбцы:
- Название – имя шаблона отчетов.
Вы можете отсортировать таблицу по этому столбцу, нажав заголовок и выбрав По возрастанию или По убыванию.
Вы также можете искать шаблоны отчетов, используя поле Поиск, которое открывается по нажатию на заголовок столбца Название.
При поиске шаблонов отчетов используются регулярные выражения.
- Расписание – периодичность, с которой отчеты должны формироваться по созданным шаблонам. Если расписание отчета не настроено, отображается значение
выключено
. - Создал – имя пользователя, создавшего шаблон отчета.
- Последнее обновление – дата последнего обновления шаблона отчета.
Вы можете отсортировать таблицу по этому столбцу, нажав заголовок и выбрав По возрастанию или По убыванию.
- Последний отчет – дата и время формирования последнего отчета по шаблону отчета.
- Отправить по электронной почте – в этом столбце отображается метка напротив шаблонов отчетов, для которых настроено уведомление пользователей по почте о сформированных отчетах.
- Тенант – название тенанта, которому принадлежит шаблон отчета.
Вы можете нажать имя шаблона отчета, чтобы открыть раскрывающийся список с доступными командами:
- Создать отчет – используйте эту команду, чтобы немедленно сформировать отчет. Созданные отчеты отображаются на закладке Сформированные отчеты.
- Изменить расписание – используйте эту команду, чтобы настроить расписание для формирования отчетов и определить пользователей, которые должны получать уведомления по электронной почте о сформированных отчетах.
- Изменить шаблон отчета – используйте эту команду, чтобы настроить виджеты и период времени, за который должна быть извлечена аналитика.
- Дублировать шаблон отчета – используйте эту команду, чтобы создать копию существующего шаблона отчета.
- Удалить шаблон отчета – используйте эту команду, чтобы удалить шаблон отчета.
Создание шаблона отчета
Чтобы создать шаблон отчета:
- Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Шаблоны.
- Нажмите на кнопку Новый шаблон.
Откроется окно Новый шаблон отчета.
- В раскрывающемся списке Тенанты выберите один или несколько тенантов, которым будет принадлежать создаваемый макет.
- В раскрывающемся списке Период выберите период времени, по которому требуется аналитика:
- Сегодня (это значение выбрано по умолчанию)
- На этой неделе
- В этом месяце
- В течение периода – получать аналитику за выбранный период времени.
Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период День1, 00:00:00 – День 2, 00:00:00, а не День 1, 00:00:00 – День 1, 23:59:59.
- Другой – получать аналитику за последние N дней/недель/месяцев/лет.
- В поле Срок хранения укажите, на протяжении какого времени следует хранить сформированные по этому шаблону отчеты.
- В поле Название шаблона введите уникальное название шаблона отчета. Должно содержать от 1 до 128 символов в кодировке Unicode.
- В раскрывающемся списке Добавить виджет выберите требуемый виджет и настройте его параметры.
В шаблон отчета можно добавить более одного виджета.
Виджеты также можно перетаскивать по окну и изменять их размер с помощью кнопки
, которая появляется при наведении указателя мыши на виджет.
Добавленные в макет виджеты можно редактировать или удалять, наведя на них указатель мыши, нажав появившийся значок
, а затем выбрав требуемое действие: Изменить или Удалить.
- При необходимости можно поменять логотип шаблона отчетов с помощью кнопки Загрузить логотип.
Если нажать на кнопку Загрузить логотип, открывается окно загрузки, в котором можно указать файл изображения для логотипа. Изображение должно быть файлом .jpg, .png или .gif размером не более 3 МБ.
Добавленный логотип будет отображаться в отчете вместо логотипа KUMA.
- При необходимости установите флажок Отображать данные по КИИ, чтобы в виджетах макета в том числе отображались данные об активах, алертах и инцидентах, имеющих отношение к критической информационной инфраструктуре (КИИ). При этом такие макеты будут доступы для просмотра только пользователям, в параметрах которых установлен флажок Доступ к объектам КИИ.
Если флажок не установить, в виджетах макета не будут отображаться данные об активах, алертах и инцидентах, относящихся к КИИ, даже если у пользователя есть доступ к объектам КИИ.
- Нажмите Сохранить.
Новый шаблон отчета создан и отображается в закладке Отчеты → Шаблоны веб-интерфейса KUMA. Вы можете сформировать этот отчет вручную. Если вы хотите, чтобы отчеты создавались автоматически, требуется настроить расписание.
В началоНастройка расписания отчетов
Чтобы настроить расписание отчетов:
- Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Шаблоны.
- В таблице шаблонов отчета нажмите имя шаблона отчета и в раскрывающемся списке выберите Изменить расписание.
Откроется окно Параметры отчета.
- Если вы хотите, чтобы отчет формировался регулярно:
- Включите переключатель Расписание.
В группе настроек Повторять каждый задайте периодичность создания отчетов.
Периодичность формирования отчетов можно указать по дням, неделям, месяцам или годам. В зависимости от выбранного периода требуется задать время, день недели, число месяца или дату формирования отчета.
- В поле Время укажите время, когда должен быть сформирован отчет. Вы можете ввести значение вручную или с помощью значка часов.
- Включите переключатель Расписание.
- Чтобы выбрать формат отчетов и указать адресатов для рассылки, настройте следующие параметры:
- В группе настроек Отправить нажмите Добавить.
- В открывшемся окне Добавление адресов электронной почты в разделе Группы пользователей нажмите Добавить группу.
- В появившемся поле укажите адрес электронной почты и нажмите Enter или щелкните вне поля ввода - адрес электронной почты будет добавлен. Можно добавить несколько адресов. Отчеты будут отправлены по указанным адресам каждый раз, когда вы сформируете отчет вручную или KUMA сформирует отчет автоматически по расписанию.
Чтобы сформированные отчеты можно было отправлять по электронной почте, следует настроить SMTP-соединение.
Если адресаты, которым отчет пришел на почту, являются пользователями KUMA, они смогут скачать отчет или просмотреть отчет по ссылкам из письма. Если адресаты не являются пользователями KUMA, переход по ссылкам будет доступен, но авторизоваться в KUMA адресаты не смогут, поэтому им будут доступны только вложения.
Мы рекомендуем просматривать отчеты в формате HTML по ссылкам в веб-интерфейсе, поскольку при некоторых значениях разрешения экрана HTML-отчет из вложения может отображаться некорректно.
Вы можете отправить письмо без вложений, тогда адресатам будут доступны отчеты только по ссылкам и только с авторизацией в KUMA, без ограничений по ролям или тенантам.
- В раскрывающемся списке выберите формат отчета для отправки. Доступные форматы: PDF, HTML, , Excel.
- Нажмите Сохранить.
Расписание отчетов настроено.
В началоИзменение шаблона отчета
Чтобы изменить шаблон отчета:
- Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Шаблоны.
- В таблице шаблонов отчета нажмите имя шаблона отчета и в раскрывающемся списке выберите Изменить шаблон отчета.
Откроется окно Изменить шаблон отчета.
Это окно также можно открыть на закладке Отчеты → Сформированные отчеты, нажав имя существующего отчета и выбрав в раскрывающемся списке Изменить шаблон отчета.
- Внесите необходимые изменения:
- Измените список тенантов, которым принадлежит шаблон отчета.
- Обновите период времени, за который вам требуется аналитика.
- Добавьте виджеты
- Измените расположение виджетов, перетаскивая их.
- Измените размер виджетов с помощью кнопки
, которая появляется при наведении указателя мыши на виджет.
- Отредактируйте виджеты
- Удалите виджеты, наведя на них указатель мыши, а затем нажав на появившийся значок
и выбрав Удалить.
- В поле справа от раскрывающегося списка Добавить виджет введите уникальное имя шаблона отчета. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Измените логотип отчета, загрузив его с помощью кнопки Загрузить логотип. Если в шаблоне уже есть логотип, его предварительно потребуется удалить.
- Измените срок хранения отчетов, сформированных по этому шаблону.
- При необходимости установите или снимите флажок Отображать данные по КИИ.
- Нажмите Сохранить.
Шаблон отчета изменен и отображается в закладке Отчеты → Шаблоны веб-интерфейса KUMA.
В началоКопирование шаблона отчета
Чтобы создать копию шаблона отчета:
- Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Шаблоны.
- В таблице шаблонов отчета нажмите имя шаблона отчета и в раскрывающемся списке выберите Дублировать шаблон отчета.
Откроется окно Новый шаблон отчета. Название виджета изменено на
<Шаблон отчета> - копия
. - Внесите необходимые изменения:
- Измените список тенантов, которым принадлежит шаблон отчета.
- Обновите период времени, за который вам требуется аналитика.
- Добавьте виджеты
- Измените расположение виджетов, перетаскивая их.
- Измените размер виджетов с помощью кнопки
, которая появляется при наведении указателя мыши на виджет.
- Отредактируйте виджеты
- Удалите виджеты, наведя на них указатель мыши, а затем нажав на появившийся значок
и выбрав Удалить.
- В поле справа от раскрывающегося списка Добавить виджет введите уникальное имя шаблона отчета. Должно содержать от 1 до 128 символов в кодировке Unicode.
- Измените логотип отчета, загрузив его с помощью кнопки Загрузить логотип. Если в шаблоне уже есть логотип, его предварительно потребуется удалить.
- Нажмите Сохранить.
Шаблон отчета создан и отображается в закладке Отчеты → Шаблоны веб-интерфейс KUMA.
В началоУдаление шаблона отчета
Чтобы удалить шаблон отчета:
- Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Шаблоны.
- В таблице шаблонов отчета нажмите имя шаблона отчета и в раскрывающемся списке выберите Удалить шаблон отчета.
Откроется окно подтверждения.
- Если вы хотите удалить только шаблон отчета, нажмите на кнопку Удалить.
- Если вы хотите удалить шаблон отчета и все отчеты, сформированные с помощью этого шаблона, нажмите Удалить с отчетами.
Шаблон отчета удален.
В началоСформированные отчеты
Все отчеты формируются с помощью шаблонов отчетов. Сформированные отчеты доступны на закладке Сформированные отчеты в разделе Отчеты и отображаются в таблице со следующими столбцами:
- Название – имя шаблона отчетов.
Вы можете отсортировать таблицу по этому столбцу, нажав заголовок и выбрав По возрастанию или По убыванию.
- Период – период времени, за который была извлечена аналитика отчета.
- Последний отчет – дата и время создания отчета.
Вы можете отсортировать таблицу по этому столбцу, нажав заголовок и выбрав По возрастанию или По убыванию.
- Тенант – название тенанта, которому принадлежит отчет.
- Пользователь – имя пользователя, который сформировал отчет вручную. Если отчет был сформирован по расписанию, значение будет пустым. Если отчет был сформирован в версии KUMA ниже 2.1, значение будет пустым.
Вы можете нажать на название отчета, чтобы открыть раскрывающийся список с доступными командами:
- Открыть отчет – используйте эту команду, чтобы открыть окно с данными отчета.
- Сохранить как – используйте эту команду, чтобы сохранить сформированный отчет в нужном формате. Доступные форматы: HTML, PDF, CSV, разделенный CSV, Excel.
- Создать отчет – используйте эту команду, чтобы немедленно сформировать отчет. Обновите окно браузера, чтобы увидеть вновь созданный отчет в таблице.
- Изменить шаблон отчета – используйте эту команду, чтобы настроить виджеты и период времени, за который должна быть извлечена аналитика.
- Удалить отчет – используйте эту команду, чтобы удалить отчет.
Просмотр отчетов
Чтобы просмотреть отчет:
- Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Сформированные отчеты.
- В таблице отчета нажмите имя сформированного отчета и в раскрывающемся списке выберите Открыть отчет.
Откроется новая закладка браузера с виджетами, отображающими аналитику отчетов. Если виджет отображает данные о событиях, алертах, инцидентах или активных листах, при нажатии на его заголовок открывается соответствующий раздел веб-интерфейса KUMA с активным фильтром и/или поисковым запросом, с помощью которых отображаются данные из виджета. К виджетам применяются ограничения по умолчанию.
С помощью кнопки CSV данные, отображаемые на каждом виджете, можно скачать в формате CSV в кодировке UTF-8. Название скачиваемого файла имеет формат <название виджета>_<дата скачивания (ГГГГММДД)>_<время скачивания (ЧЧММСС)>.CSV.
Если вы хотите просмотреть полные данные, выгрузите отчет в формате CSV с указанными параметрами из запроса.
- Отчет можно сохранить в выбранном формате с помощью кнопки Сохранить как.
Создание отчетов
Вы можете создать отчет вручную или настроить расписание, чтобы отчеты создавались автоматически.
Чтобы создать отчет вручную:
- Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Шаблоны.
- В таблице шаблонов отчета нажмите имя шаблона отчета и в раскрывающемся списке выберите Создать отчет.
Отчет также можно создать на закладке Отчеты → Сформированные отчеты, нажав имя существующего отчета и выбрав в раскрывающемся списке Создать отчет.
Отчет создается и помещается на закладку Отчеты → Сформированные отчеты.
Чтобы создавать отчеты автоматически, настройте расписание отчетов.
В началоСохранение отчетов
Чтобы сохранить отчет в нужном формате:
- Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Сформированные отчеты.
- В таблице отчета нажмите имя сформированного отчета и в раскрывающемся списке выберите Сохранить как, а затем выберите нужный формат: HTML, PDF, CSV, разделенный CSV, Excel.
Отчет сохраняется в папку загрузки, настроенную в вашем браузере.
Отчет также можно сохранить в выбранном формате при просмотре.
В началоУдаление отчетов
Чтобы удалить отчет:
- Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Сформированные отчеты.
- В таблице отчета нажмите имя сформированного отчета и в раскрывающемся списке выберите Удалить отчет.
Откроется окно подтверждения.
- Нажмите ОК.
Виджеты
С помощью виджетов вы можете осуществлять мониторинг работы приложения.
Виджеты организованы в группы, каждая из которых связана с типом аналитики, которую она предоставляет. В KUMA доступны следующие группы виджетов и виджеты:
- События – виджет для создания аналитики на основе событий.
- Активные листы – виджет для создания аналитики на основе активных листов корреляторов.
- Алерты – группа для аналитики об алертах.
В группу входят следующие виджеты:
- Активные алерты – количество незакрытых алертов.
- Активные алерты по тенантам – количество незакрытых алертов для каждого тенанта.
- Алерты по тенантам – количество алертов всех статусов для каждого тенанта.
- Неназначенные алерты – количество алертов со статусом Новый.
- Алерты по исполнителю – количество алертов со статусом Назначен. Сгруппированы по имени учетной записи.
- Алерты по статусу – количество алертов, имеющих статус Новый, Открыт, Назначен или Эскалирован. Сгруппированы по статусу.
- Алерты по уровню важности – количество незакрытых алертов, сгруппированных по уровню важности.
- Алерты по правилу корреляции – количество незакрытых алертов, сгруппированных по правилам корреляции.
- Последние алерты – таблица с информацией о последних 10 незакрытых алертах, принадлежащих выбранным в макете тенантам.
- Распределение алертов – количество алертов, созданных в течение указанного для виджета периода.
- Активы – группа для аналитики об активах из обработанных событий. В эту группу входят следующие виджеты:
- Затронутые активы – таблица с информацией об уровне важности активов и количестве незакрытых алертов, с которыми они связаны.
- Категории затронутых активов – категории активов, привязанных к незакрытым алертам.
- Количество активов – количество активов, добавленных в KUMA.
- Активы в инцидентах по тенантам – количество активов, связанных с незакрытыми инцидентами. Сгруппированы по тенантам.
- Активы в алертах по тенантам – количество активов, связанных с незакрытыми алертами, Сгруппированы по тенантам.
- Инциденты – группа для аналитики об инцидентах.
В группу входят следующие виджеты:
- Активные инциденты – количество незакрытых инцидентов.
- Неназначенные инциденты – количество инцидентов со статусом Открыт.
- Распределение инцидентов – количество инцидентов, созданных в течение указанного для виджета периода.
- Инциденты по исполнителю – количество инцидентов со статусом Назначен. Сгруппированы по имени учетной записи пользователя.
- Инциденты по статусам – количество инцидентов, сгруппированных по статусу.
- Инциденты по уровню важности – количество незакрытых инцидентов, сгруппированных по уровню важности.
- Активные инциденты по тенантам – количество незакрытых инцидентов, сгруппированных по тенантам, доступным для учетной записи пользователя.
- Все инциденты – количество инцидентов всех статусов.
- Все инциденты по тенантам – количество инцидентов всех статусов, сгруппированных по тенантам.
- Активы в инцидентах – количество активов, связанных с незакрытыми инцидентами.
- Категории активов в инцидентах – категории активов, связанных с незакрытыми инцидентами.
- Пользователи в инцидентах – пользователи, связанные с инцидентами.
- Последние инциденты – таблица с информацией о последних 10 незакрытых инцидентах, принадлежащих выбранным в макете тенантам.
- Источники событий – группа для аналитики об источниках событий. В группу входят следующие виджеты:
- Топ источников событий по количеству алертов – количество незакрытых алертов, сгруппированных по источникам событий.
- Топ источников событий по условному рейтингу – количество событий, связанных с незакрытыми алертами. Сгруппированы по источникам событий.
В ряде случаев количество алертов, созданных источниками, может быть искажено. Для получения точной статистики рекомендуется в правиле корреляции указать поле события Device Product в качестве уникального, а также включить хранение всех базовых событий в корреляционном событии. Правила корреляции с такими настройками являются более ресурсоемкими.
- Пользователи – группа для аналитики о пользователях из обработанных событий. В группу входят следующие виджеты:
- Пользователи в алертах – количество учетных записей, связанных с незакрытыми алертами.
- Количество пользователей AD – количество учетных записей в Active Directory, полученных по LDAP в течение указанного для виджета периода.
В таблице событий, в области деталей событий, в окне алертов, а также в виджетах в качестве значений полей SourceAssetID, DestinationAssetID, DeviceAssetID, SourceAccountID, DestinationAccountID и ServiceID вместо идентификаторов отображаются названия активов, учетных записей или сервисов. При экспорте событий в файл идентификаторы сохраняются, однако в файл добавляются столбцы с названиями. Идентификаторы также отображаются при наведении указателя мыши на названия активов, учетных записей или сервисов.
Поиск по полям с идентификаторами возможен только с помощью идентификаторов.
Основные принципы работы с виджетами
Принцип отображения данных на виджете зависит от типа графика. В KUMA доступны следующие типы графиков:
- Круговая диаграмма (
).
- Счетчик (
).
- Таблица (
).
- Столбчатая диаграмма (
).
- Календарная диаграмма (
).
- Линейная диаграмма.
Основные принципы работы со всеми виджетами
В левом верхнем углу виджетов отображается название виджета. По ссылке с названием виджета о событиях, алертах, инцидентах или активных листах вы можете перейти в соответствующий раздел веб-интерфейса KUMA.
Под названием виджета отображается список тенантов, для которых представлены данные.
В правом верхнем углу виджета указан период, за который отображаются данные на виджете (). Вы можете просмотреть даты периода и время последнего обновления, наведя указатель мыши на этот значок.
Слева от значка периода отображается кнопка CSV. Вы можете скачать данные, которые отображаются на виджете, в формате CSV (кодировка UTF-8). Название скачиваемого файла имеет формат <название виджета>_<дата скачивания (ГГГГММДД)>_<время скачивания (ЧЧММСС)>.CSV.
Данные на виджете отображаются за выбранный в параметрах виджета или макета период только для тенантов, которые были выбраны в параметрах виджета или макета.
Основные принципы работы с графиками типа "Круговая диаграмма"
Под списком тенантов отображается круговая диаграмма. Вы можете перейти в раздел веб-интерфейса KUMA с соответствующими данными, щелкнув левой кнопкой мыши по выбранному разделу диаграммы. Данные в разделе будут отсортированы в соответствии с фильтрами и/или поисковым запросом, указанным в виджете.
Под значком периода отображается количество событий, активных листов, активов, алертов или инцидентов, сгруппированных по выбранным критериям за период отображения данных на виджетах.
Примеры:
|
Основные принципы работы с графиками типа "Счетчик"
На графиках этого типа отображается сумма выбранных данных.
Пример: На виджете Количество активов отображается общее количество активов, добавленных в KUMA. |
Основные принципы работы с графиками типа "Таблица"
На графиках этого типа данные отображаются в виде таблицы.
Пример: На виджете События, для которого указан SQL-запрос |
Основные принципы работы с графиками типа "Столбчатая диаграмма"
Под списком тенантов отображается столбчатая диаграмма. Вы можете перейти в раздел События веб-интерфейса KUMA, щелкнув левой кнопкой мыши по выбранному разделу диаграммы. Данные в разделе будут отсортированы в соответствии с фильтрами и/или поисковым запросом, указанным в виджете. Справа от диаграммы эти данные представлены в виде таблицы.
Пример: На виджете Netflow top internal IPs, для которого указан SQL-запрос |
Основные принципы работы с графиками типа "Календарная диаграмма"
Под списком тенантов отображается календарная диаграмма. Вы можете перейти в раздел События веб-интерфейса KUMA с соответствующими данными, щелкнув левой кнопкой мыши по выбранному разделу диаграммы. Данные в разделе будут отсортированы в соответствии с фильтрами и/или поисковым запросом, указанным в виджете. Справа от диаграммы эти данные представлены в виде таблицы.
Пример: На виджете События, для которого указан SQL-запрос |
Основные принципы работы с графиками типа "Линейная диаграмма"
Под списком тенантов отображается линейная диаграмма. Вы можете перейти в раздел События веб-интерфейса KUMA с соответствующими данными, щелкнув левой кнопкой мыши по выбранному разделу диаграммы. Данные в разделе будут отсортированы в соответствии с фильтрами и/или поисковым запросом, указанным в виджете. Справа от диаграммы эти данные представлены в виде таблицы.
Пример: На виджете События, для которого указан SQL-запрос |
Особенности отображения данных в виджетах
Ограничение отображаемых данных
Для удобства восприятия информации в KUMA заданы ограничения на отображение данных в виджетах в зависимости от их типа:
- Круговая диаграмма – отображается не более 20 отсеков.
- Столбчатая диаграмма – отображается не более 40 столбцов.
- Таблица – отображается не более 500 записей.
- Календарная диаграмма – отображается не более 365 дней.
Данные, выходящие за указанные ограничения, отображаются в виджете в категории Остальное.
Все данные, по которым построена аналитика в виджете, можно скачать в формате CSV.
Суммирование данных
Формат отображения итоговой суммы данных на календарной, столбчатой и круговой диаграммах зависит от языка локализации:
- Английская локализация: порядки разделяются запятыми, дробная часть отделяется точкой.
- Русская локализация: порядки разделяются пробелами, дробная часть отделяется запятой.
Создание виджета
Вы можете создать виджет на макете панели мониторинга в процессе создания или редактирования макета.
Чтобы создать виджет:
- Создайте макет или перейдите в режим редактирования выбранного макета.
- Нажмите на кнопку Добавить виджет.
- В раскрывшемся списке выберите тип виджета.
Отобразится окно параметров виджета.
- Задайте параметры виджета.
- Если вы хотите просмотреть, как будут отображаться данные на виджете, нажмите на кнопку Предварительный просмотр.
- Нажмите на кнопку Добавить.
Виджет отобразится на макете панели мониторинга.
В началоРедактирование виджета
Чтобы отредактировать виджет:
- В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
- Раскройте список в верхнем правом углу окна.
- Наведите указатель мыши на требуемый макет.
- Нажмите на кнопку
.
Откроется окно Настройка макета.
- На виджете, который вы хотите отредактировать, нажмите на кнопку
.
- Выберите Изменить.
Откроется окно параметров виджета.
- Задайте параметры виджета.
- Нажмите на кнопку Сохранить в окне параметров виджета.
- Нажмите на кнопку Сохранить в окне Настройка макета.
Виджет будет отредактирован.
В началоУдаление виджета
Чтобы удалить виджет:
- В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
- Раскройте список в верхнем правом углу окна.
- Наведите указатель мыши на требуемый макет.
- Нажмите на кнопку
.
Откроется окно Настройка макета.
- На виджете, который вы хотите удалить, нажмите на кнопку
.
- Выберите Удалить.
- В отобразившемся окне подтверждения нажмите на кнопку ОК.
- Нажмите на кнопку Сохранить.
Виджет будет удален.
В началоПараметры виджетов
Этот раздел содержит описание параметров всех доступных в KUMA виджетов.
В началоВиджет "События"
Вы можете использовать виджет События для получения необходимой аналитики на основе SQL-запросов.
При создании этого виджета вам требуется указать значения для следующих параметров:
Вкладка :
- График – тип графика. Доступны следующие типы графиков:
- Круговая диаграмма.
- Столбчатая диаграмма.
- Счетчик.
- Линейная диаграмма.
- Таблица.
- Календарная диаграмма.
- Тенант – тенант, по которому отображаются данные на виджете.
Вы можете выбрать несколько тенантов.
По умолчанию данные отображаются по тенантам, которые были выбраны в параметрах макета.
- Период – период, за который отображаются данные на виджете. Доступны следующие периоды:
- Как на макете – отображаются данные за период, выбранный для макета.
Это значение используется по умолчанию.
- 1 час – отображаются данные за предыдущий час.
- 1 день – отображаются данные за предыдущий день.
- 7 дней – отображаются данные за предыдущие 7 дней.
- 30 дней – отображаются данные за предыдущие 30 дней.
- В течение периода – отображаются данные за выбранный период времени.
При выборе этого варианта в открывшемся календаре выберите дату начала и окончания периода и нажмите Применить фильтр. Формат даты и времени зависит от настроек вашей операционной системы. При необходимости вы также можете изменить значения даты вручную.
Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период День1, 00:00:00 – День 2, 00:00:00, а не День 1, 00:00:00 – День 1, 23:59:59.
- Как на макете – отображаются данные за период, выбранный для макета.
- Показывать данные за предыдущий период – включение отображения данных сразу за два периода: за текущий и за предыдущий.
- Хранилище – хранилище, в котором выполняется поиск событий.
- Поле SQL-запроса (
) – в этом поле вы можете ввести запрос для фильтрации и поиска событий вручную.
Также вы можете составить запрос в конструкторе запросов, нажав на кнопку
.
Как создать запрос в конструкторе запросов
Пример условий поиска в конструкторе запросов
Псевдонимы metric и value в SQL-запросах недоступны для изменения для всех типов виджета с аналитикой по событиям, кроме таблиц.
Псевдонимы в виджетах типа Таблица могут содержать латинские и кириллические символы, а также пробелы. При использовании пробелов или кириллицы псевдоним необходимо выделять кавычками:
"Псевдоним с пробелом"
,`Другой псевдоним`
.При отображении данных за предыдущий период сортировка по параметру
count(ID)
может работать некорректно. Рекомендуется использовать сортировку по параметру metric. Например,SELECT count(ID) AS "metric", Name AS "value" FROM `events` GROUP BY Name ORDER BY metric ASC LIMIT 250
.В виджетах типа Счетчик необходимо для значений функции
SELECT
указывать способ обработки данных:count
,max
,min
,avg
,sum
.
Вкладка :
Закладка отображается, если на закладке в поле График вы выбрали одно из следующих значений: Столбчатая диаграмма, Линейная диаграмма, Календарная диаграмма.
- Минимальное значение Y и Максимальное значение Y – масштаб оси Y.
- Минимальное значение X и Максимальное значение X – масштаб оси X.
На осях графиков могут отображаться отрицательные значения. Это связано с масштабированием графиков на виджете и может быть исправлено выставлением нуля в качестве минимальных значений графиков вместо Авто.
- Толщина линии – толщина линии на графике. Поле отображается для типа графика "Линейная диаграмма".
- Размер указателя – размер указателя на графике. Поле отображается для типа графика "Линейная диаграмма".
Вкладка :
- Название – название виджета.
- Описание – описание виджета.
- Цвет – раскрывающийся список, в котором вы можете выбрать цвет отображения информации:
- по умолчанию – цвет шрифта, который используется в вашем браузере по умолчанию;
- зеленый;
- красный;
- синий;
- желтый.
- Горизонтальный – использование горизонтальной гистограммы вместо вертикальной.
При включении этого параметра горизонтальная прокрутка при большом количестве данных не будет отображаться и вся имеющаяся информация будет отражена в заданном размере виджета. Если данных для отображения много, рекомендуется увеличить размер виджета.
- Итоговые значения – суммы значений.
- Легенда – легенда для аналитики.
По умолчанию переключатель включен.
- Пустые значения в легенде – отображение параметров с нулевым значением в легенде для аналитики.
По умолчанию переключатель выключен.
- Десятичные знаки – поле для ввода количества десятичных знаков, до которых отображаемое значение должно быть округлено.
- Длительность отрезков периода (доступно для графика типа Календарная диаграмма) – длительность отрезков, на которые требуется делить период.
Виджет "Активные листы"
Вы можете использовать виджет Активные листы для получения аналитики на основе SQL-запросов.
При создании этого виджета вам требуется указать значения для следующих параметров:
Вкладка :
- График – тип графика. Доступны следующие типы графиков:
- Столбчатая диаграмма.
- Круговая диаграмма.
- Счетчик.
- Таблица.
- Тенант – тенант, по которому отображаются данные на виджете.
Вы можете выбрать несколько тенантов.
По умолчанию данные отображаются по тенантам, которые были выбраны в параметрах макета.
- Коррелятор – название коррелятора, содержащего активный лист, по которому вы хотите получать данные.
- Активный лист – название активного листа, по которому вы хотите получать данные.
Один и тот же активный лист может использоваться в разных корреляторах. При этом для каждого коррелятора создается своя сущность активного листа. Таким образом, содержимое активных листов, используемых разными корреляторами, различается, даже если идентификатор и название активных листов одинаковые.
- Поле SQL-запроса – в этом поле вы можете ввести запрос для фильтрации и поиска данных активного листа вручную.
Структура запроса аналогична той, которая используется при поиске событий.
При создании запроса по активным листам вам нужно учитывать следующие особенности:
- Для функции FROM требуется указать значение `records`.
- Если вы хотите получать данные по полям, названия которых содержат пробелы и символы кириллицы, в запросе такие названия требуется выделять кавычками:
- в функции SELECT псевдонимы следует выделять двойными или косыми кавычками: "псевдоним", `другой псевдоним`;
- в функции ORDER BY псевдонимы следует выделять косыми кавычками: `другой псевдоним`;
- значения полей событий выделяются прямыми кавычками: WHERE DeviceProduct = 'Microsoft';
Название полей событий выделять кавычками не требуется.
Если название поля активного листа начинается или заканчивается пробелами, в виджете эти пробелы не отображаются. Название поля не должно состоять только из пробелов.
Если значения полей активного листа могут содержать пробелы в конце или в начале, поиск по ним рекомендуется осуществлять с помощью функции LIKE '%значение поля%'.
- Вы можете использовать в запросе служебные поля _key (поле с ключами записей активного листа) и _count (сколько раз эта запись была добавлена в активный лист), а также пользовательские поля.
- Псевдонимы metric и value в SQL-запросах недоступны для изменения для всех типов виджета с аналитикой по активным листам, кроме таблиц.
- Если в SQL-запросе используется функция преобразования даты и времени (например, fromUnixTimestamp64Milli) и при этом обрабатываемое поле не содержит даты и времени, в виджете будет отображаться ошибка. Чтобы избежать этого, используйте функции, которые могут обрабатывать нулевое значение. Пример: SELECT _key, fromUnixTimestamp64Milli(toInt64OrNull(DateTime)) as Date FROM `records` LIMIT 250.
- Если задать большие значения для функции LIMIT, это может привести к ошибкам в работе браузера.
- Если в качестве типа графика вы выбрали Счетчик, необходимо для значений функции SELECT указывать способ обработки данных: count, max, min, avg, sum.
- Вы можете получать в виджете названия тенантов, а не их идентификаторы.
Особенности использования псевдонимов в SQL-функциях: и SELECT допустимо использовать двойные и косые кавычки: ", `.
Если в качестве типа графика вы выбрали Счетчик, псевдонимы могут содержать латинские и кириллические символы, а также пробелы. При использовании пробелов или кириллицы псевдоним необходимо выделять кавычками: "Псевдоним с пробелом", `Другой псевдоним`.
При отображении данных за предыдущий период сортировка по параметру count(ID) может работать некорректно. Рекомендуется использовать сортировку по параметру metric. Например, SELECT count(ID) AS "metric", Name AS "value" FROM `events` GROUP BY Name ORDER BY metric ASC LIMIT 250.
Примеры запросов для получения аналитики по активным листам:
SELECT * FROM `records` WHERE "Источник событий" = 'Екатеринбург' LIMIT 250
Запрос, который возвращает ключ активного листа с названием поля "Источник событий" и значением этого поля "Екатеринбург".
SELECT count(_key) AS metric, Status AS value FROM `records` GROUP BY value ORDER BY metric DESC LIMIT 250
Запрос для круговой диаграммы, который возвращает количество ключей активного листа (агрегация count по полю _key) и все варианты значений пользовательского поля Status. В виджете отображается круговая диаграмма с общим количеством записей активного листа, пропорционально разделенным на количество вариантов значений поля Status.
SELECT Name, Status, _count AS Number FROM `records` WHERE Description ILIKE '%ftp%' ORDER BY Name DESC LIMIT 250
Запрос для таблицы, которая возвращает значения пользовательских полей Name и Status, а также служебного поля _count у тех записей активного листа, в которых значения пользовательского поля Description соответствует запросу ILIKE '%ftp%'. В виджете отображается таблица со столбцами Status, Name и Number.
Вкладка :
Закладка отображается, если на закладке в поле График вы выбрали значение Столбчатая диаграмма.
- Минимальное значение Y и Максимальное значение Y – масштаб оси Y.
- Минимальное значение X и Максимальное значение X – масштаб оси X.
На осях графиков могут отображаться отрицательные значения. Это связано с масштабированием графиков на виджете и может быть исправлено выставлением нуля в качестве минимальных значений графиков вместо Авто.
Вкладка :
- Название – название виджета.
- Описание – описание виджета.
- Цвет – раскрывающийся список, в котором вы можете выбрать цвет отображения информации:
- по умолчанию – цвет шрифта, который используется в вашем браузере по умолчанию;
- зеленый;
- красный;
- синий;
- желтый.
- Горизонтальный – использование горизонтальной гистограммы вместо вертикальной.
При включении этого параметра вся имеющаяся информация будет отражена в заданном размере виджета. Если данных много, Вы можете увеличить размер виджета для их оптимального отображения.
- Итоговые значения – суммы значений.
- Легенда – легенда для аналитики.
По умолчанию переключатель включен.
- Пустые значения в легенде – отображение параметров с нулевым значением в легенде для аналитики.
По умолчанию переключатель выключен.
Другие виджеты
В этом разделе описываются параметры всех виджетов, кроме виджетов События и Активные листы.
Набор параметров, доступных для виджета, зависит от типа графика, который отображается на виджете. В KUMA доступны следующие типы графиков:
- Круговая диаграмма (
).
- Счетчик (
).
- Таблица (
).
- Столбчатая диаграмма (
).
- Календарная диаграмма (
).
- Линейная диаграмма.
Параметры для круговых диаграмм
- Название – название виджета.
- Описание – описание виджета.
- Тенант – тенант, по которому отображаются данные на виджете.
Вы можете выбрать несколько тенантов.
По умолчанию данные отображаются по тенантам, которые были выбраны в параметрах макета.
- Период – период, за который отображаются данные на виджете. Доступны следующие периоды:
- Как на макете – отображаются данные за период, выбранный для макета.
Это значение используется по умолчанию.
- 1 час – отображаются данные за предыдущий час.
- 1 день – отображаются данные за предыдущий день.
- 7 дней – отображаются данные за предыдущие 7 дней.
- 30 дней – отображаются данные за предыдущие 30 дней.
- В течение периода – отображаются данные за выбранный период времени.
При выборе этого варианта в открывшемся календаре выберите дату начала и окончания периода и нажмите Применить фильтр. Формат даты и времени зависит от настроек вашей операционной системы. При необходимости вы также можете изменить значения даты вручную.
Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период День1, 00:00:00 – День 2, 00:00:00, а не День 1, 00:00:00 – День 1, 23:59:59.
- Как на макете – отображаются данные за период, выбранный для макета.
- Итоговые значения – суммы значений.
- Легенда – легенда для аналитики.
По умолчанию переключатель включен.
- Пустые значения в легенде – отображение параметров с нулевым значением в легенде для аналитики.
По умолчанию переключатель выключен.
- Десятичные знаки – поле для ввода количества десятичных знаков, до которых отображаемое значение должно быть округлено.
Параметры для счетчиков
- Название – название виджета.
- Описание – описание виджета.
- Тенант – тенант, по которому отображаются данные на виджете.
Вы можете выбрать несколько тенантов.
По умолчанию данные отображаются по тенантам, которые были выбраны в параметрах макета.
- Период – период, за который отображаются данные на виджете. Доступны следующие периоды:
- Как на макете – отображаются данные за период, выбранный для макета.
Это значение используется по умолчанию.
- 1 час – отображаются данные за предыдущий час.
- 1 день – отображаются данные за предыдущий день.
- 7 дней – отображаются данные за предыдущие 7 дней.
- 30 дней – отображаются данные за предыдущие 30 дней.
- В течение периода – отображаются данные за выбранный период времени.
При выборе этого варианта в открывшемся календаре выберите дату начала и окончания периода и нажмите Применить фильтр. Формат даты и времени зависит от настроек вашей операционной системы. При необходимости вы также можете изменить значения даты вручную.
Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период День1, 00:00:00 – День 2, 00:00:00, а не День 1, 00:00:00 – День 1, 23:59:59.
- Как на макете – отображаются данные за период, выбранный для макета.
Параметры для таблиц
- Название – название виджета.
- Описание – описание виджета.
- Тенант – тенант, по которому отображаются данные на виджете.
Вы можете выбрать несколько тенантов.
По умолчанию данные отображаются по тенантам, которые были выбраны в параметрах макета.
- Период – период, за который отображаются данные на виджете. Доступны следующие периоды:
- Как на макете – отображаются данные за период, выбранный для макета.
Это значение используется по умолчанию.
- 1 час – отображаются данные за предыдущий час.
- 1 день – отображаются данные за предыдущий день.
- 7 дней – отображаются данные за предыдущие 7 дней.
- 30 дней – отображаются данные за предыдущие 30 дней.
- В течение периода – отображаются данные за выбранный период времени.
При выборе этого варианта в открывшемся календаре выберите дату начала и окончания периода и нажмите Применить фильтр. Формат даты и времени зависит от настроек вашей операционной системы. При необходимости вы также можете изменить значения даты вручную.
Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период День1, 00:00:00 – День 2, 00:00:00, а не День 1, 00:00:00 – День 1, 23:59:59.
- Как на макете – отображаются данные за период, выбранный для макета.
- Показывать данные за предыдущий период – включение отображения данных сразу за два периода: за текущий и за предыдущий.
- Цвет – раскрывающийся список, в котором вы можете выбрать цвет отображения информации:
- по умолчанию – цвет шрифта, который используется в вашем браузере по умолчанию;
- зеленый;
- красный;
- синий;
- желтый.
- Десятичные знаки – поле для ввода количества десятичных знаков, до которых отображаемое значение должно быть округлено.
Параметры для столбчатых и календарных диаграмм
Вкладка :
- Минимальное значение Y и Максимальное значение Y – масштаб оси Y.
- Минимальное значение X и Максимальное значение X – масштаб оси X.
На осях графиков могут отображаться отрицательные значения. Это связано с масштабированием графиков на виджете и может быть исправлено выставлением нуля в качестве минимальных значений графиков вместо Авто.
- Десятичные знаки – поле для ввода количества десятичных знаков, до которых отображаемое значение должно быть округлено.
Вкладка :
- Название – название виджета.
- Описание – описание виджета.
- Тенант – тенант, по которому отображаются данные на виджете.
Вы можете выбрать несколько тенантов.
По умолчанию данные отображаются по тенантам, которые были выбраны в параметрах макета.
- Период – период, за который отображаются данные на виджете. Доступны следующие периоды:
- Как на макете – отображаются данные за период, выбранный для макета.
Это значение используется по умолчанию.
- 1 час – отображаются данные за предыдущий час.
- 1 день – отображаются данные за предыдущий день.
- 7 дней – отображаются данные за предыдущие 7 дней.
- 30 дней – отображаются данные за предыдущие 30 дней.
- В течение периода – отображаются данные за выбранный период времени.
При выборе этого варианта в открывшемся календаре выберите дату начала и окончания периода и нажмите Применить фильтр. Формат даты и времени зависит от настроек вашей операционной системы. При необходимости вы также можете изменить значения даты вручную.
Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период День1, 00:00:00 – День 2, 00:00:00, а не День 1, 00:00:00 – День 1, 23:59:59.
- Как на макете – отображаются данные за период, выбранный для макета.
- Показывать данные за предыдущий период – включение отображения данных сразу за два периода: за текущий и за предыдущий.
- Цвет – раскрывающийся список, в котором вы можете выбрать цвет отображения информации:
- по умолчанию – цвет шрифта, который используется в вашем браузере по умолчанию;
- зеленый;
- красный;
- синий;
- желтый.
- Горизонтальный – использование горизонтальной гистограммы вместо вертикальной.
При включении этого параметра вся имеющаяся информация будет отражена в заданном размере виджета. Если данных много, вы можете увеличить размер виджета для их оптимального отображения.
- Итоговые значения – суммы значений.
- Легенда – легенда для аналитики.
По умолчанию переключатель включен.
- Пустые значения в легенде – отображение параметров с нулевым значением в легенде для аналитики.
По умолчанию переключатель выключен.
- Длительность отрезков периода (доступно для графика типа Календарная диаграмма) – длительность отрезков, на которые требуется делить период.
Отображение названий тенантов в виджетах типа "Активный лист"
Если вы хотите, чтобы в виджетах типа "Активные листы" отображались названия тенантов, а не их идентификаторы, настройте в корреляционных правилах коррелятора функцию наполнения активного листа сведениями об использующем его тенанте.
Процесс настройки состоит из следующих этапов:
- Экспорт списка тенантов.
- Создание словаря типа Таблица.
- Импорт списка тенантов, полученного на шаге 1, в словарь, созданный на шаге 2 этой инструкции.
- Добавление в корреляционное правило локальной переменной с функцией dict для распознания имени тенанта по идентификатору.
Пример:
- Переменная:
TenantName
. - Значение:
dict('<Название ранее созданного словаря с тенантами>', TenantID)
.
- Переменная:
- Добавление в корреляционное правило действия Установить, с помощью которого значение ранее созданной переменной будет записываться в активный лист в формате <ключ> – <значение>. В качестве ключа следует задать поле активного листа (например,
Тенант
), а в поле значения указать переменную (например,$TenantName
).
В результате срабатывания этого правила в активный лист будет помещаться название тенанта, опознанного функцией dict по идентификатору в словаре тенантов. При создании виджетов по активным листам в виджете вместо идентификатора тенанта будет отображаться название тенанта.
В началоРабота с алертами
Алерты создаются при получении последовательности событий, запускающей правило корреляции. Подробнее об алертах вы можете посмотреть в этом разделе.
В разделе Алерты веб-интерфейса KUMA можно просматривать и обрабатывать алерты, зарегистрированные программой. Алерты можно фильтровать. По нажатию на название алерта открывается окно со сведениями о нем.
Формат даты алерта зависит от языка локализации, выбранного в настройках программы. Возможные варианты формата даты:
- Английская локализация: ГГГГ-ММ-ДД.
- Русская локализация: ДД.ММ.ГГГГ.
Жизненный цикл алертов
Ниже представлен жизненный цикл алерта:
- KUMA создает алерт при срабатывании правила корреляции. Алерт именуется по породившему его правилу корреляции. Алерту присваивается статус Новый.
Алерты в статусе Новый продолжают обновляться данными при срабатывании правил корреляции. Если статус алерта меняется на любой другой, алерт больше не обновляется новыми событиями и, если правило корреляции срабатывает снова, создается новый алерт.
- Сотрудник службы безопасности назначает оператора для расследования алерта. Статус алерта меняется на Назначен.
- Оператор выполняет одно из следующих действий:
- Закрывает алерт как ложно положительный (статус алерта меняется на Закрыт).
- Реагирует на угрозу и закрывает алерт (статус алерта меняется на Закрыт).
- Создает на основе алерта инцидент (статус алерта меняется на В инцидент).
Переполнение алертов
Каждый алерт и привязанные к нему события не могут превышать размер 16 МБ. Когда этот предел достигнут:
- Новые события не смогут быть привязаны к алерту.
- В столбце Обнаружен у алерта отображается тег Переполнен. Такой же тег отображается в разделе Информация об алерте окна сведений об алерте.
Алерты, у которых есть предупреждения о переполнении, следует обрабатывать как можно скорее, поскольку новые события не добавляются к переполненным алертам. Вы можете отфильтровать все события, которые могли быть связаны с алертом после переполнения, по ссылке Смотреть все возможные связанные события.
Разделение алертов
С помощью правил сегментации поток однотипных корреляционных событий можно разделять, создавая более одного алерта.
Настройка таблицы алертов
В основной части раздела Алерты отображается таблица с информацией о зарегистрированных алертах.
В таблице алертов отображаются следующие столбцы:
- Уровень важности (
) – степень значимости потенциальной угрозы безопасности: критическая
, высокая
, средняя
, низкая
.
- Название – имя алерта.
Если рядом с названием алерта отображается тег Переполнен, это означает, что размер алерта достиг или приближается к пределу и должен быть обработан как можно скорее.
- Статус – текущее состояние алерта:
- Новый – новый, еще не обработанный алерт.
- Назначен – алерт обработан и передан сотруднику службы безопасности для расследования или реагирования.
- Закрыт – алерт закрыт. Алерт был ложный или угроза безопасности устранена.
- Эскалирован – на основе этого алерта был создан инцидент.
- Назначен – имя сотрудника службы безопасности, которому алерт передан для расследования или реагирования.
- Инцидент – название инцидента, к которому привязан алерт.
- Первое появление – дата и время создания первого корреляционного события в последовательности событий, приведшего к созданию алерта.
- Последнее появление – дата и время создания последнего корреляционного события в последовательности событий, приведшего к созданию или обновлению алерта.
- Категории – категории активов с наибольшим уровнем важности, относящихся к алерту. Отображается не более трех категорий.
- Тенант – название тенанта, которому принадлежит алерт.
- КИИ – указание на то, относятся ли к алерту активы, являющиеся объектами КИИ. Столбец скрыт от пользователей, не имеющих прав доступа к объектам КИИ.
По нажатию на заголовки столбцов вы можете просмотреть инструменты для фильтрации алертов. При фильтрации алертов по какому-либо параметру соответствующий заголовок таблицы алертов подсвечивается желтым цветом.
По кнопке вы можете настроить отображаемые столбцы таблицы алертов.
В поле Поиск можно ввести регулярное выражение для поиска алертов по связанным с ними активам, пользователям, тенантам или корреляционным правилам. Параметры, по которым производится поиск:
- Активы: название, FQDN, IP-адрес.
- Учетные записи Active Directory: атрибуты displayName, SAMAccountName, UserPrincipalName.
- Корреляционные правила: название.
- Пользователи KUMA, которым назначены алерты: имя, логин, адрес электронной почты.
- Тенанты: название.
Фильтрация алертов
В KUMA в разделе Алерты можно делать выборки алертов с помощью инструментов фильтрации и сортировки.
Параметры фильтра можно сохранить. Существующие фильтры можно удалить.
В началоСохранение и выбор фильтра алертов
В KUMA можно сохранять изменения параметров таблицы алертов в виде фильтров. Фильтры сохраняются на сервере Ядра KUMA и доступны всем пользователям KUMA того тенанта, для которого они были созданы.
Чтобы сохранить текущие параметры фильтра:
- В разделе KUMA Алерты откройте раскрывающийся список Фильтры.
- Выберите Сохранить текущий фильтр.
Появится поле для ввода названия нового фильтра и выбора тенанта, которому он будет принадлежать.
- Введите название фильтра. Название должно быть уникальным для фильтров алертов, фильтров инцидентов и фильтров событий.
- В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать фильтр, и нажмите Сохранить.
Фильтр сохранен.
Чтобы выбрать ранее сохраненный фильтр:
- В разделе KUMA Алерты откройте раскрывающийся список Фильтры.
- Выберите нужный фильтр.
Чтобы выбрать фильтр, который будет использоваться по умолчанию, поставьте в раскрывающемся списке Фильтры звездочку левее названия требуемого фильтра.
Фильтр выбран.
Чтобы сбросить текущие настройки фильтра,
откройте раскрывающийся список Фильтры и выберите Очистить фильтры.
В началоУдаление фильтра алертов
Чтобы удалить ранее сохраненные фильтры:
- В разделе KUMA Алерты откройте раскрывающийся список Фильтры.
- Нажмите значок
на фильтре, который требуется удалить.
- Нажмите ОК.
Фильтр удален для всех пользователей KUMA.
В началоПросмотр информации об алерте
Чтобы просмотреть информацию об алерте:
- В окне веб-интерфейса программы выберите раздел Алерты.
Отобразится таблица алертов.
- Нажмите на название алерта, информацию о котором вы хотите просмотреть.
Откроется окно с информацией об алерте.
В верхней части окна с информацией об алерте расположена панель инструментов, а также указаны уровень важности алерта и имя пользователя, которому назначен этот алерт. В этом окне можно обработать алерт: изменить его уровень важности, назначить его пользователю, закрыть, создать на его основе инцидент.
Раздел Информация об алерте
Этот раздел позволяет просмотреть основную информацию об алерте. Он содержит следующие данные:
- Уровень важности правила корреляции – уровень важности правила корреляции, в результате срабатывания которого создан алерт.
- Наивысшая важность категории активов – самый высокий уровень важности категории активов из тех, которые принадлежат связанным с этим алертом активам. Если с алертом связано несколько активов, отображается наибольшее значение.
- Привязан к инциденту – если алерт привязан к инциденту,то отображаются название и статус алерта. Если алерт не привязан к инциденту, поле не заполнено.
- Первое появление – дата и время создания первого корреляционного события в последовательности событий, приведшего к созданию алерта.
- Последнее появление – дата и время создания последнего корреляционного события в последовательности событий, приведшего к созданию или обновлению алерта.
- Идентификатор алерта – уникальный идентификатор алерта в KUMA.
- Тенант – название тенанта, которому принадлежит алерт.
- Правило корреляции – название правила корреляции, в результате срабатывания которого создан алерт. Название правила представлено в виде ссылки, по которой можно перейти к настройкам этого правила корреляции.
- Переполнен – тег, означающий, что размер алерта достиг или приближается к пределу объема в 16 МБ и алерт необходимо обработать. Новые события не добавляются к переполненным алертам, но по ссылке Смотреть все возможные связанные события можно отфильтровать все события, которые могли быть связаны с алертом при отсутствии переполнения.
Быстрое переполнение алерта может означать, что неверно настроено соответствующее корреляционное правило, и это приводит к частым срабатываниям. Переполненные алерты следует обрабатывать как можно скорее, чтобы при необходимости откорректировать корреляционное правило.
Раздел Связанные события
Этот раздел содержит таблицу событий, относящихся к алерту. Если нажать на значок рядом с правилом корреляции, отобразятся базовые события из этого правила корреляции. События можно сортировать по уровню важности и времени.
При выборе события в таблице открывается область деталей, содержащая информацию о выбранном событии. В области деталей также отображает кнопка Подробные сведения, при нажатии на которую открывается окно, содержащее информацию о корреляционном событии.
Ссылки Найти в событиях под корреляционными событиями и кнопка Найти в событиях справа от заголовка раздела используются для перехода к расследованию алерта.
С помощью кнопки Скачать события вы можете скачать информацию о связанных событиях в виде файла в формате CSV (в кодировке UTF-8). В файле доступны столбцы, заполненные хотя бы в одном связанном событии.
Некоторые редакторы CSV-файлов воспринимают значение разделителя (например, \n) в экспортируемом из KUMA CSV-файла как перенос строки, а не как разделитель. Может быть нарушено разделение файла на строки. Если вы столкнулись с подобным, то может потребоваться дополнительное редактирование CSV-файла, полученного из KUMA.
В таблице событий, в области деталей событий, в окне алертов, а также в виджетах в качестве значений полей SourceAssetID, DestinationAssetID, DeviceAssetID, SourceAccountID, DestinationAccountID и ServiceID вместо идентификаторов отображаются названия активов, учетных записей или сервисов. При экспорте событий в файл идентификаторы сохраняются, однако в файл добавляются столбцы с названиями. Идентификаторы также отображаются при наведении указателя мыши на названия активов, учетных записей или сервисов.
Поиск по полям с идентификаторами возможен только с помощью идентификаторов.
Раздел Связанные активы
Этот раздел содержит таблицу активов, относящихся к алерту. Информация об активах поступает из событий, связанных с алертом. С помощью поля Поиск по IP или FQDN можно искать нужные активы. Активы можно сортировать по столбцам Количество и Актив.
В этом разделе также отображаются активы, связанные с алертом. При нажатии на название актива открывается окно Информация об активе.
С помощью кнопки Скачать активы вы можете скачать информацию о связанных активах в виде файла в формате CSV (в кодировке UTF-8). В файле доступны столбцы: Количество, Название, IP-адрес, Полное доменное имя, Категории.
Раздел Связанные пользователи
Этот раздел содержит таблицу пользователей, относящихся к алерту. Информация о пользователях поступает из событий, связанных с алертом. С помощью поля Поиск пользователей можно искать нужных пользователей. Пользователей можно сортировать по столбцам Количество, Пользователь, User principal name (Основное имя пользователя) и Адрес электронной почты.
С помощью кнопки Скачать пользователей вы можете скачать информацию о связанных пользователях в виде файла в формате CSV (в кодировке UTF-8). В файле доступны столбцы: Количество, Пользователь, Имя участника-пользователя (UPN), Адрес электронной почты, Домен, Тенант.
Раздел Журнал изменений
Этот раздел содержит записи об изменениях, которые пользователи внесли в алерт. Изменения регистрируются автоматически, при этом есть возможность вручную добавлять комментарии. Комментарии можно сортировать по столбцу Время.
При необходимости в поле Комментарий вы можете внести комментарий к алерту и нажать Добавить, чтобы сохранить его.
Изменение название алертов
Чтобы изменить название алерта:
- В окне веб-интерфейса KUMA выберите раздел Алерты.
Отобразится таблица алертов.
- Нажмите на название алерта, информацию о котором вы хотите просмотреть.
Откроется окно с информацией об алерте.
- В верхней части окна нажмите на значок
и в открывшемся поле введите новое название алерта. Подтвердите название, нажав ENTER или щелкнув вне поля ввода.
Название алерта изменено.
Обработка алертов
Вы можете изменить уровень важности алерта, назначить алерт пользователю, закрыть алерт или создать на основе алерта инцидент.
Чтобы обработать алерт:
- Выберите необходимые алерты одним из следующих способов:
- В разделе Алерты веб-интерфейса KUMA нажмите на алерт, сведения о котором вы хотите просмотреть.
Откроется окно алерта, в верхней его части расположена панель инструментов.
- В разделе Алерты веб-интерфейса KUMA установите флажок рядом с требуемым алертом. Можно выбрать более одного алерта.
Алерты со статусом Закрыт не могут быть выбраны для обработки.
В нижней части окна отобразится панель инструментов.
- В разделе Алерты веб-интерфейса KUMA нажмите на алерт, сведения о котором вы хотите просмотреть.
- Измените уровень важности алерта с помощью раскрывающегося списка Уровень важности:
- Низкий.
- Средний.
- Высокий.
- Критический.
Уровень важности алерта принимает выбранное значение.
- Назначьте алерт пользователю с помощью раскрывающегося списка Назначить.
Вы можете назначить алерт себе, выбрав Мне.
Статус алерта изменится на Назначен, а в раскрывающемся списке Назначить отобразится имя выбранного пользователя.
- В разделе Связанные пользователи выберите пользователя и настройте параметры реагирования через Active Directory.
- После выбора связанного пользователя в открывшемся окне Информация об учетной записи нажмите Реагирование через Active Directory.
- В раскрывающемся списке Команда Active Directory выберите одно из следующих значений:
- Добавить учетную запись в группу
- Удалить учетную запись из группы
- Сбросить пароль учетной записи
- Блокировать учетную запись
- Нажмите Применить.
- При необходимости создайте на основе алерта инцидент:
- Нажмите Создать инцидент.
Откроется окно создания инцидента. В качестве названия инцидента используется название алерта.
- Измените нужны параметры инцидента и нажмите Сохранить.
Инцидент создан, статус алерта изменен на Эскалирован. Алерт можно отвязать от инцидента, выбрав его и нажав Отвязать.
- Нажмите Создать инцидент.
- Закройте алерт:
- Нажмите Закрыть алерт.
Откроется окно подтверждения.
- Укажите причину закрытия алерта:
- Отработан. Это означает, что были приняты необходимые меры по устранению угрозы безопасности.
- Неверные данные. Это означает, что алерт был ложным, а полученные события не указывают на угрозу безопасности.
- Неверное правило корреляции. Это означает, что алерт был ложным, а полученные события не указывают на угрозу безопасности. Возможно, требуется коррекция правила корреляции.
- Нажмите ОК.
Статус алерта изменен на Закрыт. Алерты с таким статусом не обновляются новыми корреляционными событиями и отображаются в таблице алертов, только если в раскрывающемся списке Статус установлен флажок Закрыт. Изменить статус закрытого алерта или назначить его другому пользователю невозможно.
- Нажмите Закрыть алерт.
Расследование алерта
Расследование алерта используется, когда вам нужно получить дополнительную информацию об угрозе, из-за которой был создан алерт: реальна ли угроза, откуда она исходит, на какие элементы сетевой среды она влияет, как следует бороться с угрозой. Анализ событий, связанных с корреляционными событиями, которые в свою очередь породили алерт, может помочь вам определить курс действий.
В KUMA режим расследования алерта включается, когда вы нажимаете ссылку Найти в событиях в окне алерта или в окне корреляционного события. В режиме расследования алерта отображается таблица событий с фильтрами, автоматически настроенными на поиск событий из алерта или корреляционного события. Фильтры также соответствуют времени продолжительности алерта или времени регистрации корреляционного события. Вы можете изменить эти фильтры, чтобы найти другие события и узнать больше о процессах, связанных с угрозой.
В режиме расследования алерта становится доступным дополнительный раскрывающийся список :
- Все события – просмотр всех событий.
- События алерта (выбрано по умолчанию) – просмотр только событий, связанных с алертом.
При фильтрации событий, связанным с алертом, действуют ограничения на сложность поисковых SQL-запросов.
Вы можете вручную привязать к алертам событие любого типа, кроме корреляционного. К алерту можно привязать только не привязанные к нему события.
В режиме расследования алерта можно создавать и сохранять конфигурации фильтров событий. При использовании этого фильтра в обычном режиме просмотра событий будут отображены все события, соответствующие критериям фильтра, независимо от того, привязаны ли они к алерту, выбранному для расследования алерта.
Чтобы привязать событие к алерту:
- В разделе Алерты веб-интерфейса KUMA нажмите алерт, к которому вы хотите привязать событие.
Откроется окно алерта.
- В разделе Связанные события нажмите на кнопку Найти в событиях.
Откроется таблица событий с включенными фильтрами даты и времени, соответствующим дате и времени регистрации привязанных к алерту событий. В столбцах отображаются параметры, используемые правилом корреляции для создания алерта. В таблице событий также отображается столбец Привязка к алерту, в котором отмечаются события, привязанные к алерту.
- В раскрывающемся списке
выберите значение Все события.
- При необходимости измените фильтры, чтобы найти событие, которое требуется привязать к алерту.
- Выберите нужное событие и нажмите на кнопку Привязать к алерту в нижней части области деталей события.
Событие будет привязано к алерту. Вы можете отвязать это событие от алерта, нажав в области деталей Отвязать от алерта.
Когда событие привязывается или отвязывается от алерта, в окне алерта в разделе Журнал изменений добавляется запись об этом действии. По ссылке в этой записи вы можете открыть область деталей и отвязать или привязать событие к алерту, нажав на соответствующую кнопку.
В началоСрок хранения алертов и инцидентов
По умолчанию алерты и инциденты хранятся в KUMA в течение года, но этот срок можно изменить, исправив параметры запуска программы в файле /usr/lib/systemd/system/kuma-core.service на сервере Ядра KUMA.
Чтобы изменить срок хранения алертов и инцидентов:
- Войдите в ОС сервера, на котором установлено Ядро KUMA.
- В файле /usr/lib/systemd/system/kuma-core.service измените следующую строку, подставив нужное количество дней:
ExecStart=/opt/kaspersky/kuma/kuma core --alerts.retention <количество дней, в течение которых требуется хранить алерты и инциденты> --external :7220 --internal :7210 --mongo mongodb://localhost:27017
- Перезапустите KUMA, выполнив последовательно следующие команды:
systemctl daemon-reload
systemctl restart kuma-core
Срок хранения алертов и инцидентов изменен.
В началоУведомления об алертах
При создании и назначении алертов по электронной почте рассылаются стандартные уведомления KUMA. Вы можете настроить рассылку уведомлений о создании алерта на основе пользовательского шаблона электронной почты.
Чтобы настроить рассылку уведомлений о создании алерта на основе пользовательского шаблона:
- Откройте раздел Параметры → Алерты → Правила уведомлений веб-интерфейса KUMA.
- Выберите тенант, для которого вы хотите создать правило уведомления:
- Если у тенанта уже есть правила уведомлений, выберите его в таблице.
- Если у тенанта нет правил уведомлений, нажмите Добавить тенант и в раскрывающемся списке Тенант выберите нужный тенант.
- В блоке параметров Правила уведомлений нажмите Добавить и укажите параметры правила уведомлений:
- Название (обязательно) – в этом поле укажите название правила уведомления.
- Адреса получателей (обязательно) – в этом блоке параметров с помощью кнопки Адрес электронной почты можно добавить адреса электронной почты, на которые необходимо отправлять уведомления о создании алертов. Адреса добавляются по одному.
Кириллические домены не поддерживаются. Например, уведомление по адресу
login@домен.рф
отправлено не будет. - Правила корреляции (обязательно) – в этом блоке параметров необходимо выбрать одно или несколько правил корреляции, при срабатывании которых будут отправляться уведомления.
В окне в виде древовидной структуры отображаются правила корреляции из общего и выбранного пользователем тенанта. Для выбора правила необходимо установить флажок рядом с ним. Можно установить флажок рядом с папкой: в таком случае будут выбраны все правила корреляции в этой папке и ее подпапках.
- Шаблон (обязательно) – в этом блоке параметров необходимо выбрать шаблон электронной почты, по которому будут создаваться рассылаемые уведомления. Для выбора шаблона нажмите на значок
, в открывшемся окне выберите требуемый шаблон и нажмите Сохранить.
Шаблон можно создать, нажав на значок плюса, или отредактировать выбранный шаблон, нажав на значок карандаша.
- Выключено – установив этот флажок вы можете выключить правило уведомления.
- Нажмите Сохранить.
Правило уведомления создано. Когда по выбранным правилам корреляции будет создаваться алерт, на указанные адреса электронной почты будут отправляться уведомления, созданные на основе пользовательских шаблонов электронной почты. Стандартные уведомления KUMA о том же событии на указанные адреса отправлены не будут.
Чтобы выключить правила уведомлений для тенанта:
- Откройте раздел Параметры → Алерты → Правила уведомлений веб-интерфейса KUMA и выберите тенант, правила уведомлений которого вы хотите выключить.
- Установите флажок Выключено.
- Нажмите Сохранить.
Правила уведомлений выбранного тенанта выключены.
Для выключенных правил уведомлений не проверяется корректность указанных параметров, при этом включить уведомления для тенанта при наличии некорректных правил невозможно. Если вы при выключенных правилах уведомлений для тенанта создаете или редактируете отдельные правила уведомлений, перед включением правил уведомлений для тенанта рекомендуется: 1) выключить все отдельные правила уведомлений; 2) включить правила уведомлений для тенанта; 3) включить отдельные правила уведомлений по одному.
В началоРабота с инцидентами
В разделе Инциденты веб-интерфейса KUMA можно создавать, просматривать и обрабатывать инциденты. При необходимости вы также можете фильтровать инциденты. При нажатии на название инцидента открывается окно со сведениями о нем.
Инциденты можно экспортировать в НКЦКИ.
Срок хранения инцидентов составляет один год, однако этот параметр можно изменить.
Формат даты инцидента зависит от языка локализации, выбранного в настройках программы. Возможные варианты формата даты:
- Английская локализация: ГГГГ-ММ-ДД.
- Русская локализация: ДД.ММ.ГГГГ.
О таблице инцидентов
В основной части раздела Инциденты отображается таблица с информацией о зарегистрированных инцидентах. При необходимости вы можете изменить набор столбцов и порядок их отображения в таблице.
Как настроить таблицу инцидентов
Доступные столбцы таблицы инцидентов:
- Название – название инцидента.
- Длительность инцидента – время, на протяжении которого происходил инцидент (время между первым и последним событием, относящимся к инциденту).
- Назначен – имя сотрудника службы безопасности, которому инцидент передан для расследования или реагирования.
- Создан – дата и время создания инцидента. С помощью этого столбца инциденты можно фильтровать по времени их создания.
- Доступны преднастроенные периоды: Сегодня, Вчера, На этой неделе, На прошлой неделе.
- При необходимости можно задать произвольный период с помощью календаря, который открывается при выборе пунктов До даты, После даты, В течение периода.
- Тенант – название тенанта, которому принадлежит инцидент.
- Статус – текущее состояние инцидента:
- Открыт – новый, еще не обработанный инцидент.
- Назначен – инцидент обработан и передан сотруднику службы безопасности для расследования или реагирования.
- Закрыт – инцидент закрыт, угроза безопасности устранена.
- Количество алертов – количество алертов, входящих в инцидент. Учитываются только алерты тех тенантов, к которым у вас есть доступ.
- Уровень важности – степень значимости потенциальной угрозы безопасности: Критический
, Высокий
, Средний
, Низкий
.
- Категории затронутых активов – категории активов с наибольшим уровнем важности, относящихся к алерту. Отображается не более трех категорий.
- Последнее обновление – дата и время последнего изменения, сделанного в инциденте.
- Первое событие и Последнее событие – дата и время первого и последнего события в инциденте.
- Категория инцидента и Тип инцидента – категория и тип угрозы, присвоенные инциденту.
- Экспорт в НКЦКИ – статус экспорта данных об инциденте в НКЦКИ:
- Не экспортировался – данные не передавались в НКЦКИ.
- Ошибка экспорта – попытка передать данные в НКЦКИ завершилась ошибкой, данные не переданы.
- Экспортирован – данные об инциденте успешно переданы в НКЦКИ.
- Ветвь – данные о том, в каком узле был создан инцидент. По умолчанию отображаются инциденты вашего узла. Этот столбец отображается только при включенном режиме иерархии.
- КИИ – указание на то, относятся ли к инциденту активы, являющиеся объектами КИИ. Столбец скрыт от пользователей, не имеющих прав доступа к объектам КИИ.
В поле Поиск можно ввести регулярное выражение для поиска инцидентов по связанным с ними активами, пользователям, тенантам или корреляционным правилам. Параметры, по которым производится поиск:
- Активы: название, FQDN, IP-адрес.
- Учетные записи Active Directory: атрибуты displayName, SAMAccountName, UserPrincipalName.
- Корреляционные правила: название.
- Пользователи KUMA, которым назначены алерты: имя, логин, адрес электронной почты.
- Тенанты: название.
При фильтрации инцидентов по какому-либо параметру соответствующий столбец в таблице инцидентов подсвечивается желтым цветом.
В началоСохранение и выбор конфигураций фильтра инцидентов
В KUMA можно сохранять изменения параметров таблицы инцидентов в виде фильтров. Конфигурации фильтров сохраняются на сервере Ядра KUMA и доступны всем пользователям KUMA того тенанта, для которого они были созданы.
Чтобы сохранить текущие параметры конфигурации фильтра:
- В разделе KUMA Инциденты откройте раскрывающийся список Выбрать фильтр.
- Выберите Сохранить текущий фильтр.
Откроется окно для ввода названия нового фильтра и выбора тенанта, которому он будет принадлежать.
- Введите название конфигурации фильтра. Название должно быть уникальным для фильтров алертов, фильтров инцидентов и фильтров событий.
- В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать фильтр, и нажмите Сохранить.
Конфигурация фильтра сохранена.
Чтобы выбрать ранее сохраненную конфигурацию фильтра:
- В разделе KUMA Инциденты откройте раскрывающийся список Выбрать фильтр.
- Выберите нужную конфигурацию.
Конфигурация фильтра активна.
Вы можете выбрать фильтр, который будет использоваться по умолчанию, поставив в раскрывающемся списке Фильтры звездочку левее названия требуемой конфигурации фильтра.
Чтобы сбросить текущие настройки фильтра,
откройте раскрывающийся список Фильтры и выберите Очистить фильтр.
В началоУдаление конфигураций фильтра инцидентов
Чтобы удалить ранее сохраненную конфигурацию фильтра:
- В разделе KUMA Инциденты откройте раскрывающийся список Фильтры.
- Нажмите значок
рядом с фильтром, который требуется удалить.
- Нажмите ОК.
Конфигурация фильтра удалена для всех пользователей KUMA.
В началоПросмотр информации об инциденте
Чтобы просмотреть информацию об инциденте:
- В окне веб-интерфейса программы выберите раздел Инциденты.
- Выберите инцидент, информацию о котором вы хотите просмотреть.
Откроется окно с информацией об инциденте.
Некоторые параметры инцидентов доступны для редактирования.
В верхней части окна информации об инциденте расположена панель инструментов и указано имя пользователя, которому назначен инцидент, а также указаны разделы окна в виде закладок, при нажатии на которые можно перемещаться к нужному разделу. В этом окне вы можете обработать инцидент: назначить его пользователю, объединить его с другим инцидентом или закрыть.
Раздел Описание содержит следующие данные:
- Создан – дата и время создания инцидента.
- Название – название инцидента.
Название инцидента можно изменить, введя в поле новое название и нажав Сохранить. Название должно содержать от 1 до 128 символов в кодировке Unicode.
- Тенант – название тенанта, которому принадлежит инцидент.
Тенанта можно изменить, выбрав необходимый тенант в раскрывающемся списке и нажав Сохранить.
- Статус – текущее состояние инцидента:
- Открыт – новый, еще не обработанный инцидент.
- Назначен – инцидент обработан и передан сотруднику службы безопасности для расследования или реагирования.
- Закрыт – инцидент закрыт, угроза безопасности устранена.
- Уровень важности – значимость угрозы, которую представляет инцидент. Возможные значения:
- Критический.
- Высокий.
- Средний.
- Низкий.
Уровень важности можно изменить, выбрав нужное значение в раскрывающемся списке и нажав Сохранить.
- Категории затронутых активов – категории, к которым принадлежат связанные с инцидентом активы.
- Появление первого события и Появление последнего события – дата и время первого и последнего события в инциденте.
- Тип инцидента и Категория инцидента – тип и категория угрозы, присвоенная инциденту. Значения можно изменить, выбрав в раскрывающемся списке нужное и нажав Сохранить.
- Экспорт в НКЦКИ – сведения о том, экспортировался ли этот инцидент в НКЦКИ.
- Описание – описание инцидента.
Описание можно изменить, введя в поле новый текст и нажав Сохранить. Описание должно содержать не более 256 символов в кодировке Unicode.
- Связанные тенанты – тенанты, относящиеся к связанным с инцидентом алертам, активам и пользователям.
- Доступные тенанты – тенанты, алерты которых можно привязывать к инциденту автоматически.
Список доступных тенантов можно изменить, установив в раскрывающемся списке флажки напротив нужных тенантов и нажав Сохранить.
Раздел Связанные алерты содержит таблицу алертов, относящихся к инциденту. При нажатии на название алерта открывается окно с подробными данными об этом алерте.
Разделы Связанные активы и Связанные пользователи содержат таблицы с данными об активах и пользователях, относящихся к инциденту. Эта информация поступает из алертов, связанных с инцидентом.
Таблицы в разделах Связанные алерты, Связанные активы и Связанные пользователи можно дополнить данными, нажав в нужном разделе на кнопку Привязать и выбрав в открывшемся окне объект, который следует привязать к инциденту. При необходимости вы можете отвязать объекты от инцидента. Для этого вам требуется выбрать необходимые объекты, нажать Отвязать в разделе, к которому они относятся, и сохранить изменения. Если объекты добавлены в инцидент автоматически, их нельзя отвязать, пока не отвязан алерт, в котором они упоминаются. Состав полей в таблицах этих разделов можно изменить, нажав в нужном разделе на кнопку . По данным в таблицах этих разделов можно вести поиск с помощью полей Поиск.
Раздел Журнал изменений содержит записи об изменениях, которые вы и пользователи вносили в инцидент. Изменения регистрируются автоматически, при этом есть возможность вручную добавлять комментарии.
В разделе Интеграция с НКЦКИ можно отслеживать статус инцидента в НКЦКИ. Кроме того, в этом разделе можно экспортировать данные об инциденте в НКЦКИ, пересылать в НКЦКИ файлы, а также обмениваться со специалистами НКЦКИ сообщениями.
Если в параметры инцидента на стороне НКЦКИ были внесены изменения, в окне инцидента в KUMA будет отображаться соответствующее уведомление. При этом для параметров, по которым есть расхождения, в окне будут отображаться варианты значений и из KUMA, и из НКЦКИ.
В началоСоздание инцидента
Чтобы создать инцидент:
- Откройте веб-интерфейс KUMA и выберите раздел Инциденты.
- Нажмите Создать инцидент.
Откроется окно создания инцидента.
- Заполните обязательные параметры инцидента:
- В поле Название введите название инцидента. Название должно содержать от 1 до 128 символов в кодировке Unicode.
- В раскрывающемся списке Тенант выберите тенант, которому принадлежит создаваемый инцидент.
- При необходимости укажите другие параметры инцидента:
- В раскрывающемся списке Уровень важности выберите степень угрозы, которую представляет инцидент. Доступные значения: Низкий, Средний, Высокий, Критический.
- В полях Появление первого события и Появление последнего события укажите временной диапазон, в котором были получены события, относящиеся к инциденту.
- В раскрывающихся списках Категория инцидента и Тип инцидента выберите категорию и тип инцидента. Доступные типы инцидента зависят от выбранной категории.
- Добавьте Описание инцидента. Описание должно содержать не более 256 символов в кодировке Unicode.
- В раскрывающемся списке Доступные тенанты выберите тенанты, алерты которых можно будет привязывать к инциденту автоматически.
- В разделе Связанные алерты добавьте алерты, относящиеся к инциденту.
- В разделе Связанные активы добавьте активы, относящиеся к инциденту.
- В разделе Связанные пользователи добавьте пользователей, относящихся к инциденту.
- Добавьте Комментарий к инциденту.
- Нажмите Сохранить.
Инцидент создан.
В началоОбработка инцидентов
Вы можете назначить инцидент пользователю, объединить инциденты или закрыть инцидент.
Чтобы обработать инцидент:
- Выберите необходимые инциденты одним из следующих способов:
- В разделе Инциденты веб-интерфейса KUMA нажмите на инцидент, который нужно обработать.
Откроется окно инцидента, в его верхней части расположена панель инструментов.
- В разделе Инциденты веб-интерфейса KUMA установите флажок рядом с требуемыми инцидентами.
В нижней части окна отобразится панель инструментов.
- В разделе Инциденты веб-интерфейса KUMA нажмите на инцидент, который нужно обработать.
- В раскрывающемся списке Назначить выберите пользователя, которому вы хотите назначить инцидент.
Вы можете назначить инцидент себе, выбрав Мне.
Инциденту будет присвоен статус Назначен, а в раскрывающемся списке Назначить отобразится имя выбранного пользователя.
- В разделе Связанные пользователи выберите пользователя и настройте параметры реагирования через Active Directory.
- После выбора связанного пользователя в открывшемся окне Информация об учетной записи нажмите Реагирование через Active Directory.
- В раскрывающемся списке Команда Active Directory выберите одно из следующих значений:
- Добавить учетную запись в группу
- Удалить учетную запись из группы
- Сбросить пароль учетной записи
- Блокировать учетную запись
- Нажмите Применить.
- При необходимости измените параметры инцидента.
- После расследования закройте инцидент:
- Нажмите Закрыть.
Откроется окно подтверждения.
- Укажите причину закрытия инцидента:
- одобрен. Это означает, что были приняты необходимые меры по устранению угрозы безопасности.
- не одобрен. Это означает, что инцидент был ложным, а полученные события не указывают на угрозу безопасности.
- Нажмите Закрыть.
Инциденту будет присвоен статус Закрыт. Инциденты с таким статусом невозможно редактировать, и они отображаются в таблице инцидентов, только если при фильтрации таблицы в раскрывающемся списке Статус установлен флажок Закрыт. Изменить статус закрытого инцидента или назначить его другому пользователю невозможно, однако его можно объединить с другим инцидентом.
- Нажмите Закрыть.
- При необходимости объедините выбранные инциденты с другим инцидентом:
- Нажмите Объединить и в открывшемся окне выберите инцидент, в который следует поместить все данные из выбранных инцидентов.
- Подтвердите выбор, нажав Объединить.
Инциденты будут объединены.
Инцидент обработан.
В началоИзменение инцидентов
Чтобы изменить параметры инцидента:
- В разделе Инциденты веб-интерфейса KUMA нажмите на инцидент, параметры которого нужно изменить.
Откроется окно инцидента.
- Измените нужные параметры. Для редактирования доступны все параметры инцидента, которые можно задать при его создании.
- Нажмите Сохранить.
Инцидент будет изменен.
В началоАвтоматическая привязка алертов к инцидентам
В KUMA можно настроить автоматическую привязку создаваемых алертов к уже существующим инцидентам, если у алертов и инцидентов есть пересечения по относящимся к ним активам или пользователям. Если настройка включена, то при создании алерта программа выполняет поиск инцидентов за указанный период, к которым относятся активы или пользователи из алерта. Кроме того, программа проверяет, чтобы созданный алерт относился к тенантам, указанным в инцидентах в качестве параметра Доступные тенанты. Если удовлетворяющий условиям инцидент найден, программа связывает созданный алерт и найденный инцидент.
Чтобы настроить автоматическую привязку алертов к инцидентам:
- Откройте раздел веб-интерфейса KUMA Параметры → Инциденты → Автоматическая привязка алертов к инцидентам.
- Установите флажок Включить в блоках параметров Привязка при пересечении по активам и/или Привязка при пересечении по пользователям, в зависимости от того, какие связи необходимо искать между инцидентами и алертами.
- Задайте Срок давности создания инцидента для параметров, по которым необходимо искать связи. Создаваемые алерты будут сравниваться с инцидентами не старше указанного срока.
Автоматическая привязка алертов к инцидентам настроена.
Чтобы выключить автоматическую привязку алертов к инцидентам,
в разделе веб-интерфейса KUMA Параметры → Инциденты → Автоматическая привязка алертов к инцидентам установите флажок Выключено.
В началоКатегории и типы инцидентов
Для удобства работы вы можете присваивать категории и типы. Если инциденту присвоена категория НКЦКИ, его можно экспортировать в НКЦКИ.
Категории и типы инцидентов, которые можно экспортировать в НКЦКИ
Категории инцидентов можно просмотреть или изменить в разделе Параметры → Инциденты → Типы инцидентов, где они отображаются в виде таблицы. При нажатии на заголовки столбцов можно менять параметры сортировки таблицы. Таблица содержит следующие столбцы:
- Категория инцидента – общий признак инцидента или компьютерной атаки. Таблицу можно фильтровать по значениям этого столбца.
- Тип инцидента – класс инцидента или компьютерной атаки.
- Категория для НКЦКИ – соответствие типа инцидента номенклатуре НКЦКИ. Невозможно экспортировать в НКЦКИ инциденты, которым присвоены пользовательские типы и категории. Таблицу можно фильтровать по значениям этого столбца.
- Уязвимость – указывает ли тип инцидента на уязвимость.
- Создан – дата создания типа инцидента.
- Изменен – дата изменения типа инцидента.
Чтобы добавить тип инцидента:
- В разделе веб-интерфейса KUMA Параметры → Инциденты → Типы инцидентов нажмите Добавить.
Откроется окно создания типа инцидента.
- Заполните поля Тип и Категория.
- Если создаваемый тип инцидента соответствует номенклатуре НКЦКИ, установите флажок Категория для НКЦКИ.
- Если тип инцидента указывает на уязвимость, установите флажок Уязвимость.
- Нажмите Сохранить.
Тип инцидента создан.
В началоВзаимодействие с НКЦКИ
В KUMA в рамках взаимодействия с Национальным координационным центром по компьютерным инцидентам (далее "НКЦКИ") можно выполнять следующие действия:
- экспортировать в НКЦКИ инциденты;
- при запросе НКЦКИ дополнять экспортированный инцидент данными;
- отправлять в НКЦКИ файлы;
- обмениваться сообщениями со специалистами НКЦКИ;
- просматривать изменения в параметрах экспортированных инцидентов, сделанных в НКЦКИ.
Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.
Условия взаимодействия с НКЦКИ
Для взаимодействия с НКЦКИ должны выполняться следующие условия:
- лицензия программы включает модуль GosSOPKA;
- настроена интеграция с НКЦКИ;
- в параметрах пользователей, в обязанности которых входит взаимодействие с НКЦКИ, установлен флажок Может взаимодействовать с НКЦКИ.
Этапы взаимодействия с НКЦКИ
В KUMA экспорт и обработка инцидентов, экспортированных в НКЦКИ, проходит через следующие этапы:
- Создание инцидента и проверка его на соответствие требованиям НКЦКИ
Вы можете создать инцидент или получить его из дочернего узла KUMA. Перед отправкой данных в НКЦКИ необходимо убедиться, что категория инцидента соответствует требованиям НКЦКИ
- Экспорт инцидента в НКЦКИ
При успешном экспорте инцидента в НКЦКИ его параметр Экспорт в НКЦКИ принимает значение Экспортирован. В нижней части окна инцидента становится доступен раздел с чатом с сотрудниками НКЦКИ.
В НКЦКИ полученному от вас инциденту присваивается регистрационный номер и статус. Эти сведения отображаются в окне инцидента в разделе Интеграция с НКЦКИ и в автоматических сообщениях чата.
Если в НКЦКИ предоставлены все необходимые данные, инциденту присваивается статус Проверка НКЦКИ. Параметры инцидента в таком статусе доступны для изменения, однако обновленные сведения невозможно передать из KUMA в НКЦКИ. Вы можете просмотреть разницу между данными об инциденте в KUMA и в НКЦКИ.
- Дополнение данных об инциденте
Если сотрудникам НКЦКИ не хватает сведений для обработки инцидента, они могут присвоить ему статус Требуется дополнение. В KUMA этот статус отображается в окне инцидента в разделе Интеграция с НКЦКИ. Пользователи уведомляются об изменении статуса.
К инцидентам с таким статусом можно прикрепить файл.
Дополнение данных завершается повторным экспортом инцидента в НКЦКИ, при котором необходимо дополнить или изменить ранее отправленные сведения. Из родительского узла KUMA невозможно вносить изменения в инциденты дочерних узлов – это необходимо сделать сотрудникам дочернего узла KUMA.
При успешном дополнении инцидента данными ему присваивается статус Проверка НКЦКИ.
- Завершение обработки инцидента
Когда сотрудники НКЦКИ обработают инцидент, в НКЦКИ ему будет присвоен статус Принято решение. В KUMA этот статус отображается в окне инцидента в разделе Интеграция с НКЦКИ.
При получении этого статуса инцидент в KUMA автоматически закрывается. Взаимодействие с НКЦКИ по данному инциденту через KUMA становится невозможным.
Особенности экспорта в НКЦКИ из иерархической структуры KUMA
Если в вашей организации развернуто несколько узлов KUMA, которые объединены в иерархическую структуру, вы можете из родительских узлов KUMA передавать в НКЦКИ инциденты, полученные из дочерних узлов KUMA. Для этого должны выполняться следующие условия:
- В родительском и дочернем узле KUMA настроена интеграция с НКЦКИ. При этом для родительского узла параметры URL и Токен в разделе Параметры → НКЦКИ являются обязательными, а для дочернего – нет.
- В обоих узлах не отключена интеграция с НКЦКИ.
При такой настройке взаимодействие с НКЦКИ осуществляется только на уровне узла, экспортировавшего инцидент в НКЦКИ.
Из родительского узла KUMA невозможно изменить параметры инцидента, полученного из дочернего узла KUMA. Если для экспорта в НКЦКИ не хватает каких-то данных, инцидент необходимо изменить на дочернем узле KUMA, а затем уже экспортировать его в НКЦКИ из родительского узла KUMA.
В началоЭкспорт данных в НКЦКИ
Невозможно экспортировать в НКЦКИ закрытие в KUMA инциденты, если у них на момент закрытия не было заполнено поле Описание.
Чтобы экспортировать инцидент в НКЦКИ:
- В разделе Инциденты веб-интерфейса KUMA откройте инцидент, который вы хотите экспортировать.
- Нажмите в нижней части окна на кнопку Экспорт в НКЦКИ.
- Если вы не указали категорию и тип инцидента, укажите эти сведения в открывшемся окне и нажмите на кнопку Экспорт в НКЦКИ.
Откроется окно с параметрами экспорта.
- Укажите параметры в закладке Основные окна Экспорт в НКЦКИ:
- Категория инцидента и Тип инцидента – укажите тип и категорию инцидента. В НКЦКИ можно экспортировать только инциденты определенных категорий и типов.
- TLP (обязательно) – присвойте инциденту маркер протокола Traffic Light, определяющий характер сведений об инциденте. По умолчанию используется значение RED. Доступные значения:
- WHITE – раскрытие не ограничено;
- GREEN – раскрытие только для сообщества;
- AMBER – раскрытие только для организаций;
- RED – раскрытие только для круга лиц.
- Название информационной системы (обязательно) – укажите название информационного ресурса, в котором произошел инцидент. В поле можно ввести до 500 000 символов.
- Категория КИИ системы (обязательно) – укажите категорию критической информационной структуры (КИИ) вашей организации. Если у вашей организации нет категории КИИ, выберите пункт Информационный ресурс не является объектом КИИ.
- Сфера деятельности компании (обязательно) – укажите сферу деятельности вашей организации. По умолчанию используется значение, указанное в параметрах интеграции с НКЦКИ.
- Местоположение (обязательно) – выберите в раскрывающемся списке местоположение вашей организации.
- Затронутая система имеет подключение к интернету – установите этот флажок, если активы, относящиеся к инциденту, имеют подключение к интернету. По умолчанию этот флажок снят.
Если этот флажок установлен, в окне становится доступна для заполнения закладка Технические сведения, на которой отображаются сведения об относящихся к инциденту активах. Подробнее см. ниже.
- Сведения о продукте (обязательно) – эта таблица становится доступна, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.
С помощью кнопки Добавить элемент можно добавить в таблицу строку. В столбце Название требуется указать название программы (например,
MS Office
), а в столбце Версия – версию программы (например,2.4
). - Идентификатор уязвимости – при необходимости укажите идентификатор обнаруженной уязвимости. Например,
CVE-2020-1231
.Это поле становится доступно, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.
- Наименование и версия уязвимого продукта – при необходимости укажите наименование и версию уязвимого продукта. Например,
Операционные системы Microsoft и их компоненты
.Это поле становится доступно, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.
- При необходимости укажите параметры в закладке Дополнительно окна Экспорт в НКЦКИ.
Набор параметров в закладке зависит от выбранных категории и типа инцидента:
- Средство обнаружения инцидента – укажите название продукта, с помощью которого был зарегистрирован инцидент. Например,
KUMA 1.5
. - Требуется привлечение сил ГосСОПКА – установите этот флажок, если вам требуется помощь сотрудников ГосСОПКА.
- Время завершения инцидента – укажите дату и время восстановления штатного режима работы контролируемого информационного ресурса (объекта КИИ) после компьютерного инцидента, окончания компьютерной атаки или устранения уязвимости.
- Влияние на доступность – оцените степень последствий инцидента для доступности системы:
- Высокое
- Низкое
- Отсутствует
- Влияние на целостность – оцените степень последствий инцидента для целостности системы:
- Высокое
- Низкое
- Отсутствует
- Влияние на конфиденциальность – оцените степень последствий инцидента для конфиденциальности информации:
- Высокое
- Низкое
- Отсутствует
- Иные последствия – укажите иные значимые последствия инцидента.
- Город – укажите город, в котором находится ваша организация.
- Средство обнаружения инцидента – укажите название продукта, с помощью которого был зарегистрирован инцидент. Например,
- Если к инциденту прикреплены активы, можно указать их параметры в закладке Технические данные.
Эта закладка становится активной, только если вы установили флажок Затронутая система имеет подключение к интернету.
При необходимости изменить или дополнить сведения, ранее указанные в закладке Технические данные, это следует делать в вашем личном кабинете ГосСОПКА, даже если сотрудники НКЦКИ запросили у вас дополнительные сведения и у вас есть возможность изменить экспортированный инцидент.
Категории указываемых активов должны соответствовать категории затронутой КИИ системы.
- Нажмите Экспорт.
- Подтвердите экспорт.
Сведения об инциденте переданы в НКЦКИ, параметр инцидента Экспорт в НКЦКИ меняется на Экспортирован. В НКЦКИ полученному от вас инциденту присваивается регистрационный номер и статус. Эти сведения отображаются в окне инцидента в разделе Интеграция с НКЦКИ.
Изменить данные в экспортированном инциденте возможно, только если сотрудники НКЦКИ запросили у вас дополнительные сведения. Если дополнительные сведения запрошены не были, но вам требуется внести изменения в экспортированный инцидент, это следует делать в вашем личном кабинете ГосСОПКА.
После успешного экспорта инцидента в нижней части экрана отображается кнопка Сравнение инцидента KUMA с данными в НКЦКИ, при нажатии на которую открывается окно, где подсвечиваются различия в данных в инциденте между KUMA и НКЦКИ.
В началоДополнение данных об инциденте по запросу
Если сотрудникам НКЦКИ потребуются дополнительные сведения об инциденте, они могут их у вас запросить. В этом случае в окне инцидента в разделе Интеграция с НКЦКИ статус инцидента меняется на Требуется дополнение. При этом следующие пользователи KUMA получают по электронной почте уведомления об изменении статуса: пользователь, которому назначен инцидент, и пользователь, экспортировавший инцидент в НКЦКИ.
Если инциденту в НКЦКИ присвоен статус Требуется дополнение, в KUMA для этого инцидента становятся доступны следующие действия:
- Загрузка в НКЦКИ файлов.
- Повторный экспорт данных об инциденте в НКЦКИ с изменением или дополнением ранее указанных сведений. Выполнение этого действия завершает дополнение инцидента данными.
Отправка файлов в НКЦКИ
Если инцидент имеет статус НКЦКИ Требуется дополнение, вы можете приложить к нему файл. Файл будет доступен как в НКЦКИ, так и в веб-интерфейсе KUMA.
При иерархическом развертывании KUMA загружать файлы в НКЦКИ можно только из родительского узла KUMA. При этом в дочерних узлах KUMA видны журнальные записи о загрузке файла.
В журнале изменений инцидента добавляются сообщения о загрузке в НКЦКИ файлов пользователями KUMA. Сообщения о добавлении файлов со стороны НКЦКИ в журнал не заносятся.
Чтобы приложить файл к инциденту:
- В разделе Инциденты веб-интерфейса KUMA откройте инцидент, к которому вы хотите приложить файл. Инцидент должен иметь статус НКЦКИ Требуется дополнение.
- В разделе окна инцидента Интеграция с НКЦКИ выберите закладку Файл и нажмите на кнопку Отправить файл в НКЦКИ.
Откроется окно выбора файла.
- Выберите нужный файл размером не более 50 МБ и подтвердите выбор.
Файл приложен к инциденту. Файл доступен и для сотрудников НКЦКИ, и для пользователей KUMA.
Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.
В началоОтправка в НКЦКИ инцидентов, связанных с утечкой персональных данных
В KUMA 2.1.х отсутствует отдельный раздел с параметрами инцидентов для передачи в НКЦКИ сведений об утечке персональных данных. Поскольку такие инциденты возникают и есть необходимость передавать сведения в НКЦКИ, воспользуйтесь следующим решением.
Чтобы передать инциденты, связанные с утечкой персональных данных:
- В веб-интерфейсе KUMA в разделе Инциденты при создании инцидента, связанного с утечкой персональных данных, в поле Категория инцидента выберите Уведомление о компьютерном инциденте.
- В поле Тип инцидента выберите один из вариантов, подразумевающих предоставление сведений об утечке персональных данных:
- Заражение ВПО.
- Компрометация учетной записи.
- Несанкционированное разглашение информации.
- Успешная эксплуатация уязвимости.
- Событие не связано с компьютерной атакой.
- В поле Описание укажите "Инцидент связан с утечкой персональных данных. Прошу установить статус "Требуется дополнение"".
- Нажмите Сохранить.
- Выполните экспорт инцидента в НКЦКИ.
После того, как сотрудники НКЦКИ установят статус "Требуется дополнение" и вернут инцидент для дальнейшего редактирования, в личном кабинете НКЦКИ вы сможете дополнить информацию в разделе Сведения об утечке персональных данных.
В началоОбмен сообщениями с сотрудниками НКЦКИ
После успешного экспорта инцидента в НКЦКИ в нижней части окна инцидента становится доступен чат с сотрудниками НКЦКИ. Обмениваться сообщениями можно с момента успешного экспорта инцидента до его закрытия в НКЦКИ.
Окно чата с историей сообщений и полем для ввода новых сообщений доступно в разделе окна инцидента Интеграция с НКЦКИ в закладке Чат.
Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.
Допустимые категории и типы инцидентов НКЦКИ
В таблице ниже перечислены категории и типы инцидентов, которые можно экспортировать в НКЦКИ:
Категория инцидента |
Тип инцидента |
Уведомление о компьютерном инциденте |
Вовлечение контролируемого ресурса в инфраструктуру ВПО |
Замедление работы ресурса в результате DDoS-атаки |
|
Заражение ВПО |
|
Захват сетевого трафика |
|
Использование контролируемого ресурса для фишинга |
|
Компрометация учетной записи |
|
Несанкционированное изменение информации |
|
Несанкционированное разглашение информации |
|
Публикация на ресурсе запрещенной законодательством РФ информации |
|
Рассылка спам-сообщений с контролируемого ресурса |
|
Успешная эксплуатация уязвимости |
|
Уведомление о компьютерной атаке |
DDoS-атака |
Неудачные попытки авторизации |
|
Попытки внедрения ВПО |
|
Попытки эксплуатации уязвимости |
|
Публикация мошеннической информации |
|
Сетевое сканирование |
|
Социальная инженерия |
|
Уведомление о наличии уязвимости |
Уязвимый ресурс |
Уведомления об изменении статуса инцидента в НКЦКИ
При некоторых изменениях статуса или данных инцидента в НКЦКИ пользователи KUMA получают следующие уведомления по электронной почте:
- Уведомление о получении сообщения от НКЦКИ.
- Уведомление о запросе дополнительных данных.
- Уведомление об изменении данных инцидента в НКЦКИ.
- Уведомление об автоматическом закрытии инцидента.
Уведомления получают следующие пользователи:
- Пользователь, которому был назначен инцидент.
- Пользователь, который экспортировал инцидент в НКЦКИ.
Ретроспективная проверка
В обычном режиме коррелятор работает только с событиями, поступающими от коллекторов в реальном времени. Ретроспективная проверка позволяет применить корреляционные правила к историческим событиям, если вы хотите отладить корреляционные правила или проанализировать исторические данные.
Чтобы проверить работу правила, не обязательно воспроизводить инцидент в реальном времени – можно запускать правило в режиме Ретроспективная проверка на исторических событиях, среди которых есть интересующий инцидент.
С помощью поискового запроса вы можете определить список исторических событий, для которых будет выполнена ретроспективная проверка, задать период поиска и указать хранилище, в котором следует искать события. Можно настроить задачу таким образом, чтобы во время ретроспективной проверки событий создавались алерты и применялись правила реагирования.
При ретроспективной проверке события не обогащаются данными из CyberTrace и Kaspersky Threat Intelligence Portal.
Активные листы при ретроспективной проверке обновляются.
Ретроспективную проверку невозможно проводить на выборках событий, полученных с помощью SQL-запросов с группировкой данных и арифметическими выражениями.
Чтобы включить ретроспективную проверку:
- В разделе События веб-интерфейса KUMA получите необходимую выборку событий:
- Выберите хранилище.
- Настройте поисковое выражение с помощью конструктора или поискового запроса.
- Задайте необходимый временной период.
- В раскрывающемся списке
выберите Ретроспективная проверка.
Откроется окно ретроспективной проверки.
- В раскрывающемся списке Коррелятор выберите сервис коррелятора, в который будут загружены выбранные события.
- В раскрывающемся списке Правила корреляции выберите правила корреляции, с помощью которых необходимо обработать выбранные события.
- Если вы хотите, чтобы в процессе обработки событий срабатывали правила реагирования, включите переключатель Выполнить правила реагирования.
- Если вы хотите, чтобы в процессе обработки событий создавались алерты, включите переключатель Создать алерты.
- Нажмите на кнопку Создать задачу.
В разделе Диспетчер задач создана задача ретроспективной проверки.
Чтобы просмотреть результаты проверки, в разделе Диспетчер задач веб-интерфейса KUMA нажмите на созданную вами задачу и в раскрывающемся списке выберите Перейти к событиям.
Открывается новая вкладка браузера с таблицей событий, обработанных в ходе ретроспективной проверки, а также агрегированными и корреляционными событиями, созданными во время обработки. Корреляционные события, созданные ретроспективной проверкой, имеют дополнительное поле ReplayID, в котором хранится уникальный идентификатор выполнения ретроспективной проверки. Аналитик может повторно запустить ретроспективный поиск из контекстного меню задачи. У новых корреляционных событий будет другой ReplayID.
В зависимости от настроек вашего браузера может потребоваться ваше подтверждение на открытие новой вкладки с результатами ретроспективной проверки. Подробнее см. в документации вашего браузера.
В начало