Ресурсы KUMA

Ресурсы – это компоненты KUMA, которые содержат параметры для реализации различных функций: например, установления связи с заданным веб-адресом или преобразования данных по определенным правилам. Из этих компонентов, как из частей конструктора, собираются наборы ресурсов для сервисов, на основе которых в свою очередь создаются сервисы KUMA.

Ресурсы содержатся в разделе веб-интерфейса KUMA Ресурсы в блоке Ресурсы. Доступные типы ресурсов:

• Правила корреляции – в ресурсах этого типа содержатся правила определения в событиях закономерностей, указывающих на угрозы. Если условия, заданные в этих ресурсах, выполняются, создается корреляционное событие.
• Нормализаторы – в ресурсах этого типа содержатся правила для приведения поступающих событий к формату, принятому в KUMA. После обработки в нормализаторе сырое событие становится нормализованным и может обрабатываться другими ресурсами и сервисами KUMA.
• Коннекторы – в ресурсах этого типа содержатся параметры для установления сетевых подключений.
• Правила агрегации – в ресурсах этого типа содержатся правила для объединения нескольких однотипных базовых событий в одно агрегационное событие.
• Правила обогащения – в ресурсах этого типа содержатся правила для дополнения событий информацией из сторонних источников.
• Точки назначения – в ресурсах этого типа содержатся параметры для пересылки событий в пункт дальнейшей обработки или хранения.
• Фильтры – в ресурсах этого типа содержатся условия для отбора отдельных событий из потока событий для дальнейшей их передачи в обработку.
• Правила реагирования – ресурсы этого типа используются в корреляторах для запуска, например, скриптов или задач Kaspersky Security Center при выполнении определенных условий.
• Правила сбора и анализа данных – в ресурсах этого типа содержатся правила, которые позволяют планировать выполнение SQL-запросов с агрегационными функциям в хранилище по заданному расписанию. Далее по данным, полученным от SQL-запросов, осуществляется корреляция.
• Шаблоны уведомлений – ресурсы этого типа используются при рассылке уведомлений о новых алертах.
• Активные листы – ресурсы этого типа используются корреляторами для динамической работы с данными при анализе событий по правилам корреляции.
• Словари – ресурсы этого типа используются для хранения ключей и их значений, которые могут потребоваться другим ресурсам и сервисам KUMA.
• Прокси-серверы – в ресурсах этого типа содержатся параметры использования прокси-серверов.
• Секреты – ресурсы этого типа используются для безопасного хранения конфиденциальной информации (например, учетных данных), которые должны использоваться KUMA для взаимодействия с внешними службами.

При нажатии на тип ресурса открывается окно, в котором отображается таблица с имеющимися ресурсами этого типа. Таблица содержит следующие столбцы:

• Название – название ресурса. Может использоваться для поиска и сортировки ресурсов.
• Последнее обновление – дата и время последнего обновления ресурса. Может использоваться для сортировки ресурсов.
• Создал – имя пользователя, создавшего ресурс.
• Описание – описание ресурса.
• Тип – тип ресурса. Отображается для всех типов ресурсов, кроме типов Правила агрегации, Правила обогащения, Правила сбора и анализа данных, Фильтры, Активные листы, Прокси-серверы.
• Путь до ресурса – адрес в дереве ресурсов. Отображается в дереве папок, начиная от тенанта, в котором создан ресурс.
• Теги – теги, которыми отмечен ресурс. Ресурс может иметь больше одного тега.

  Теги являются частью ресурса и импортируются в случае импорта ресурса.

• Название пакета – имя пакета, из которого ресурс был импортирован из репозитория.
• Коррелятор – список корреляторов, к которым привязано корреляционное правило. Отображается только для ресурсов типа Правила корреляции.

  Если правило не привязано ни к одному коррелятору, в столбце отображается пустое значение. Если в списке есть несколько значений, то эти значения отсортированы в алфавитном порядке. Вы можете фильтровать значения в столбце Коррелятор, нажав на заголовок столбца и выбрав, какие правила корреляции вы хотите отображать в таблице: Без коррелятора или С коррелятором.

  Для правил тенанта Shared отображаются корреляторы тенантов, к которым у вас есть доступ и которые вы выбирали в списке тенантов.

  Значения в столбце Коррелятор доступны только для просмотра. Если вы хотите выполнить действия над корреляторами, вам нужно нажать на правило в таблице и в открывшихся свойствах этого правила перейти на вкладку Корреляторы.

• Техники MITRE – техники матрицы MITRE, которые покрывает это правило корреляции. Отображается только для ресурсов типа Правила корреляции. При наведении курсора мыши на значение отображается название правила.

Максимальный размер таблицы не ограничен. Если вы хотите выбрать все ресурсы, прокрутите таблицу до конца и установите флажок Выбрать все, таким образом все доступные в таблице ресурсы будут выбраны.

В таблице ресурсов в нижней части отображается количество ресурсов из доступных вам тенантов в таблице:

• Всего – общее количество или с учетом примененного фильтра или поиска.
• Выбрано – количество выбранных ресурсов.

При применении фильтров выбранные ресурсы и значение Выбрано сбрасываются. Если количество ресурсов изменится из-за действий другого пользователя (например, удаление), отображаемое количество ресурсов изменится после того, как вы обновите страницу, выполните действие с ресурсом или примените фильтр.

Ресурсы можно расположить по папкам. В левой части окна отображается структура папок: корневые папки соответствуют тенантам и содержат перечень всех ресурсов тенанта. Во всех остальных папках, вложенных в корневую, отображаются ресурсы отдельной папки. Когда папка выбрана, содержащиеся в ней ресурсы отображаются в таблице в правой части окна.

Ресурсы можно создавать, редактировать, копировать, перемещать между папками и удалять. Ресурсы можно также экспортировать и импортировать.

KUMA поставляется с набором предустановленных ресурсов, их можно узнать по названию [OOTB]<название_ресурса>. OOTB-ресурсы защищены от внесения изменений.

Если вы хотите адаптировать предустановленный OOTB-ресурс к инфраструктуре своей организации:

1. В разделе Ресурсы-<тип ресурсов> и выберите OOTB-ресурс, который вы хотите изменить.
2. В верхней части веб-интерфейса KUMA нажмите Дублировать, а затем нажмите Сохранить.
3. В веб-интерфейсе появится новый ресурс с названием [OOTB]<название_ресурса> - копия.
4. Внесите необходимые изменения в созданную копию предустановленного ресурса и сохраните изменения.

Адаптированный ресурс доступен для использования.

Операции с ресурсами

Вы можете управлять ресурсами KUMA: создавать, перемещать, копировать, редактировать и удалять ресурсы, а также импортировать и экспортировать их. Перечисленные операции доступны для всех ресурсов, вне зависимости от типа ресурса.

Ресурсы KUMA располагаются в папках. Вы можете добавлять, переименовывать, перемещать и удалять папки ресурсов.

Создание, переименование, перемещение и удаление папок с ресурсами

Ресурсы можно расположить по папкам. В левой части окна отображается структура папок: корневые папки соответствуют тенантам и содержат перечень всех ресурсов тенанта. Во всех остальных папках, вложенных в корневую, отображаются ресурсы отдельной папки. Когда папка выбрана, содержащиеся в ней ресурсы отображаются в таблице в правой части окна.

Папки можно создавать, переименовывать, перемещать и удалять.

Чтобы создать папку:

1. Выберите в дереве папку, в которой требуется новая папка.
2. Нажмите на кнопку Добавить папку.

Папка будет создана.

Чтобы переименовать папку:

1. Найдите нужную папку в структуре папок.
2. Наведите курсор на название папки.

   Рядом с названием папки появится значок .

3. В раскрывающемся списке выберите Переименовать.

   Название папки станет доступным для редактирования.

4. Введите новое название папки и нажмите ENTER.

   Название папки не может быть пустым.

Папка будет переименована.

Чтобы переместить папку,

Нажмите название папки и перетащите ее в требуемое место в структуре папок.

Папки невозможно переместить из одного тенанта в другой

Чтобы удалить папку:

1. В структуре папок выберите нужную папку.
2. Правой кнопкой мыши вызовите контекстное меню и выберите Удалить.

   Появится окно подтверждения.

3. Нажмите ОК.

Папка будет удалена.

Программа не удаляет папки, которые содержат файлы или вложенные папки.

Создание, дублирование, перемещение, редактирование и удаление ресурсов

Вы можете создавать, перемещать, копировать, редактировать и удалять ресурсы.

Чтобы создать ресурс:

1. В разделе Ресурсы → <тип ресурса> выберите или создайте папку, в которую требуется добавить новый ресурс.

   Корневые папки соответствуют тенантам. Чтобы ресурс был доступен определенному тенанту, его следует создать в папке этого тенанта.

2. Нажмите на кнопку Добавить <тип ресурса>.

   Откроется окно для настройки параметров выбранного типа ресурсов. Доступные параметры зависят от типа ресурса.

3. Введите уникальное имя ресурса в поле Название.
4. Укажите обязательные параметры (они отмечены красной звездочкой).
5. При желании укажите дополнительные параметры (это необязательное действие).
6. Нажмите Сохранить.

Ресурс будет создан и доступен для использования в сервисах и других ресурсах.

Чтобы переместить ресурс в новую папку:

1. В разделе Ресурсы → <тип ресурса> найдите требуемый ресурс в структуре папок.
2. Установите флажки рядом с ресурсами, которые вы хотите переместить. Можно выбрать сразу несколько ресурсов.

   Рядом с выбранными ресурсами отобразится значок . В нижней части таблицы отобразится количество выбранных ресурсов.

3. Перетащите ресурсы в нужную папку с помощью значка .

Ресурсы будут перемещены в новые папки.

Вы можете перемещать ресурсы только в папки того тенанта, в рамках которого были созданы ресурсы. Перемещение ресурсов в папки другого тенанта недоступно.

Чтобы скопировать ресурс:

1. В разделе Ресурсы → <тип ресурса> найдите требуемый ресурс в структуре папок.
2. Установите флажок рядом с ресурсом, которые вы хотите скопировать, и нажмите Дублировать.

   В нижней части таблицы отобразится количество выбранных ресурсов.

   Отображается окно с параметрами ресурса, который вы выбрали для копирования. Доступные параметры зависят от типа ресурса.

   В поле Название отображается <название выбранного ресурса> - копия.

3. Измените нужные параметры.
4. Введите уникальное имя в поле Название.
5. Нажмите Сохранить.

Копия ресурса будет создана.

Чтобы изменить ресурс:

1. В разделе Ресурсы → <тип ресурса> найдите требуемый ресурс в структуре папок.
2. Выберите ресурс.

   Отображается окно с параметрами выбранного ресурса. Доступные параметры зависят от типа ресурса.

3. Измените нужные параметры.
4. Выполните одно из следующих действий:
   • Нажмите Сохранить, чтобы сохранить изменения.
   • Нажмите Сохранить с комментарием и в открывшемся окне укажите комментарий к сделанным изменениям. Изменения будут сохранены, и комментарий будет добавлен к созданной версии ресурса.

Ресурс будет обновлен, и для него будет создана новая версия. Если этот ресурс используется в сервисе, перезапустите сервис, чтобы он задействовал новую версию ресурса.

Если текущий ресурс недоступен для редактирования (например, невозможно изменить корреляционное правило), можно перейти в карточку другого ресурса, нажав на кнопку Посмотреть. Эта кнопка становится доступной в пакетных ресурсах при нажатии на другой ресурс, связанный с вашим текущим ресурсом.

Если при сохранении изменений ресурса обнаруживается, что текущая версия ресурса была изменена другим пользователем, вам будет предложен выбор из следующих действий:

• Сохранить ваши изменения как новую версию ресурса поверх изменений другого пользователя.
• Сохранить ваши изменения как новый ресурс.

  В этом случае будет создан дубликат изначального ресурса с измененными параметрами. В название нового ресурса будет добавлено "- копия", и в комментарии к его версии будут указаны название и версия ресурса, с которого был создан дубликат.

• Отменить ваши изменения.

  Отмененные изменения невозможно восстановить.

Чтобы удалить ресурс:

1. В разделе Ресурсы → <тип ресурса> найдите требуемый ресурс в структуре папок.
2. Установите флажок рядом с ресурсом, которые вы хотите удалить, и нажмите Удалить.

   В нижней части таблицы отобразится количество выбранных ресурсов. Откроется окно подтверждения.

3. Нажмите ОК.

Ресурс и все его сохраненные версии будут удалены.

Привязать корреляторы к корреляционному правилу

Для созданных корреляционных правил доступна опция Привязать корреляторы.

Чтобы привязать корреляторы:

1. В веб-интерфейсе KUMA → Ресурсы → Правила корреляции выберите созданное правило корреляции и нажмите Привязать корреляторы.
2. В открывшемся окне Корреляторы выберите один или несколько корреляторов, установив рядом флажок.
3. Нажмите ОК.

Корреляторы привязаны к правилу корреляции.

Правило будет добавлено последним в очередь для выполнения в каждом выбранном корреляторе. Если вы хотите поднять правило в очереди выполнения, перейдите в Ресурсы → Корреляторы → <выбранный коррелятор> → Редактирование коррелятора → Корреляция, установите флажок рядом с нужным правилом и воспользуйтесь кнопками Поднять или Опустить, чтобы установить желаемый порядок выполнения правил.

Обновление ресурсов

"Лаборатория Касперского" регулярно выпускает пакеты с ресурсами, доступные для импорта из репозитория. Вы можете указать адрес электронной почты в параметрах задачи Обновление репозитория и после первого выполнения задачи KUMA будет отправлять на указанный адрес уведомления о доступных для обновления пакетах. Вы можете выполнить обновление репозитория, проанализировать содержимое каждого обновления и принять решение об импорте и внедрении новых ресурсов в эксплуатируемую инфраструктуру. KUMA поддерживает обновление c серверов Лаборатории Касперского и из пользовательского источника, в том числе без прямого доступа к интернету с использованием механизма «зеркала обновления». При использовании в инфраструктуре других продуктов Лаборатории Касперского, можно подключить KUMA к уже существующим зеркалам обновления. Подсистема обновления расширяет возможности KUMA по реагированию на изменения ландшафта угроз и инфраструктуры, а возможность её использования без прямого доступа к интернету обеспечивает гарантии конфиденциальности данных, обрабатываемых системой.

Чтобы обновить ресурсы, вам необходимо выполнить следующие шаги:

1. Обновить репозиторий, чтобы доставить в репозиторий пакеты с ресурсами. Обновление репозитория доступно в двух режимах:
   • Автоматическое обновление.
   • Обновление вручную.
2. Импортировать пакеты с ресурсами из обновленного репозитория в тенант.

Чтобы сервис начал использовать обновленные ресурсы, после выполнения импорта убедитесь, что ресурсы привязаны. В случае необходимости привяжите ресурсы к коллекторам, корреляторам или агентам и обновите параметры.

Чтобы настроить автоматическое обновление:

1. В разделе Параметры – Обновление репозитория настройте Интервал обновления в часах. Значение по умолчанию - 24 часа.
2. Укажите Источник обновления. Доступны следующие варианты:
   • Серверы обновления "Лаборатории Касперского"

     

     Серверы расположены в разных странах по всему миру, что обеспечивает высокую надежность обновления. Если обновление невозможно выполнить с одного сервера, KUMA переключается на другой сервер.

     .

     Вы можете посмотреть список серверов обновления в Базе знаний.

   • Пользовательский источник:
     • URL к папке общего доступа на HTTP-сервере.
     • Полный путь к локальной папке на хосте с установленным ядром KUMA.

       В случае использования локальной папки у системного пользователя kuma должен быть доступ для чтения к этой папке и ее содержимому.

3. При необходимости в поле Прокси-сервер выберите из списка существующий прокси-сервер, который должен использоваться при запуске задачи Обновление репозитория.

   Вы также можете создать новый прокси-сервер, нажав на значок плюса ().

4. Укажите Адреса электронной почты для рассылки уведомлений, нажав на кнопку Добавить. На указанные адреса электронной почты будет поступать рассылка уведомлений о том, что в репозитории появились новые пакеты или новая версия тех пакетов, которые вы когда-либо импортировали в тенант.

   Если вы указываете электронную почту пользователя KUMA, в профиле пользователя должен быть установлен флажок Получать уведомления по почте. Для почты, которая не принадлежит ни одному пользователю KUMA, письмо будет приходит без дополнительных настроек. Параметры подключения к SMTP-серверу должны быть указаны во всех случаях.

5. Нажмите Сохранить. Задача обновления запустится автоматически в самое ближайшее время и дальше запуск задачи будет выполнен в соответствии с расписанием.

Чтобы запустить обновление репозитория вручную:

1. Если вы хотите отключить автоматическое обновление, в разделе Параметры – Обновление репозитория установите флажок Отключить автоматическое обновление. По умолчанию флажок снят. Также вы можете запустить обновление репозитория вручную, не отключая автоматическое обновление. Запуск обновления вручную не влияет на график выполнения автоматического обновления.
2. Укажите Источник обновления. Доступны следующие варианты:
   • Серверы обновления "Лаборатории Касперского".
   • Пользовательский источник:
     • URL к папке общего доступа на HTTP-сервере.
     • Полный путь к локальной папке на хосте с установленным ядром KUMA.

       В случае использования локальной папки у пользователя kuma должен быть доступ к этой папке и её содержимому.

3. При необходимости в поле Прокси-сервер выберите из списка существующий прокси-сервер, который должен использоваться при запуске задачи Обновление репозитория.

   Вы также можете создать новый прокси-сервер, нажав на значок плюса ().

4. Укажите Адреса электронной почты для рассылки уведомлений, нажав на кнопку Добавить. На указанные адреса электронной почты будет поступать рассылка уведомлений о том, что в репозитории появились новые пакеты или новая версия тех пакетов, которые вы когда-либо импортировали в тенант.

   Если вы указываете электронную почту пользователя KUMA, в профиле пользователя должен быть установлен флажок Получать уведомления по почте. Для почты, которая не принадлежит ни одному пользователю KUMA, письмо будет приходит без дополнительных настроек. Параметры подключения к SMTP-серверу должны быть указаны во всех случаях.

5. Нажмите Запустить обновление. Таким образом, вы одновременно сохраните настройки и вручную запустите выполнение задачи Обновление репозитория.

Настройка пользовательского источника с использованием Kaspersky Update Utility

Вы можете обновлять ресурсы без доступа к интернету через пользовательский источник обновления с помощью утилиты Kaspersky Update Utility.

Настройка состоит из следующих шагов:

1. Настройка пользовательского источника с помощью Kaspersky Update Utility:
   1. Установка и настройка Kaspersky Update Utility на одном из компьютеров локальной сети организации.
   2. Настройка копирования обновлений в папку общего доступа в параметрах Kaspersky Update Utility.
2. Настройка обновления репозитория KUMA из пользовательского источника.

Настройка пользовательского источника с помощью Kaspersky Update Utility:

Вы можете загрузить дистрибутив Kaspersky Update Utility с веб-сайта Службы технической поддержки "Лаборатории Касперского".

1. В Kaspersky Update Utility включите скачивание обновлений для KUMA версии 2.1:
   • В разделе Программы - Контроль периметра установите флажок рядом с KUMA 2.1, чтобы включить возможность обновления.
   • Если вы работаете с Kaspersky Update Utility через командную строку, в конфигурационном файле updater.ini в секции [ComponentSettings] добавьте следующую строку или укажите значение true для уже существующей строки:

     KasperskyUnifiedMonitoringAndAnalysisPlatform_3_4=true

2. В разделе Загрузки укажите источник обновлений. По умолчанию в качестве источника используются сервера обновления "Лаборатории Касперского".
3. В разделе Загрузки в группе параметров Папки для обновлений укажите папку общего доступа, в которую Kaspersky Update Utility будет загружать обновления. Доступны следующие варианты:
   • Укажите локальную папку на хосте, где установлена Kaspersky Update Utility. Разверните HTTP-сервер, который будет отдавать обновления, и опубликуйте на нем эту локальную папку. В KUMA в разделе Параметры - Обновление репозитория - Пользовательский источник укажите URL к локальной папке, опубликованной на HTTP-сервере.
   • Укажите локальную папку на хосте, где установлена Kaspersky Update Utility. Сделайте эту локальную папку доступной по сети. Примонтируйте доступную по сети локальную папку на хосте с KUMA. В KUMA в разделе Параметры - Обновление репозитория - Пользовательский источник укажите полный путь к этой локальной папке.

Подробную информацию о работе с Kaspersky Update Utility см. в Базе знаний "Лаборатории Касперского".

Экспорт ресурсов

Если для пользователя скрыты общие ресурсы, он не может экспортировать ни общие ресурсы, ни ресурсы, в которых используются общие ресурсы.

Чтобы экспортировать ресурсы:

1. В разделе Ресурсы нажмите Экспортировать ресурсы.

   Откроется окно Экспортировать ресурсы с деревом всех доступных ресурсов.

2. В поле Пароль введите пароль, который необходимо использовать для защиты экспортируемых данных.
3. В раскрывающемся списке Тенант выберите тенанта, ресурсы которого вы хотите экспортировать.
4. Установите флажки рядом с ресурсами, которые вы хотите экспортировать.

   Если выбранные ресурсы связаны с другими ресурсами, эти ресурсы также будут экспортированы.

5. Нажмите на кнопку Экспортировать.

Ресурсы в защищенном паролем файле сохранятся на вашем компьютере в зависимости от настроек вашего браузера. Ресурсы секретов экспортируются пустыми.

Импорт ресурсов

При работе с KUMA 3.0.3 рекомендуется использовать ресурсы из пакета "[OOTB] KUMA 3.0.1 resources" и ресурсы, опубликованные в репозитории после выхода этого пакета.

Чтобы импортировать ресурсы:

1. В разделе Ресурсы нажмите Импорт ресурсов.

   Откроется окно Импорт ресурсов.

2. В раскрывающемся списке Тенант выберите тенанта, которому будут принадлежать импортируемые ресурсы.
3. В раскрывающемся списке Источник импорта выберите один из следующих вариантов:
   • Файл

     При выборе этого варианта необходимо указать пароль и нажать на кнопку Импортировать.

   • Репозиторий

     При выборе этого варианта отображается список доступных для импорта пакетов. Мы рекомендуем убедиться, что дата обновления репозитория относительно недавняя и при необходимости настроить автоматическое обновление.

     Вы можете выбрать один или несколько пакетов для импорта и нажать на кнопку Импортировать. Зависимые ресурсы Общего тенанта будут импортированы в Общий тенант, остальные ресурсы будут импортированы в выбранный тенант. Отдельных прав для учетной записи на Общий тенант не требуется, необходимо только наличие права на импорт в выбранном тенанте.

     Импортированные ресурсы с пометкой "Этот ресурс входит в пакет. Его можно удалить, но он недопустен для редактирования." можно только удалить. Если вы хотите переименовать, отредактировать или переместить импортированный ресурс, вам следует сделать дубликат ресурса с помощью кнопки Дублировать и с дубликатом выполнить желаемые действия. При импорте следующих версий пакета дубликат не будет обновлен, поскольку он уже представляет собой отдельный объект.

     Импортированные ресурсы, расположенные в папке "Integration" можно отредактировать, подобные ресурсы имеют пометку "Этот ресурс входит в пакет". К пакетному ресурсу, размещённому в папке "Integration", допускается добавление Словаря с типом «Таблица», добавление иных ресурсов не допускается. При импорте следующих версий пакета отредактированный ресурс не будет заменен на аналогичный ресурс из пакета, что позволит сохранить внесенные изменения.

4. Разрешите конфликты между импортированными из файла и существующими ресурсами, если они возникли. Подробнее о конфликтах ресурсов см. ниже.
   1. Если имя, тип и guid импортированных ресурсов полностью совпадает с именем, типом и guid существующего ресурса, открывается окно Конфликты с таблицей, в которой отображаются тип и имя конфликтующих ресурсов. Разрешите отображаемые конфликты:
      • Если вы хотите заменить существующий ресурс новым, нажмите Заменить.

        Нажмите Заменить все, чтобы заменить все конфликтующие ресурсы.

      • Если вы хотите оставить существующий ресурс, нажмите Пропустить.

        Для зависимых ресурсов - то есть привязанных к другим ресурсам - недоступна опция Пропустить, зависимые ресурсы можно только Заменить.

        Нажмите Пропустить все, чтобы сохранить все существующие ресурсы.

   2. Нажмите на кнопку Устранить.

   Ресурсы импортируются в KUMA. Ресурсы секретов импортируются пустыми.

Импорт ресурсов, использующих расширенную схему событий

Если вы импортируете нормализатор, использующий одно или несколько полей расширенной схемы событий, в KUMA будет автоматически создано поле расширенной схемы, использующееся в нормализаторе.

Если вы импортируете прочие типы ресурсов, использующих в своей логике поля расширенной схемы событий, ресурсы будут успешно импортированы. Для обеспечения работы импортированных ресурсов необходимо создать соответствующие поля расширенной схемы событий в ресурсе типа «нормализатор».

Если в KUMA будет импортирован нормализатор, использующий поле расширенной схемы событий и такое поле уже существует в KUMA, будет использовано созданное ранее поле.

О разрешении конфликтов

Когда ресурсы импортируются в KUMA из файла, программа сравнивает их с существующими ресурсами, сверяя следующие параметры:

• Имя и тип. Если имя и тип импортируемого ресурса совпадают с параметрами существующего ресурса, имя импортированного ресурса автоматически изменяется.
• Идентификатор. Если идентификаторы двух ресурсов совпадают, возникает конфликт, который должен разрешить пользователь. Такая ситуация может возникнуть, когда вы импортируете ресурсы на тот же сервер KUMA, с которого они были экспортированы.

При разрешении конфликта вы можете либо заменить существующий ресурс импортированным, либо оставить существующий ресурс.

Некоторые ресурсы связаны между собой: например, в некоторых типах коннекторов обязательно нужно указывать секрет коннектора. Секреты также импортируются, если они привязаны к коннектору. Такие связанные ресурсы экспортируются и импортируются вместе.

Особенности импорта:

1. Ресурсы импортируются в выбранный тенант.
2. Если связанный ресурс находился в Общем тенанте, при импорте он снова будет в Общем тенанте.
3. В окне Конфликты в столбце Родительский объект всегда отображается самый верхний родительский ресурс из выбранных при импорте.
4. Если во время импорта возникает конфликт, и вы выбираете замену существующего ресурса новым, все связанные с ним ресурсы также будут автоматически заменены импортированными ресурсами.

Известные ошибки:

1. Привязанный ресурс попадает в тенант, указанный при импорте, а не в Общий тенант, как указано в окне Конфликты, при следующих условиях:
   1. привязанный ресурс изначально находится в Общем тенанте;
   2. в окне Конфликты вы выбираете Пропустить для всех родительских объектов привязанного ресурса из Общего тенанта;
   3. привязанный ресурс из Общего тенанта оставляете для замены.
2. После выполнения импорта в фильтре у категорий не указан тенант при следующих условиях:
   1. фильтр содержит привязанные категории активов из разных тенантов;
   2. имена категорий активов одинаковы;
   3. вы импортируете этот фильтр с привязанными категориями активов на новый сервер.
3. В Тенант 1 дублируется имя категории активов при следующих условиях:
   1. в Тенант 1 у вас есть фильтр с привязанными категориями активов из Тенант 1 и Общего тенанта;
   2. имена привязанных категорий активов одинаковы;
   3. вы импортируете такой фильтр из Тенант 1 в Общий тенант.
4. Невозможно импортировать конфликтующие ресурсы в один тенант.

   Ошибка "Невозможно импортировать конфликтующие ресурсы в один тенант" означает, что в импортируемом пакете есть конфликтующие ресурсы из разных тенантов и их нельзя импортировать в Общий тенант.

   Решение: Выберите для импорта пакета другой тенант, не Общий. Тогда при импорте ресурсы, изначально расположенные в Общем тенанте, будут импортированы в Общий тенант, а ресурсы из другого тенанта — в выбранный при импорте тенант.

5. Только главный администратор может импортировать категории в Общий тенант.

   Ошибка "Только главный администратор может импортировать категории в Общий тенант" означает, что в импортируемом пакете есть ресурсы с привязанными общими категориями активов. Категории или ресурсы с привязанными общими категориями активов можно увидеть в журнале Ядра KUMA. Путь к журналу Ядра:

   /opt/kaspersky/kuma/core/log/core

   Решение. Выберите один из следующих вариантов:

   • Уберите из импорта ресурсы, к которым привязаны общие категории: снимите флажок рядом с соответствующими ресурсами.
   • Выполните импорт под учетной записью пользователя с правами Главного администратора.
6. Только главный администратор может импортировать ресурсы в Общий тенант.

   Ошибка "Только главный администратор может импортировать ресурсы в Общий тенант" означает, что в импортируемом пакете есть ресурсы с привязанными общими ресурсами. Ресурсы с привязанными общими ресурсами можно увидеть в журнале Ядра KUMA. Путь к журналу Ядра:

   /opt/kaspersky/kuma/core/log/core

   Решение. Выберите один из следующих вариантов:

   • Уберите из импорта ресурсы, к которым привязаны ресурсы из Общего тенанта, и сами общие ресурсы: снимите флажок рядом с соответствующими ресурсами.
   • Выполните импорт под учетной записью пользователя с правами Главного администратора.

Поиск ресурсов

Вы можете искать ресурсы по названию или тегам. Вы также можете искать ресурсы по всем их полям с помощью полнотекстового поиска. Для типа ресурсов Правила корреляции доступен полнотекстовый поиск по корреляторам, в которых правила используются. При поиске по фильтру будут найдены все ресурсы, которые его используют.

Поиск осуществляется только по последней версии ресурсов.

Чтобы найти нужные ресурсы:

1. В веб-интерфейсе KUMA в разделе Ресурсы выберите необходимый тип ресурсов.

   Откроется окно с таблицей доступных ресурсов этого типа.

   Если вы хотите просмотреть все ресурсы, в разделе Ресурсы перейдите на вкладку Список.

2. При необходимости, чтобы переключить режим поиска, нажмите на значок таблицы в верхней части таблицы ресурсов.

   Доступны поиск по названию, тегам и полнотекстовый поиск по всем полям ресурса. По умолчанию активен поиск по названию, тегам и корреляторам (только для правил корреляции).

   Вы можете определить, какой режим поиска активен, по тексту, который отображается в поле поиска по умолчанию.

3. В поле Поиск начните вводить текст поиска.

   Поиск инициируется во время ввода символов в поле и не чувствителен к регистру. В таблице отображаются только те ресурсы, которые удовлетворяют условиям поиска, и в нижней части таблицы отображается количество таких ресурсов.

   Для полнотекстового поиска результаты отсортированы по количеству слов в поисковой строке, найденных в полях ресурса, от большего к меньшему. KUMA выполняет поиск по JSON ресурса, если в нем указан другой ресурс, выполняет поиск по указанному ресурсу тоже. Если ресурс ссылается на другие ресурсы, KUMA также переходит в эти ресурсы и ищет по их содержимому.

4. Если вы хотите сбросить результат поиска, очистите поле Поиск или нажмите на значок .

Точки назначения

Точки назначения задают сетевые параметры для передачи нормализованных событий. Точки назначения используются в коллекторах и корреляторах для описания того, куда передавать обработанные события. В основном, в роли точек назначения выступают коррелятор и хранилище.

Параметры точек назначения указываются на двух вкладках: Основные параметры и Дополнительные параметры. Набор доступных параметров зависит от выбранного типа точки назначения:

• nats-jetstream – используется для коммуникации через NATS.
• tcp – используется для связи по протоколу TCP.
• http – используется для связи по протоколу HTTP.
• diode – используется для передачи событий с помощью диода данных.
• kafka – используется для коммуникаций с помощью kafka.
• file – используется для записи в файл.
• storage – используется для передачи данных в хранилище.
• correlator – используется для передачи данных в коррелятор.

Точка назначения, тип nats-jetstream

Тип nats-jetstream используется для коммуникации через NATS.

Вкладка Основные параметры

Вкладка Дополнительные параметры

Тип tcp

Тип tcp используется для связи по протоколу TCP.

Вкладка Основные параметры

Вкладка Дополнительные параметры

Тип http

Тип http используется для связи по протоколу HTTP.

Вкладка Основные параметры

Вкладка Дополнительные параметры

Тип diode

Тип diode используется для передачи событий с помощью диода данных.

Вкладка Основные параметры

Вкладка Дополнительные параметры

Тип kafka

Тип kafka используется для коммуникаций с помощью kafka.

Вкладка Основные параметры

Вкладка Дополнительные параметры

Тип file

Тип file используется для записи в файл.

При удалении точки назначения типа file, используемой в каком-либо сервисе, этот сервис необходимо перезапустить.

Вкладка Основные параметры

Вкладка Дополнительные параметры

Тип storage

Тип storage используется для передачи данных в хранилище.

Вкладка Основные параметры

Вкладка Дополнительные параметры

Тип correlator

Тип correlator используется для передачи данных в коррелятор.

Вкладка Основные параметры

Вкладка Дополнительные параметры

Предустановленные точки назначения

В поставку KUMA включены перечисленные в таблице ниже точки назначения.

Предустановленные точки назначения

Работа с событиями

В разделе События веб-интерфейса KUMA вы можете просматривать полученные программой события, чтобы расследовать угрозы безопасности или создавать правила корреляции. В таблице событий отображаются данные, полученные после выполнения SQL-запроса.

События можно отправлять в коррелятор для ретроспективной проверки.

Формат даты события зависит от языка локализации, выбранного в настройках программы. Возможные варианты формата даты:

• Английская локализация: ГГГГ-ММ-ДД.
• Русская локализация: ДД.ММ.ГГГГ.

Фильтрация и поиск событий

По умолчанию в разделе События веб-интерфейса KUMA данные не отображаются. Для просмотра событий в поле поиска нужно задать SQL-запрос и нажать на кнопку . SQL-запрос можно ввести вручную или сформировать с помощью конструктора запросов.

В SQL-запросах поддерживается агрегирование и группировка данных.

Вы можете осуществлять поиск событий по нескольким хранилищам. Например, таким образом вы можете выполнять поиск событий, чтобы определить, где учетная запись блокируется, или на какой URL с каких IP-адресов был выполнен вход. Пример запроса для поиска событий заблокированной учетной записи:

SELECT * FROM `events` WHERE DestinationUserName = 'username' AND DeviceEventClassID = '4625' LIMIT 250

Чтобы выполнить поиск событий по нескольким хранилищам, установите флажки рядом с нужным хранилищем в раскрывающемся списке в разделе События.

Хранилище отображается в списке, если тенант, которому принадлежит хранилище, включен в фильтре тенантов, и если у пользователя есть роль с правами на чтение событий в этом тенанте. Выбранные хранилища будут указаны в запросе через точку с запятой. Если количество выбранных хранилищ больше, чем можно отобразить в поле, в запросе будет отображаться количество выбранных хранилищ. Если в раскрывающемся списке хранилищ выбрано только одно хранилище не из Main тенанта, фильтр тенантов влияет на отображаемый список хранилищ, KUMA меняет выбор пользователя и одно из хранилищ тенанта Main становится выбранным.

Допускается простой запрос по всем выбранным хранилищам, как в примере выше. Если при выполнении запроса недоступно хотя бы одно из выбранных хранилищ, KUMA вернет ошибку.

Ограничения для поиска событий по нескольким хранилищам:

• При выполнении запроса к нескольким хранилищам недоступен экспорт в TSV, ретроспективная проверка и запросы REST API.
• В SELECT могут быть только * и/или названия полей события. Алиасы, функции, выражения не допускаются.
• В ORDER BY могут быть также только поля события (без функций, констант, выражений и тд). Если такого поля нет в списке полей SELECT, то поле будет добавляться автоматически при отправке на конкретный кластер. ORDER BY ClusterID задать невозможно.
• GROUP BY недоступно.

Сложные запросы с группировками и агрегацией допускаются для одного выбранного хранилища.

Вы можете добавить условия фильтрации в уже сформированный SQL-запрос в окне просмотра статистики, таблицы событий и области деталей событий:

• Изменение запроса из окна статистики

  Чтобы изменить параметры фильтрации из окна Статистика:

  1. Откройте область деталей Статистика одним из следующих способов:
     • В правом верхнем углу таблицы событий в раскрывающемся списке выберите Статистика.
     • В таблице событий нажмите на любое значение и в открывшемся контекстном меню выберите Статистика.

     В правой части окна откроется область деталей Статистика.

  2. Откройте раскрывающийся список необходимого параметра и наведите курсор мыши на требуемое значение.
  3. С помощью значков плюса и минуса измените параметры фильтрации, выполнив одно из следующих действий:
     • Если вы хотите включить в выборку событий только события с выбранным значением, нажмите .
     • Если вы хотите исключить из выборки событий все события с выбранным значением, нажмите .

  В результате параметры фильтрации и таблица событий будут обновлены, а в верхней части экрана отобразится измененный поисковый запрос.

• Изменение запроса из таблицы событий

  Чтобы изменить параметры фильтрации из таблицы событий:

  1. В разделе События веб-интерфейса KUMA нажмите на любое значение параметра события в таблице событий.
  2. В открывшемся меню выберите один из следующих вариантов:
     • Если вы хотите оставить в таблице только события с выбранным значением, выберите Искать события с этим значением.
     • Если вы хотите исключить из таблицы все события с выбранным значением, выберите Искать события без этого значения.

  В результате параметры фильтрации и таблица событий обновляются, а в верхней части экрана отображается измененный поисковый запрос.

• Изменение запроса из области деталей события

  Чтобы изменить параметры фильтрации в области деталей события:

  1. В разделе События веб-интерфейса KUMA нажмите на нужное событие.

     В правой части окна откроется область деталей Информация о событии.

  2. Измените параметры фильтрации, используя значки плюса или минуса рядом с необходимыми параметрами:
     • Если вы хотите включить в выборку событий только события с выбранным значением, нажмите .
     • Если вы хотите исключить из выборки событий все события с выбранным значением, нажмите .

  В результате параметры фильтрации и таблица событий будут обновлены, а в верхней части экрана отобразится измененный поисковый запрос.

После изменения запроса все параметры запроса, включая добавленные условия фильтрации, переносятся в конструктор и строку поиска.

Параметры запроса, введенного вручную в строке поиска, при переключении на конструктор не переносятся в конструктор: вам требуется создать запрос заново. При этом запрос, созданный в конструкторе, не перезаписывает запрос, введенный в строке поиска, пока вы не нажмете на кнопку Применить в окне конструктора.

В поле ввода SQL-запроса можно включить отображение непечатаемых символов.

События можно также фильтровать по временному периоду. Результаты поиска можно автоматически обновлять.

Конфигурацию фильтра можно сохранить. Существующие конфигурации фильтров можно удалить.

Функции фильтрации доступны пользователям всех ролей.

При обращении к некоторым полям событий с идентификаторами KUMA возвращает соответствующие им названия.

Подробнее об SQL см. в справке ClickHouse. Также об SQL-операторах и функциях, поддерживаемых в KUMA, см. использование операторов в KUMA и поддерживаемые функции.

Выбор хранилища

События, которые отображаются в веб-интерфейсе KUMA в разделе События, получены из хранилища (то есть кластера ClickHouse). В зависимости от потребностей вашей компании у вас может быть более одного хранилища, однако для получения событий необходимо указывать, события из какого именно хранилища вам требуются.

Чтобы выбрать хранилище, из которого вы хотите получать события,

В разделе События веб-интерфейса KUMA откройте раскрывающийся список и выберите нужный кластер хранилища.

В таблице событий отображаются события из указанного хранилища. Имя выбранного хранилища отображается в раскрывающемся списке .

В раскрывающемся списке отображаются только кластеры тенантов, доступных пользователю, а также кластер главного тенанта.

Формирование SQL-запроса с помощью конструктора

В KUMA вы можете сформировать SQL-запрос для фильтрации событий с помощью конструктора запросов.

Чтобы сформировать SQL-запрос с помощью конструктора:

1. В разделе События веб-интерфейса KUMA нажмите на кнопку .

   Откроется окно конструктора запросов.

2. Сформулируйте поисковый запрос, указав данные в следующих блоках параметров:

   SELECT – поля событий, которые следует возвращать. По умолчанию выбрано значение *, означающее, что необходимо возвращать все доступные поля события. Чтобы вам проще было просматривать результаты поиска, в раскрывающемся списке вы можете выбрать необходимые поля, тогда в таблице будут отображаться данные только для выбранных полей. Стоит учитывать, что Select * в запросе увеличивает длительность выполнения запроса, но избавляет от необходимости прописывать поля в запросе вручную.

   Выбрав поле события, вы можете в поле справа от раскрывающегося списка указать псевдоним для столбца выводимых данных, а в крайнем правом раскрывающемся списке можно выбрать операцию, которую следует произвести над данными: count, max, min, avg, sum.

   Если вы используете в запросе функции агрегации, настройка отображения таблицы событий, сортировка событий по возрастанию и убыванию, а также получение статистики недоступны.

   В режиме расследования алерта при фильтрации по событиям, связанным с алертами, невозможно производить операции над данными полей событий и присваивать названия столбцам выводимых данных.

   • FROM – источник данных. Выберите значение events.
   • WHERE – условия фильтрации событий.

     Условия и группы условий можно добавить с помощью кнопок Добавить условие и Добавить группу. По умолчанию в группе условий выбрано значение оператора AND, однако если на него нажать, оператор можно изменить. Доступные значения: AND, OR, NOT. Структуру условий и групп условий можно менять, перетаскивая выражения с помощью мыши за значок .

     Добавление условий фильтра:

     1. В раскрывающемся списке слева выберите поле события, которое вы хотите использовать для фильтрации.
     2. В среднем раскрывающемся списке выберите нужный оператор. Доступные операторы зависят от типа значения выбранного поля события.
     3. Введите значение условия. В зависимости от выбранного типа поля вам потребуется ввести значение вручную, выбрать его в раскрывающемся списке или выбрать в календаре.

     Условия фильтра можно удалить с помощью кнопки . Группы условий удаляются с помощью кнопки Удалить группу.

   • GROUP BY – поля событий или псевдонимы, по которым следует группировать возвращаемые данные.

     Если вы используете в запросе группировку данных, настройка отображения таблицы событий, сортировка событий по возрастанию и убыванию, получение статистики, а также ретроспективная проверка недоступны.

     В режиме расследования алерта при фильтрации по событиям, связанным с алертами, невозможно группировать возвращаемые данные.

   • ORDER BY – столбцы, по которым следует сортировать возвращаемые данные. В раскрывающемся списке справа можно выбрать порядок: DESC – по убыванию, ASC – по возрастанию.
   • LIMIT – количество отображаемых в таблице строк.

     Значение по умолчанию – 250.

     Если при фильтрации событий по пользовательскому периоду количество строк в результатах поиска превышает заданное значение, вы можете отобразить в таблице дополнительные строки, нажав на кнопку Показать больше записей. Кнопка не отображается при фильтрации событий по стандартному периоду.

3. Нажмите на кнопку Применить.

   Текущий SQL-запрос будет перезаписан. В поле поиска отобразится сформированный SQL-запрос.

   Если вы хотите сбросить настройки конструктора, нажмите на кнопку Запрос по умолчанию.

   Если вы хотите закрыть конструктор, не перезаписывая существующий запрос, нажмите на кнопку .

4. Для отображения данных в таблице нажмите на кнопку .

В таблице отобразятся результаты поиска по сформированному SQL-запросу.

При переходе в другой раздел веб-интерфейса сформированный в конструкторе запрос не сохраняется. Если вы повторно вернетесь в раздел События, в конструкторе будет отображаться запрос по умолчанию.

Подробнее об SQL см. в справке ClickHouse. Также см. использование операторов в KUMA и поддерживаемые функции.

Создание SQL-запроса вручную

С помощью строки поиска вы можете вручную создавать SQL-запросы любой сложности для фильтрации событий.

Чтобы сформировать SQL-запрос вручную:

1. Перейдите в раздел События веб-интерфейса KUMA.

   Откроется форма с полем ввода.

2. Введите SQL-запрос в поле ввода. В запросах следует использовать одинарные кавычки.
3. Нажмите на кнопку .

Отобразится таблица событий, соответствующих условиям вашего запроса. При необходимости вы можете отфильтровать события по периоду.

Поддерживаемые функции и операторы

• SELECT – поля событий, которые следует возвращать.

  Для SELECT в программе поддержаны следующие функции и операторы:

  • Функции агрегации: count, avg, max, min, sum.
  • Арифметические операторы: +, -, *, /, <, >, =, !=, >=, <=.

    Вы можете комбинировать эти функции и операторы.

    Если вы используете в запросе функции агрегации, настройка отображения таблицы событий, сортировка событий по возрастанию и убыванию, а также получение статистики недоступны.

• DISTINCT – используется для удаления дубликатов из результирующего набора оператора SELECT. Следует использовать нотацию типа SELECT DISTINCT SourceAddress as Addressess FROM <остальная часть запроса>.
• FROM – источник данных.

  При создании запроса в качестве источника данных вам нужно указать значение events.

• WHERE – условия фильтрации событий.
  • AND, OR, NOT, =, !=, >, >=, <, <=
  • IN
  • BETWEEN
  • LIKE
  • ILIKE
  • inSubnet
  • match (в запросах используется синтаксис регулярных выражений re2, специальные символы требуется дополнительно экранировать с помощью обратной косой черты (\))
• GROUP BY – поля событий или псевдонимы, по которым следует группировать возвращаемые данные.

  Если вы используете в запросе группировку данных, настройка отображения таблицы событий, сортировка событий по возрастанию и убыванию, получение статистики, а также ретроспективная проверка недоступны.

• ORDER BY – столбцы, по которым следует сортировать возвращаемые данные.

  Возможные значения:

  • DESC – по убыванию.
  • ASC – по возрастанию.
• OFFSET – пропуск указанного количества строк перед выводом результатов запроса.
• LIMIT – количество отображаемых в таблице строк.

  Значение по умолчанию – 250. Вы можете указать произвольное значение.

  Если при фильтрации событий по пользовательскому периоду количество строк в результатах поиска превышает заданное значение, вы можете отобразить в таблице дополнительные строки, нажав на кнопку Показать больше записей. Кнопка не отображается при фильтрации событий по стандартному периоду.

  Примеры запросов: SELECT * FROM `events` WHERE Type IN ('Base', 'Audit') ORDER BY Timestamp DESC LIMIT 250 Все события таблицы events с типом Base и Audit, отсортированные по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250. SELECT * FROM `events` WHERE BytesIn BETWEEN 1000 AND 2000 ORDER BY Timestamp ASC LIMIT 250 Все события таблицы events, для которых в поле BytesIn значение полученного трафика находится в диапазоне от 1000 до 2000 байт, отсортированные по столбцу Timestamp в порядке возрастания. Количество отображаемых в таблице строк – 250. SELECT * FROM `events` WHERE Message LIKE '%ssh:%' ORDER BY Timestamp DESC LIMIT 250 Все события таблицы events, которые в поле Message содержат данные, соответствующие заданному шаблону %ssh:% в нижнем регистре, и отсортированы по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250. SELECT * FROM `events` WHERE inSubnet(DeviceAddress, '00.0.0.0/00') ORDER BY Timestamp DESC LIMIT 250 Все события таблицы events для хостов, которые входят в подсеть 00.0.0.0/00, отсортированные по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250. SELECT * FROM `events` WHERE match(Message, 'ssh.*') ORDER BY Timestamp DESC LIMIT 250 Все события таблицы events, которые в поле Message содержат текст, соответствующий шаблону ssh.*, и отсортированы по столбцу Timestamp в порядке убывания. Количество отображаемых в таблице строк – 250. SELECT max(BytesOut) / 1024 FROM `events` Максимальный размер исходящего трафика (КБ) за выбранный период времени. SELECT count(ID) AS "Count", SourcePort AS "Port" FROM `events` GROUP BY SourcePort ORDER BY Port ASC LIMIT 250 Количество событий и номер порта. События сгруппированы по номеру порта и отсортированы по столбцу Port в порядке возрастания. Количество отображаемых в таблице строк – 250. Столбцу ID в таблице событий присвоено имя Count, столбцу SourcePort присвоено имя Port.

Если вы хотите указать в запросе специальный символ, вам требуется экранировать его, поместив перед ним обратную косую черту (\).

При создании нормализатора для событий вы можете выбрать, сохранять ли значения полей исходного события. Данные сохраняются в поле события Extra. Поиск событий по этому полю осуществляется с помощью оператора LIKE.

Если вы создали SQL-запрос вручную в строке поиска и затем переключились на конструктор, параметры запроса не перенесутся в конструктор: вам потребуется создать запрос в конструкторе заново. При этом запрос, созданный в конструкторе, не перезаписывает запрос, введенный в строке поиска, пока вы не нажмете на кнопку Применить в окне конструктора. Если вы создали запрос в конструкторе и затем переключились на поисковую строку, параметры запроса перенесутся автоматически.

Используемые в поисковых запросах псевдонимы не должны содержать пробелов.

Подробнее об SQL см. в справке ClickHouse. Также см. поддерживаемые функции ClickHouse.

Фильтрация событий по периоду

В KUMA вы можете настроить отображение событий, относящихся к определенному временному периоду.

Чтобы отфильтровать события по периоду:

1. В разделе События веб-интерфейса KUMA в верхней части окна откройте раскрывающийся список Период.
2. Если вы хотите выполнить фильтрацию по стандартному периоду, выберите один из следующих вариантов:
   • 5 минут
   • 15 минут
   • 1 час
   • 24 часа
   • В течение периода

     При выборе этого варианта в открывшемся календаре выберите дату начала и окончания периода и нажмите Применить фильтр. Формат даты и времени зависит от настроек вашей операционной системы. При необходимости вы также можете изменить значения даты вручную.

3. Нажмите на кнопку .

Если установлен фильтр по периоду, отобразятся только события, зарегистрированные в течение указанного интервала времени. Период отобразится в верхней части окна.

Вы также можете настроить отображение событий с помощью гистограммы событий, которая отображается при нажатии на кнопку в верхней части раздела События. События отобразятся, если нажать на нужный ряд данных или выделить требуемый период времени и нажать на кнопку Показать события.

Отображение названий вместо идентификаторов

При обращении к некоторым полям событий, содержащих идентификаторы, KUMA возвращает не идентификаторы, а соответствующие им названия. Это сделано для удобства восприятия информации. Например, если вы обратитесь к полю события TenantID (в который записывается идентификатор тенанта), вы получите значение из поля событий TenantName (в которое записывается название тенанта).

При экспорте событий в файл записываются значения из обоих полей: и с идентификатором, и с названием.

В таблице ниже перечислены поля, при обращении к которым происходит замена:

Замена не происходит, если в SQL-запросе полю присвоен псевдоним. Примеры:

• SELECT TenantID FROM `events` LIMIT 250 – в результате поиска в поле TenantID будет отображаться название тенанта.
• SELECT TenantID AS Tenant_name FROM `events` LIMIT 250 – в результате поиска в поле Tenant_name будет отображаться идентификатор тенанта.

Пресеты

Вы можете использовать

пресеты

Пресет – это предварительно заданный набор полей событий, который можно использовать для упрощения работы с запросами.

Чтобы создать пресет:

1. В разделе События нажмите на значок .
2. В открывшемся окне на вкладке Столбцы полей событий выберите необходимые поля.

   Для упрощения поиска можно начать набирать название поля в области Поиск. 

3. Чтобы сохранить выбранные поля, нажмите Сохранить текущий пресет.

   Откроется окно Новый пресет.

4. В открывшемся окне укажите Название пресета и выберите Тенанта в раскрывающемся списке.
5. Нажмите Сохранить.

   Пресет создан и сохранен.

Чтобы применить пресет:

1. В поле ввода запроса введите Select *.
2. В разделе События веб-интерфейса KUMA нажмите на значок   .
3. В открывшемся окне на вкладке Пресеты выберите нужный пресет и нажмите на кнопку .

   Поля из выбранного пресета будут добавлены в поле с SQL-запросом, а столбцы будут добавлены в таблицу. В конструкторе запросов изменений не произойдет.

4. Нажмите на кнопку , чтобы выполнить запрос.

   После выполнения запроса столбцы будут заполнены.

Ограничение сложности запросов в режиме расследования алерта

При расследовании алерта сложность SQL-запросов для фильтрации событий ограничена, если при расследовании алерта в раскрывающемся списке выбран пункт События алерта. В этом случае для фильтрации событий доступны только перечисленные ниже функции и операторы.

При выборе в раскрывающемся списке пункта Все события эти ограничения не действуют.

• SELECT
  • В качестве символа подстановки используется *.
• WHERE
  • AND, OR, NOT, =, !=, >, >=, <, <=
  • IN
  • BETWEEN
  • LIKE
  • inSubnet

  Примеры:

  • WHERE Type IN ('Base', 'Correlated')
  • WHERE BytesIn BETWEEN 1000 AND 2000
  • WHERE Message LIKE '%ssh:%'
  • WHERE inSubnet(DeviceAddress, '10.0.0.1/24')
• ORDER BY

  Сортировка возможна по столбцам.

• OFFSET

  Пропуск указанного количества строк перед выводом результатов запроса.

• LIMIT

  Значение по умолчанию – 250.

  Если при фильтрации событий по пользовательскому периоду количество строк в результатах поиска превышает заданное значение, вы можете отобразить в таблице дополнительные строки, нажав на кнопку Показать больше записей. Кнопка не отображается при фильтрации событий по стандартному периоду.

В режиме расследования алерта при фильтрации по событиям, связанным с алертами, невозможно производить операции над данными полей событий и присваивать названия столбцам выводимых данных.

Сохранение и выбор конфигураций фильтра событий

В KUMA вы можете сохранять конфигурации фильтров для использования в будущем. Другие пользователи также могут использовать сохраненные фильтры при условии, что у них есть соответствующие права доступа. При сохранении фильтра вы сохраняете настроенные параметры сразу всех активных фильтров: фильтр по периоду, конструктору запросов и параметры таблицы событий. Поисковые запросы сохраняются на сервере Ядра KUMA и доступны всем пользователям KUMA выбранного тенанта.

Чтобы сохранить текущие настройки фильтра, запроса и периода:

1. В разделе События веб-интерфейса KUMA нажмите на значок рядом с выражением фильтра и выберите Сохранить текущий фильтр.
2. В открывшемся окне в поле Название введите название конфигурации фильтра. Название должно содержать до 128 символов в кодировке Unicode.
3. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать создаваемый фильтр.
4. Нажмите Сохранить.

Конфигурация фильтра сохранена.

Чтобы выбрать ранее сохраненную конфигурацию фильтра:

в разделе События веб-интерфейса KUMA нажмите на значок рядом с выражением фильтра и выберите нужный фильтр.

Выбранная конфигурация активна: в поле поиска отображается поисковый запрос, в верхней части окна настроенные параметры периода и частоты обновления результатов поиска. Для отправки поискового запроса нажмите на кнопку .

Если нажать на значок рядом с названием конфигурации фильтра, она станет использоваться в качестве конфигурации по умолчанию.

Удаление конфигураций фильтра событий

Чтобы удалить ранее сохраненную конфигурацию фильтра:

1. В разделе События веб-интерфейса KUMA нажмите на значок рядом с поисковым запросом фильтра и нажмите значок рядом с конфигурацией, которую требуется удалить.
2. Нажмите ОК.

Конфигурация фильтра удалена для всех пользователей KUMA.

Поддерживаемые функции ClickHouse

В KUMA поддерживаются следующие функции ClickHouse:

• Арифметические функции.
• Массивы.
• Функции сравнения.
• Логические функции.
• Функции преобразования типов.
• Функции для работы с датами и временем.
• Функции для работы со строками.
• Функции поиска в строках.
• Условные функции: только обычный оператор if, тернарный оператор не поддерживается.
• Математические функции.
• Функции округления.
• Функции разбиения и слияния строк и массивов.
• Битовые функции.
• Функции для работы с UUID.
• Функции для работы с URL.
• Функции для работы с IP-адресами.
• Функции для работы с Nullable-аргументами.
• Функции для работы с географическими координатами.

Функции из остальных разделов не поддерживаются.

Подробнее об SQL см. в справке ClickHouse.

Просмотр информации о событии

Чтобы просмотреть информацию о событии:

1. В окне веб-интерфейса программы выберите раздел События.
2. Выполните поиск событий с помощью конструктора запросов или введя запрос в строке поиска.

   Отобразится таблица событий.

3. Выберите событие, информацию о котором вы хотите просмотреть.

   Откроется окно с информацией о событии.

В правой части окна отображается область деталей Информация о событии со списком параметров события и их значений. В этой области деталей можно:

• Включить выбранное поле в поиск или исключить его из поиска, нажав на и рядом со значением параметра.
• По хешу файла в поле FileHash раскрывается список, в котором вы можете выбрать одно из следующих действий:
  • Показать информацию из Threat Lookup.

    Доступно при интеграции с Kaspersky Threat Intelligence Portal.

  • Добавить в Internal TI CyberTrace.
  • Доступно при интеграции с Kaspersky CyberTrace.
• Открыть окно со сведениями об активе, если он упоминается в полях события и зарегистрирован в приложении.
• По ссылке с именем коллектора в поле Service вы можете просмотреть параметры сервиса, зарегистрировавшего событие.

  Вы также можете привязать событие к алерту, если программа находится в режиме расследования алерта, и открыть окно Информация о корреляционном событии, если выбранное событие является корреляционным.

В области деталей Информация о событии в качестве значений перечисленных ниже параметров вместо идентификатора показывается название описываемого объекта. При этом, если изменить фильтрацию событий по этому параметру (например, нажать на значок , чтобы исключить из результатов поиска события с определенной комбинацией параметр-значение), в SQL-запрос будет добавлен идентификатор объекта, а не его название:

• TenantID
• SeriviceID
• DeviceAssetID
• SourceAssetID
• DestinationAssetID
• SourceAccountID
• DestinationAccountID

Экспорт событий

Из KUMA можно экспортировать информацию о событиях в TSV-файл. Выборка событий, которые будут экспортированы в TSV-файл, зависит от настроек фильтра. Информация экспортируется из столбцов, которые в этот момент отображаются в таблице событий, при этом столбцы в файле наполняются доступными данными, даже если в таблице событий в веб-интерфейсе KUMA они не отображались из-за особенностей SQL-запроса.

Чтобы экспортировать информацию о событиях:

1. В разделе События веб-интерфейса KUMA откройте раскрывающийся список и выберите Экспортировать в формат TSV.

   Новая задача экспорта TSV-файла создается в разделе Диспетчер задач.

2. Найдите созданную вами задачу в разделе Диспетчер задач.

   Когда файл будет готов к загрузке, в строке задачи в столбце Статус отобразится значок .

3. Нажмите на название типа задачи и в раскрывающемся списке выберите Загрузить.

   TSV-файл с информацией о событиях будет загружен с использованием настроек вашего браузера. Имя файла по умолчанию: event-export-<date>_<time>.tsv.

Файл сохраняется в соответствии с настройками вашего веб-браузера.

Настройка таблицы событий

В разделе События отображаются ответы на SQL-запросы пользователя, представленные в виде таблицы. Поля, выбранные в пользовательском запросе, отображаются в конце таблицы, после столбцов по умолчанию. Таблицу можно обновлять.

Следующие столбцы в таблице событий отображаются по умолчанию:

• Тенант.
• Timestamp.
• Name.
• DeviceProduct.
• DeviceVendor.
• DestinationAddress.
• DestinationUserName.

В KUMA можно настроить отображаемый набор полей событий и порядок их отображения. Выбранную конфигурацию можно сохранить.

При использовании для фильтрации событий SQL-запросов с группировкой и агрегацией данных статистика недоступна, а состав и порядок столбцов зависит от SQL-запроса.

В таблице событий, в области деталей событий, в окне алертов, а также в виджетах в качестве значений полей SourceAssetID, DestinationAssetID, DeviceAssetID, SourceAccountID, DestinationAccountID и ServiceID вместо идентификаторов отображаются названия активов, учетных записей или сервисов. При экспорте событий в файл идентификаторы сохраняются, однако в файл добавляются столбцы с названиями. Идентификаторы также отображаются при наведении указателя мыши на названия активов, учетных записей или сервисов.

Поиск по полям с идентификаторами возможен только с помощью идентификаторов.

Чтобы настроить поля, отображаемые в таблице событий:

1. В правом верхнем углу таблицы событий нажмите значок .

   Откроется окно для выбора полей событий, которые требуется отображать в таблице событий.

2. Установите флажки напротив полей, которые требуется отображать в таблице. С помощью поля Поиск можно найти нужные поля.

   Вы можете отобразить в таблице любое поле события из модели данных событий KUMA и расширенной схемы событий. Параметры Timestamp (Время) и Name (Название) всегда отображаются в таблице. С помощью кнопки По умолчанию можно вернуть исходные настройки отображения таблицы событий.

   Когда вы устанавливаете флажок, таблица событий обновляется и добавляется новый столбец. При снятии флажка столбец исчезает.

   Столбец можно удалить из таблицы событий, если нажать на его заголовок и в раскрывающемся списке выбрать Скрыть столбец.

3. При необходимости измените порядок отображения столбцов, перетаскивая заголовки столбцов в таблице событий.
4. Если вы хотите сортировать события по определенному столбцу, нажмите на его заголовок и в раскрывающемся списке выберите один из вариантов: По возрастанию или По убыванию.

Выбранные поля событий отобразятся в таблице раздела События в качестве столбцов в указанном вами порядке.

Обновление таблицы событий

Таблицу событий можно обновлять, перегружая страницу веб-браузера. Можно также настроить автоматическое обновление таблицы событий, установив частоту обновления. По умолчанию автоматическое обновление отключено.

Чтобы включить автоматическое обновление,

Выберите частоту обновления в раскрывающемся списке :

• 5 секунд
• 15 секунд
• 30 секунд
• 1 минута
• 5 минут
• 15 минут

Таблица событий обновляется автоматически.

Чтобы выключить автоматические обновление,

Выберите Не обновлять в раскрывающемся списке .

Получение статистики по событиям в таблице

Вы можете получить статистику по текущей выборке событий, отображаемой в таблице событий. Выборка событий зависит от параметров фильтрации.

Чтобы получить статистику:

в правом верхнем углу таблицы событий в раскрывающемся списке выберите Статистика или в таблице событий нажмите на любое значение и в открывшемся контекстном меню выберите Статистика.

Появится область деталей Статистика со списком параметров текущей выборки событий. Числа возле каждого параметра указывают количество событий в выборке, для которых задан этот параметр. Если параметр раскрыть, отображается его пять наиболее частых значений. С помощью поля Поиск можно найти нужные параметры.

В отказоустойчивой конфигурации для всех полей событий, которые содержат FQDN Ядра, в разделе Статистика будет отображаться не FQDN, а "core".

В окне Статистика можно менять фильтр событий.

При использовании для фильтрации событий SQL-запросов с группировкой и агрегацией данных статистика недоступна.

Просмотр информации о корреляционном событии

Вы можете просматривать подробные сведения о корреляционном событии в окне Информация о корреляционном событии.

Чтобы просмотреть информацию о корреляционном событии:

1. В разделе События веб-интерфейса KUMA нажмите на корреляционное событие.

   Вы можете использовать фильтры для поиска корреляционных событий, присвоив значение correlated параметру Type.

   Откроется область деталей выбранного события. Если выбранное событие является корреляционным, в нижней части области деталей будет отображаться кнопка Подробные сведения.

2. Нажмите на кнопку Подробные сведения.

Откроется окно корреляционного события. Название события отображается в левом верхнем углу окна.

В разделе Информация о корреляционном событии окна корреляционного события отображаются следующие данные:

• Уровень важности корреляционного события  – важность корреляционного события.
• Правило корреляции – название правила корреляции, которое породило корреляционное событие. Название правила представлено в виде ссылки, по которой можно перейти к настройкам этого правила корреляции.
• Уровень важности правила корреляции – важность правила корреляции, вызвавшего корреляционное событие.
• Идентификатор правила корреляции – идентификатор правила корреляции, которое породило корреляционное событие.
• Тенант – название тенанта, которому принадлежит корреляционное событие.

Раздел Связанные события окна корреляционного события содержит таблицу событий, относящихся к корреляционному событию. Это базовые события, в результате обработки которых было создано корреляционное событие. При выборе события в правой части окна веб-интерфейса открывается область деталей.

Ссылка Найти в событиях справа от заголовка раздела используется для расследования алерта.

Раздел Связанные активы окна корреляционного события содержит таблицу узлов, относящихся к корреляционному событию. Эта информация поступает из базовых событий, связанных с корреляционным событием. При нажатии на название актива открывается окно Информация об активе.

Раздел Связанные пользователи окна корреляционного события содержит таблицу пользователей, относящихся к корреляционному событию. Эта информация поступает из базовых событий, связанных с корреляционным событием.

Нормализаторы

Нормализаторы предназначены для приведения исходных событий, которые поступают из разных источников в разных форматах, к модели данных событий KUMA. Нормализованные события становятся доступны для обработки другими ресурсами и сервисами KUMA.

Нормализатор состоит из основного и необязательных дополнительных правил парсинга событий. С помощью создания основного и множества дополнительных правил парсинга можно реализовать сложную логику обработки событий. Данные передаются по древовидной структуре правил парсинга в зависимости от условий, заданных в параметре

Нормализация событий теперь доступна в следующих вариантах:

• 1 коллектор - 1 нормализатор

  Мы рекомендуем использовать такой способ, если у вас много событий одного типа или много IP-адресов, откуда могут приходить события одного типа. Можно настроить один коллектор только с одним нормализатором и это будет оптимально с точки зрения производительности.

• 1 коллектор - несколько нормализаторов с привязкой к IP

  Такой способ доступен для коллекторов с коннектором типа UDP, TCP, HTTP. Если в коллекторе на шаге Транспорт указан коннектор UDP, TCP, HTTP, на шаге Парсинг событий на вкладке Настройки парсинга вы можете задать несколько IP-адресов и указать, какой нормализатор использовать для событий, поступающих с заданных адресов. Доступны следующие типы нормализаторов: json, cef, regexp, syslog, csv, kv, xml. Для нормализаторов типа Syslog и regexp вы можете задать дополнительные условия нормализации в зависимости от значения поля DeviceProcessName.

Нормализатор создается в несколько этапов:

1. Подготовка к созданию нормализатора

   Нормализатор можно создать в веб-интерфейсе KUMA:

   • В разделе Ресурсы → Нормализаторы.
   • При создании коллектора на шаге Парсинг событий.

   Затем в нормализаторе необходимо создать правила парсинга.

2. Создание основного правила парсинга событий

   Основное правило парсинга создается с помощью кнопки Добавить парсинг событий. При этом открывается окно Парсинг событий, в котором вы можете задать параметры основного правила парсинга:

   • Задать параметры парсинга событий.
   • Задать параметры обогащения событий.

   Основное правило парсинга событий отображается в нормализаторе в виде темного кружка. Параметры основного правила парсинга можно просмотреть или изменить, нажав на его кружок. При наведении на кружок отображается значок плюса: при нажатии на него можно добавить дополнительные правила парсинга.

   Название основного правила парсинга используется в KUMA в качестве названия нормализатора.

3. Создание дополнительных правил парсинга событий

   При нажатии на значок плюса, который отображается при наведении указателя мыши на кружок или блок, обозначающей нормализатор событий, откроется окно Дополнительный парсинг событий, в котором вы можете задать параметры дополнительного правила парсинга:

   • Определить условия, при которых данные будут поступать в новый нормализатор.
   • Задать параметры парсинга событий.
   • Задать параметры обогащения событий.

   Дополнительное правило парсинга событий отображается в нормализаторе виде темного блока. На блоке указаны условия, при котором дополнительное правило парсинга будет задействовано, название дополнительного правила парсинга, а также поле события, при наличии которого данные передаются в нормализатор. Параметры дополнительного правила парсинга можно просмотреть или изменить, нажав его блок.

   Если навести указатель мыши на дополнительный нормализатор, отобразится кнопка со значком плюса, с помощью которой можно создать новое дополнительное правило парсинга событий. С помощью кнопки со значком корзины нормализатор можно удалить.

4. Завершение создания нормализатора

   Создание нормализатора завершается нажатием кнопки Сохранить.

В верхнем правом углу в поле поиска можно искать дополнительные правила парсинга по названию.

Для ресурсов нормализатора в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов.

Если вы, меняя параметры набора ресурсов коллектора, измените или удалите преобразования в подключенном к нему нормализаторе, правки не сохранятся, а сам нормализатор может быть поврежден. При необходимости изменить преобразования в нормализаторе, который уже является частью сервиса, вносите правки непосредственно в нормализатор в разделе веб-интерфейса Ресурсы → Нормализаторы.

Параметры парсинга событий

Развернуть всё | Свернуть всё

При создании правил парсинга событий в окне параметров нормализатора на вкладке Схема нормализации вы можете настроить правила приведения поступающих событий к формату KUMA. Доступные параметры парсинга событий описаны в таблице ниже.

Доступные параметры парсинга событий

Расширенная схема события

При нормализации событий, помимо полей стандартной схемы событий KUMA, могут быть использованы поля расширенной схемы событий. При использовании полей расширенной схемы событий сохраняется общее ограничение для максимального размера события обрабатываемого коллектором - 4 МБ. Информация о типах полей расширенной схемы событий приведена в таблице ниже.

Использование значительного количества уникальных полей расширенной схемы событий может привести к снижению производительности системы, увеличению объёма дискового пространства, необходимого для хранения событий и сложности восприятия данных.

Мы рекомендуем предварительно продумать и сформировать минимально необходимый набор дополнительных полей расширенной схемы событий и использовать его в нормализаторах и корреляции.

Чтобы использовать поля расширенной схемы событий:

1. Откройте существующий или создайте новый нормализатор.
2. Заполните основные параметры нормализатора.
3. Нажмите на кнопку Добавить строку.
4. В параметре Исходные данные укажите название исходного поля в сыром событии.
5. В параметре Поле KUMA укажите имя создаваемого поля расширенной схемы событий.

   Поля расширенной модели данных нормализованного события

   Название поля Указывается в параметре Поле KUMA	Тип данных	Доступность в нормализаторе	Описание
   S.<имя поля>	Строка	Все типы	Поле с типом «Строка».
   N.<имя поля>	Число	Все типы	Поле с типом «Число».
   F.<имя поля>	Число с плавающей точкой	Все типы	Поле с типом «Число с плавающей точкой».
   SA.<имя поля>	Массив строк	KV, JSON	Поле с типом «Массив строк». Порядок элементов массива соответствует порядку элементов сырого события.
   NA.<имя поля>	Массив целых чисел	KV, JSON	Поле с типом «Массив целых чисел». Порядок элементов массива соответствует порядку элементов сырого события.
   FA.<имя поля>	Массив чисел с плавающей точкой	KV, JSON	Поле с типом «Чисел с плавающей точкой». Порядок элементов массива соответствует порядку элементов сырого события.

   Префиксы S., N., F., SA., NA. и FA. обязательны при создании полей расширенной схемы событий. В префиксах можно использовать только заглавные буквы.

   Вместо <имя поля> вам нужно указать имя поля. В имени поля допустимо использовать символы английского алфавита, числа. Не допускается использование пробелов.

6. Нажмите на кнопку ОК, после чего нажать на кнопку Сохранить для сохранения нормализатора событий.

Нормализатор сохранен, дополнительное поле создано. После сохранения нормализатора дополнительное поле может быть использовано в других нормализаторах и ресурсах KUMA.

Если вы не сохраняете новый нормализатор с полем расширенной схемы событий, для использования поля расширенной схемы событий в обогащении нового нормализатора вам нужно добавить поле расширенной схемы событий для нового нормализатора. Для этого в окне Основной парсинг событий на вкладке Обогащение в раскрывающемся списке Целевое поле выберите Добавить <имя поля расширенной схемы событий>.

Если данные, находящиеся в полях сырого события, не соответствуют типу поля KUMA, в процессе нормализации событий значение не будет сохранено, если невозможно выполнить преобразование типов данных. Например, строка test не может быть помещена в числовое поле KUMA DeviceCustomNumber1.

С точки зрения нагрузки на сервер хранения при операциях поиска событий, подготовки отчётов и других операций с событиями в хранилище наиболее предпочтительными являются поля схемы событий KUMA, после чего идут поля расширенной схемы событий, затем поля Extra.

Обогащение в нормализаторе

Развернуть всё | Свернуть всё

При создании правил парсинга событий в окне параметров нормализатора на вкладке Обогащение вы можете настроить правила дополнения полей нормализованного события другими данными с помощью правил обогащения. Правила обогащения хранятся в параметрах нормализатора, в котором они были созданы.

Вы можете создавать правила обогащения с помощью кнопки Добавить обогащение. Для удаления правила обогащения нажмите рядом с ним на кнопку . Поля расширенной схемы событий могут быть использованы при обогащении событий. Доступные параметры правила обогащения описаны в таблице ниже.

Доступные параметры правила обогащения

Условия передачи данных в дополнительный нормализатор

При создании дополнительных правил парсинга событий вы можете указать условия, при выполнении которых события будут поступать на обработку в правило парсинга. Условия можно задать в окне Дополнительное правило парсинга на вкладке Условия дополнительной нормализации. В основных правилах парсинга эта вкладка отсутствует.

Доступные параметры:

• Использовать сырое событие – если вы хотите передавать сырое событие для дополнительной нормализации, в раскрывающемся списке Использовать сырое событие выберите значение Да. По умолчанию указано значение Нет. Мы рекомендуем передавать сырое событие в нормализаторы типа json и xml. Если вы хотите передавать сырое событие для дополнительной нормализации на второй, третий и далее уровень вложенности, последовательно на каждом уровне вложенности в раскрывающемся списке Использовать сырое событие выберите значение Да.
• Поле, которое следует передать в нормализатор – используется для указания поля события в том случае, если вы хотите отправлять на дополнительный парсинг только события с заданными в параметрах нормализатора полями.

  Если оставить это поле пустым, в дополнительный нормализатор будет передано событие целиком.

• Блок фильтров – используется для формулирования сложных условий, которым должны удовлетворять события, поступающие в нормализатор.

  С помощью кнопки Добавить условие можно добавить строку с полями для определения условия (см. ниже).

  С помощью кнопки Добавить группу можно добавить группу фильтров. Можно переключать групповые операторы между И, ИЛИ, НЕ. В группы фильтров можно добавить другие группы условий и отдельные условия.

  Условия и группы можно менять местами, перетягивая их за значок , а также удалять с помощью значка .

Параметры условий фильтра:

• Левый операнд и Правый операнд – используются для указания значений, которые будет обрабатывать оператор.

  В левом операнде следует указывать исходное поле событий, поступающих в нормализатор. Например, если в окне Основной парсинг событий настроено сопоставление eventType - DeviceEventClass, то в окне Дополнительный парсинг событий на вкладке Условия дополнительной нормализации в поле левого операнда для фильтра следует указать eventType. Данные обрабатываются только как текстовые строки.

• Операторы:
  • = – полное совпадение левого и правого операндов.
  • startsWith – левый операнд начинается с символов, указанных в правом операнде.
  • endsWith – левый операнд заканчивается символами, указанными в правом операнде.
  • match – левые операнд соответствует регулярному выражению (RE2), указанному в правом операнде.
  • in – левый операнд соответствует одному из значений, указанных в правом операнде.

Поступающие данные можно предварительно преобразовать, если нажать на кнопку : откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как над ними будут совершены какие-либо действия. В окне Преобразования добавленные правила можно менять местами, перетягивая их за значок , а также удалять с помощью значка .

Доступные преобразования

Поддерживаемые источники событий

KUMA поддерживает нормализацию событий, которые поступают от систем, перечисленных в таблице "Поддерживаемые источники событий". Нормализаторы для указанных систем включены в поставку.

Поддерживаемые источники событий