Сервисы KUMA

Сервисы – это основные компоненты KUMA, с помощью которых система осуществляет работу с событиями: сервисы позволяют получить события из источников, чтобы в дальнейшем привести их к общему виду, удобному для поиска корреляций, а также для хранения и ручного анализа. Каждый сервис состоит из двух частей, работающих вместе:

• Одна часть сервиса создается внутри веб-интерфейса KUMA на основе набора ресурсов для сервисов.
• Вторая часть сервиса устанавливается в сетевой инфраструктуре, где развернута система KUMA, в качестве одного из ее компонентов. Серверная часть сервиса может состоять из нескольких экземпляров: например, сервисы одного и того же агента или хранилища могут быть установлены сразу на нескольких устройствах.

  В серверной части сервисы KUMA располагаются в директории /opt/kaspersky/kuma.

  При установке KUMA в отказоустойчивом варианте в кластере устанавливается только Ядро KUMA. Коллекторы, корреляторы и хранилища размещаются на хостах вне кластера Kubernetes.

Между собой части сервисов соединены с помощью идентификатора сервисов.

Типы сервисов:

• Хранилища – используются для хранения событий.
• Корреляторы – используются для анализа событий и поиска заданных закономерностей.
• Коллекторы – используются для получения события и конвертации их в формат KUMA.
• Агенты – используются для получения событий на удаленных устройствах и пересылки их в коллекторы KUMA.

В веб-интерфейсе KUMA сервисы отображаются в разделе Ресурсы → Активные сервисы в виде таблицы. Таблицу сервисов можно обновить с помощью кнопки Обновить и сортировать по столбцам, нажимая на активные заголовки. Также вы можете настроить отображение столбцов в таблице с помощью раскрывающегося списка, который вы можете вызвать, нажав на кнопку в виде шестеренки в верхнем правом углу. В раскрывающемся списке установите флажок рядом с названиями тех столбцов, которые вы хотите отображать в таблице. Вы можете оставить для отображения только один любой столбец из списка.

Максимальный размер таблицы не ограничен. Если вы хотите выбрать все сервисы, прокрутите таблицу до конца и установите флажок Выбрать все, таким образом все доступные в таблице сервисы будут выбраны.

Столбцы таблицы:

• Статус – статус сервиса:
  • Зеленый – сервис работает.
  • Красный – сервис не работает.
  • Желтый – этот статус применяется только к сервисам хранилища и означает, что нет соединения с узлами ClickHouse. Причина указывается в журнале сервиса, если было включено логирование.
  • Серый – если в удаленном тенанте был работающий сервис, который продолжает работать, на странице Активные сервисы он будет отображаться с серым статусом. Сервисы в сером статусе остаются, чтобы вы могли скопировать идентификатор и удалить сервисы на серверах. Удалить сервисы с серым статусом может только Главный администратор. При удалении тенанта сервисы этого тенанта привязываются к Главному тенанту.
• Тип – вид сервиса: агент, коллектор, коррелятор, хранилище.
• Название – название сервиса. При нажатии на название сервиса открываются его настройки.
• Версия – версия сервиса.
• Тенант – название тенанта, которому принадлежит сервис.
• Полное доменное имя – доменное имя сервера, на котором установлен сервис.
• IP-адрес – IP-адрес сервера, на котором установлен сервис.
• Порт API – номер порта для внутренних коммуникаций.
• Время работы – как долго сервис работает.
• Создан – дата и время создания сервиса.

В таблице предусмотрена сортировка данных по возрастанию и убыванию, а также по параметру Статус и по типу сервиса в столбце Тип. Вы можете отсортировать активные сервисы, вызвав контекстное меню правой кнопкой мыши и выбрав один или несколько статусов и тип.

С помощью кнопок в верхней части окна Сервисы можно выполнить следующие групповые действия:

• Добавить сервис

  Вы можете создавать новые сервисы на основе существующих наборов ресурсов для сервисов. Мы не рекомендуем создавать сервисы вне основного тенанта без предварительного внимательного планирования межтенантных взаимодействий различных сервисов и пользователей.

• Обновить

  Вы можете обновить список активных сервисов.

• Обновить параметры
• Перезапустить

Для действий с отдельными сервисами воспользуйтесь контекстным меню, которое вы можете вызвать нажатием правой кнопки мыши. Доступны следующие действия:

• Сбросить сертификат
• Удалить
• Скачать журнал

  Если вы хотите получать детализированные данные, настройте в параметрах сервиса режим Отладка.

• Копировать идентификатор сервиса

  Идентификатор понадобится вам для установки, перезапуска, остановки или удаления сервиса.

• Перейти к событиям
• Смотреть активные листы
• Смотреть контекстные таблицы
• Смотреть разделы

Чтобы изменить сервис, выберите сервис в разделе Ресурсы → Активные сервисы. Откроется окно с набором ресурсов, на основе которых был создан сервис. Вы можете изменить параметры набора ресурсов и сохранить изменения. Чтобы применить сохраненные изменения, перезапустите сервис.

Если вы, меняя параметры набора ресурсов коллектора, измените или удалите преобразования в подключенном к нему нормализаторе, правки не сохранятся, а сам нормализатор может быть поврежден. При необходимости изменить преобразования в нормализаторе, который уже является частью сервиса, вносите правки непосредственно в нормализатор в разделе веб-интерфейса Ресурсы → Нормализаторы.

Инструменты сервисов

В этом разделе описываются инструменты по работе с сервисами, доступные в разделе веб-интерфейса KUMA Ресурсы → Активные сервисы.

Получение идентификатора сервиса

Идентификатор сервиса используется для связи частей сервиса – расположенных внутри KUMA и установленных в сетевой инфраструктуре – в единый комплекс. Идентификатор присваивается сервису при его создании в KUMA, а затем используется при установке сервиса на сервер.

Чтобы получить идентификатор сервиса:

1. Войдите в веб-интерфейс KUMA и откройте раздел Ресурсы → Активные сервисы.
2. Установите флажок рядом с сервисом, идентификатор которого вы хотите получить, и нажмите Копировать идентификатор.

Идентификатор сервиса помещен в буфер. Его можно использовать, например, для установки сервиса на сервере.

Остановка, запуск и проверка статуса сервиса

В ходе работы с KUMA может возникнуть необходимость в следующих операциях:

• Временно остановить сервис. Например, в процессе восстановления Ядра из резервной копии или если вы хотите отредактировать параметры сервиса, связанные с операционной системой.
• Запустить сервис.
• Проверить статус сервиса.

В таблице "Команды остановки, запуска и проверки статуса сервиса" представлены команды, которые могут быть полезны во время работы с KUMA.

Команды остановки, запуска и проверки статуса сервиса

Перезапуск сервиса

Чтобы перезапустить сервис:

1. Войдите в веб-интерфейс KUMA и откройте раздел Ресурсы → Активные сервисы.
2. Установите флажок рядом с сервисом и выберите нужную опцию:
   • Обновить параметры – обновить конфигурацию работающего сервиса, не останавливая его. Например, так можно изменить настройки сопоставления полей или параметры точки назначения.
   • Перезапустить – остановить сервис и запустить его снова. Эта опция используется для изменения таких параметров, как порт или тип коннектора.

     Особенности перезапуска агентов KUMA:

     • Агент KUMA для Windows может быть перезагружен, как описано выше, только если он запущен на удаленном компьютере. Если сервис на удаленном компьютере неактивен, при попытке перезагрузки из KUMA вы получите сообщение об ошибке. В этом случае следует перезапустить сервис Агент KUMA для Windows на удаленном компьютере с Windows. Чтобы узнать, как перезапустить сервисы Windows, обратитесь к документации, относящейся к версии операционной системы вашего удаленного компьютера с Windows.
     • Агент KUMA для Linux при использовании этой опции останавливается. Для запуска агента необходимо выполнить команду, с помощью которой он был запущен.
   • Сбросить сертификат – удалить сертификаты, используемые сервисом для внутренней связи. Например, эту опцию можно использовать для обновления сертификата Ядра.

     Особенности удаления сертификатов для агентов Windows:

     • Если агент находится в зеленом статусе и вы выбрали Сбросить сертификат, KUMA удаляет действующий сертификат и создает новый, агент продолжает работу с новым сертификатом.
     • Если агент находится в красном статусе и вы выбрали Сбросить сертификат, KUMA выдаст ошибку о том, что агент не запущен. В папке установки агента %PROGRAMDATA%\Kaspersky Lab\KUMA\agent\<ID агента>\certificates следует вручную удалить файлы internal.cert и internal.key и вручную запустить агент. При запуске агента новый сертификат будет создан автоматически.

     Особенности удаления сертификатов для агентов Linux:

     1. Независимо от статуса агента необходимо применить опцию Сбросить сертификат через веб-интерфейс, чтобы удалить сертификат в базах.
     2. В папке установки агента /opt/kaspersky/agent/<ID агента>/certificates следует вручную удалить файлы internal.cert и internal.key.
     3. Поскольку опция Сбросить сертификат останавливает агент, для продолжения работы следует вручную запустить агент. При запуске агента новый сертификат будет создан автоматически.

Удаление сервиса

Перед удалением сервиса получите его идентификатор. Идентификатор потребуется, чтобы удалить сервис с сервера.

Чтобы удалить сервис в веб-интерфейсе KUMA:

1. Войдите в веб-интерфейс KUMA и откройте раздел Ресурсы → Активные сервисы.
2. Установите флажок рядом с нужным сервисом и нажмите Удалить.

   Откроется окно подтверждения.

3. Нажмите ОК.

Сервис удален из KUMA.

Чтобы удалить сервис с сервера, выполните следующую команду:

sudo /opt/kaspersky/kuma/kuma <collector/correlator/storage> --id <идентификатор сервиса> --uninstall

Сервис удален с сервера.

Окно Разделы

Создав и установив сервис хранилища, вы можете просмотреть его разделы в таблице Разделы.

Чтобы открыть таблицу Разделы:

1. Войдите в веб-интерфейс KUMA и откройте раздел Ресурсы → Активные сервисы.
2. Установите флажок рядом с нужным хранилищем и нажмите Смотреть разделы.

Откроется таблица Разделы.

В таблице есть следующие столбцы:

• Тенант – название тенанта, которому принадлежат хранимые данные.
• Создан – дата создания раздела.
• Пространство – название раздела.
• Размер – размер раздела.
• События – количество хранимых событий.
• Переход к холодному хранению – дата, когда данные будут перенесены с кластеров ClickHouse на диски для холодного хранения.
• Окончание хранения – дата, когда истекает срок действия раздела. По достижении этого срока раздел и содержащиеся в нем события перестают быть доступны.

Вы можете удалять разделы.

Чтобы удалить раздел:

1. Откройте таблицу Разделы (см. выше).
2. Откройте раскрывающийся список слева от необходимого раздела.
3. Выберите Удалить.

   Откроется окно подтверждения.

4. Нажмите ОК.

Раздел удален. Разделы для событий аудита удалить невозможно.

Поиск связанных событий

Вы можете искать события, обработанные определенным коррелятором или коллектором.

Чтобы найти события, относящиеся к коррелятору или коллектору:

1. Войдите в веб-интерфейс KUMA и откройте раздел Ресурсы → Активные сервисы.
2. Установите флажок рядом с нужным коррелятором или коллектором и нажмите Перейти к событиям.

   Откроется новая вкладка браузера с открытым разделом KUMA События.

3. Чтобы найти события, нажмите на значок .

   Отобразится таблица с событиями, отобранными по поисковому выражению ServiceID = <идентификатор выбранного сервиса>.

Результаты поиска событий

При поиске событий вы можете получить следующую ошибку о недоступности шарда:

Code: 279. DB::NetException: All connection tries failed. Log: \\n\\nTimeout exceeded while connecting to socket (host.example.com:port, connection timeout 1000 ms)\\nTimeout exceeded while connecting to socket (host.example.com:port, connection timeout 1000 ms)\\nTimeout exceeded while connecting to socket (host.example.com:port, connection timeout 1000 ms)\\n\\n: While executing Remote. (ALL_CONNECTION_TRIES_FAILED) (version 23.8.8.207)\\n\"}",

В этом случае вам нужно переопределить параметры ClickHouse в параметрах хранилища.

Чтобы переопределить параметры ClickHouse:

1. В веб-интерфейсе KUMA в разделе Ресурсы → Хранилища нажмите на ресурс хранилища, который вы хотите изменить.

   Откроется окно Редактирование хранилища.

2. Чтобы пропускать недоступные шарды при поиске, в поле Переопределение параметров ClickHouse вставьте следующие строки:

   <profiles>

   <default>

   <skip_unavailable_shards>1</skip_unavailable_shards>

   </default>

   </profiles>

3. Чтобы применить параметры ClickHouse, нажмите на кнопку Сохранить.
4. Перезапустите сервисы хранилища, зависящие от этого ресурса.

После этого ошибка о недоступности шарда будет устранена, и вы можете снова искать события, обработанные определенным коррелятором или коллектором.

Наборы ресурсов для сервисов

Наборы ресурсов для сервисов – это тип ресурсов, компонент KUMA, представляющий собой комплект настроек, на основе которых создаются и функционируют сервисы KUMA. Наборы ресурсов для сервисов собираются из ресурсов.

Ресурсы, объединяемые в набор ресурсов, должны принадлежать к тому же тенанту, что и создаваемый набор ресурсов. Исключением является общий тенант: принадлежащие ему ресурсы можно использовать в наборах ресурсов других тенантов.

Наборы ресурсов для сервисов отображаются в разделе веб-интерфейса KUMA Ресурсы → <Тип набора ресурсов для сервиса>. Доступные типы:

• Коллекторы
• Корреляторы
• Хранилища
• Агенты

При выборе нужного типа открывается таблица с имеющимися наборами ресурсов для сервисов этого типа. Таблица содержит следующие столбцы:

• Название – имя набора ресурсов. Может использоваться для поиска и сортировки.
• Последнее обновление – дата и время последнего обновления набора ресурсов. Может использоваться для сортировки.
• Создал – имя пользователя, создавшего набор ресурсов.
• Описание – описание набора ресурсов.

Создание хранилища

Хранилище состоит из двух частей: одна часть создается внутри веб-интерфейса KUMA, а вторая устанавливается на серверах сетевой инфраструктуры, предназначенных для хранения событий. Серверная часть хранилища KUMA представляет собой собранные в кластер узлы ClickHouse. Кластеры ClickHouse можно дополнять дисками холодного хранения данных.

Для каждого кластера ClickHouse требуется установить отдельное хранилище.

Перед созданием хранилища продумайте структуру кластера и разверните требуемую сетевую инфраструктуру. При выборе конфигурации кластера ClickHouse учитывайте требования вашей организации к хранению событий.

В качестве файловой системы рекомендуется использовать ext4.

Создание хранилища производится в несколько этапов:

1. Создание набора ресурсов хранилища в веб-интерфейсе KUMA
2. Создание сервиса хранилища в веб-интерфейсе KUMA
3. Установка узлов хранилища в сетевой инфраструктуре

При создании узлов кластера хранилища убедитесь в сетевой связности системы и откройте используемые компонентами порты.

При изменении параметров хранилища его сервис необходимо перезапустить.

Структура кластера ClickHouse

Кластер ClickHouse – логическая группа устройств, обладающих всеми накопленными нормализованными событиями KUMA. Подразумевает наличие одного или нескольких логических шардов.

Шард – логическая группа устройств, обладающих некоторой частью всех накопленных в кластере нормализованных событий. Подразумевает наличие одной или нескольких реплик. Увеличение количества шардов позволяет:

• Накапливать больше событий за счет увеличения общего количества серверов и дискового пространства.
• Поглощать больший поток событий за счет распределения нагрузки, связанной со вставкой новых событий.
• Уменьшить время поиска событий за счет распределения поисковых зон между несколькими устройствами.

Реплика – устройство, являющееся членом логического шарда и обладающее одной копией данных этого шарда. Если реплик несколько – копий тоже несколько (данные реплицируются). Увеличение количества реплик позволяет:

• Улучшить отказоустойчивость.
• Распределить общую нагрузку, связанную с поиском данных, между несколькими машинами (однако для этой цели лучше увеличить количество шардов).

Кипер – устройство, участвующее в координации репликации данных на уровне всего кластера. На весь кластер требуется хотя бы одно устройство с этой ролью. Рекомендуемое количество устройств с такой ролью – 3. Число устройств, участвующих в координации репликации, должно быть нечетным. Роль кипера и реплики можно совмещать.

Параметры узлов кластера ClickHouse

Перед созданием хранилища продумайте структуру кластера и разверните требуемую сетевую инфраструктуру. При выборе конфигурации кластера ClickHouse учитывайте требования вашей организации к хранению событий.

При создании узлов кластера ClickHouse убедитесь в сетевой связности системы и откройте используемые компонентами порты.

Для каждого узла кластера ClickHouse требуется указать следующие параметры:

• Полное доменное имя (FQDN) – уникальный адрес, по которому должен быть доступен узел. Необходимо указывать FQDN целиком, например kuma-storage.example.com.
• Идентификаторы шарда, реплики и кипера – комбинация этих параметров определяет положение узла в структуре кластера ClickHouse и его роль.

Роли узлов

Роли узлов зависят от указанных параметров:

• шард, реплика, кипер – узел участвует в накоплении и поиске нормализованных событий KUMA, а также в координации репликации данных на уровне всего кластера.
• шард, реплика – узел участвует в накоплении и поиске нормализованных событий KUMA.
• кипер – узел не накапливает нормализованные события, но участвует в координации репликации данных на уровне всего кластера. Выделенные киперы следует указывать в начале списка в разделе Ресурсы → Хранилища → <Хранилище> → Основные настройки → Узлы кластера ClickHouse.

Требования к идентификаторам:

• Если в одном кластере создано несколько шардов, идентификаторы шардов должны быть уникальными в рамках этого кластера.
• Если в одном шарде создано несколько реплик, идентификаторы реплик должны быть уникальными в рамках этого шарда.
• Идентификаторы киперов должны быть уникальными в рамках кластера.

Пример идентификаторов узлов кластера ClickHouse:

• шард 1, реплика 1, кипер 1;
• шард 1, реплика 2;
• шард 2, реплика 1;
• шард 2, реплика 2, кипер 3;
• шард 2, реплика 3;
• кипер 2.

Холодное хранение событий

В KUMA можно настроить перенос устаревших данных с кластера ClickHouse на холодное хранение. Для холодного хранения могут использоваться смонтированные в операционной системе локальные диски или распределенная файловая система Hadoop Distributed File System (HDFS). Функция холодного хранения включается, если указан хотя бы один диск холодного хранения. Если используется несколько хранилищ,на каждом узле с данными должен быть смонтирован диск холодного хранения или диск HDFS по пути, указанному в конфигурации хранилища. Если диск холодного хранения не настроен и на сервере закончилось место, сервис хранилища остановится. Если есть горячее и холодное хранение и на диске холодного хранения закончилось место, сервис хранилища KUMA остановится. Мы рекомендуем избегать таких ситуаций.

Диски холодного хранения можно добавлять и удалять.

После изменения параметров холодного хранения сервис хранилища необходимо перезапустить. Если сервис не запускается, причина будет указана в журнале хранилища.

Если указанный в параметрах хранилища диск холодного хранения стал недоступен (например, вышел из строя), это может привести к ошибкам в работе сервиса хранилища. В этом случае необходимо воссоздать диск с таким же путем (для локальных дисков) или таким же адресом (для HDFS-дисков), а затем удалить его из параметров хранилища.

Правила переноса данных на диски холодного хранения

При задействованном холодном хранении KUMA раз в час проверяет сроки хранения пространств:

• Если срок хранения пространства на кластере ClickHouse истек, данные переносятся на диски холодного хранения. Если диск холодного хранения настроен неверно, данные удаляются.
• Если срок хранения пространства на диске холодного хранения истек, данные удаляются.
• Если диски кластера ClickHouse заполнены на 95%, самые большие партиции автоматически переносятся на диски холодного хранения. Это действие может происходить больше одного раза в час.
• При начале и окончании переноса данных создаются события аудита.

Во время переноса данных сервис хранилища продолжает работать, при этом в разделе веб-интерфейса KUMA Ресурсы → Активные сервисы для него сохраняется зеленый статус. При наведении указателя мыши на значок статуса отображается сообщение о переносе данных. При удалении холодного диска сервис хранилища отображается в желтом статусе.

Особенности хранения событий и доступа к ним

• При использовании для холодного хранения HDFS-дисков необходимо обеспечить защиту данных одним из следующих способов:
  • Настроить отдельный физический интерфейс в сети VLAN, в котором будут расположены только HDFS-диски и кластер ClickHouse.
  • Настроить правила сегментации сети и фильтрации трафика, исключающие прямой доступ к HDFS-диску или перехват трафика к диску со стороны ClickHouse.
• События, находящиеся в кластере ClickHouse и на дисках холодного хранения, одинаково доступны в веб-интерфейсе KUMA. Например, при поиске событий или при просмотре событий, относящихся к алертам.
• Допускается не хранить события или события аудита на дисках холодного хранения: для этого в параметрах хранилища в поле Срок холодного хранения или Срок холодного хранения событий аудита необходимо указать 0 (дней).

Особенности использования HDFS-дисков

• Перед подключением HDFS-дисков на них необходимо создать директории для каждого узла кластера ClickHouse в формате <хост HDFS-диска>/<идентифика тор шарда>/<идентификатор реплики>. Например, если кластер состоит из двух узлов, на которых расположены две реплики одного шарда, необходимо создать следующие директории:
  • hdfs://hdfs-example-1:9000/clickhouse/1/1/
  • hdfs://hdfs-example-1:9000/clickhouse/1/2/

  События из узлов кластера ClickHouse будут переноситься в директории, в названии которых указаны идентификаторы их шарда и реплики. Если изменить эти параметры узла и при этом не создать соответствующую директорию на HDFS-диске, события при переносе могут быть потеряны.

• HDFS-диски, добавленные к хранилищу, работают в режиме JBOD. Это означает, что при отказе одного из дисков будет потерян доступ к хранилищу. При использовании HDFS следует учитывать необходимость отказоустойчивости и настроить RAID, а также хранение данных из разных реплик на различных устройствах.
• Скорость записи событий в HDFS, как правило, ниже скорости записи событий на локальные диски. Скорость доступа к событиям в HDFS, как правило, значительно ниже скорости доступа к событиям на локальных дисках. При использовании одновременно локальных дисков и HDFS-дисков запись будет происходить в них по очереди.

Удаление дисков холодного хранения

Перед физическим отключением дисков холодного хранения необходимо удалить эти диски из параметров хранилища.

Чтобы удалить диск из параметров хранилища:

• В веб-интерфейсе KUMA перейдите в раздел Ресурсы → Хранилища и выберите нужное хранилище.

  Откроется хранилище.

• В окне в разделе Диски холодного хранения в блоке параметров нужного диска нажмите Удалить диск.

  Данные с удаляемого диска автоматически начинают переноситься на другие диски холодного хранения или, если их нет, в кластер ClickHouse. В процессе переноса данных значок статуса хранилища светится желтым цветом и отображается значок песочных часов. При начале и окончании переноса данных создаются события аудита.

• По завершении переноса событий диск автоматически удаляется из параметров хранилища. Теперь его можно безопасно отключить.

На удаляемых дисках могут оставаться события. Если вы хотите их удалить, вы можете, например, вручную удалить партиции с данными с помощью команды DROP PARTITION.

Если указанный в параметрах хранилища диск холодного хранения стал недоступен (например, вышел из строя), это может привести к ошибкам в работе сервиса хранилища. В этом случае необходимо создать диск с таким же путем (для локальных дисков) или таким же адресом (для HDFS-дисков), а затем удалить его из параметров хранилища.

Отключение, архивирование и подключение партиций

Если вы хотите оптимизировать дисковое пространство и ускорить выполнение запросов в KUMA, вы можете отключить в ClickHouse партиции с данными, архивировать партиции или перенести их на носитель. При необходимости вы можете снова подключить необходимые партиции и выполнить обработку данных.

Отключение партиций

Чтобы отключить партиции, выполните следующие шаги:

1. Определите шард, на всех репликах которого вы планируете отключить партицию.
2. Получите идентификатор партиции с помощью следующей команды:

   sudo /opt/kaspersky/kuma/clickhouse/bin/client.sh -d kuma --multiline --query "SELECT partition, name FROM system.parts;" |grep 20231130

   В приведенном примере в результате выполнения команды будет получен идентификатор партиции от 30 ноября 2023 года.

3. На каждой реплике шарда отключите партицию с помощью следующей команды, указав требуемый идентификатор:

   sudo /opt/kaspersky/kuma/clickhouse/bin/client.sh -d kuma --multiline --query "ALTER TABLE events_local_v2 DETACH PARTITION ID '<идентификатор партиции>'"

В результате партиция отключена на всех репликах шарда. Теперь вы можете перенести каталог с данными на носитель или заархивировать партицию.

Архивирование партиций

Чтобы архивировать отключенные партиции:

1. Найдите отключенную партицию в дисковой подсистеме сервера:

   sudo find /opt/kaspersky/kuma/clickhouse/data/ -name <идентификатор отключенной партиции>\*

2. Перейдите в каталог detached с отключенной партицией и, находясь в каталоге detached, выполните архивирование:

   sudo cd <путь к каталогу detached, содержащему отключенную партицию>

   sudo zip -9 -r detached.zip *

   Например:

   sudo cd /opt/kaspersky/kuma/clickhouse/data/store/d5b/d5bdd8d8-e1eb-4968-95bd-d8d8e1eb3968/detached/

   sudo zip -9 -r detached.zip *

Архивирование партиции выполнено.

Подключение партиций

Чтобы подключить архивные партиции к KUMA, необходимо выполнить следующие действия:

1. Увеличьте значение параметра Срок хранения.

   KUMA удаляет данные на основании даты, указанной в поле Timestamp - когда событие получено, и на основании значения параметра Срок хранения, которое вы задали для хранилища.

   Перед тем как выполнять восстановление архивных данных, убедитесь, что значение параметра Срок хранения перекрывает дату из поля Timestamp. В противном случае, архивные данные будут удалены в течение 1 часа.

2. Поместите архивную партицию в раздел detached вашего хранилища и распакуйте архив:

   sudo unzip detached.zip -d <путь к каталогу detached>

   Например:

   sudo unzip detached.zip -d /opt/kaspersky/kuma/clickhouse/data/store/d5b/d5bdd8d8-e1eb-4968-95bd-d8d8e1eb3968/detached/

3. Выполните команду подключения партиции:

   sudo /opt/kaspersky/kuma/clickhouse/bin/client.sh -d kuma --multiline --query "ALTER TABLE events_local_v2 ATTACH PARTITION ID '<идентификатор партиции>'"

   Повторите шаги распаковки архива и подключения партиции на каждой реплике шарда.

В результате архивная партиция подключена и события снова доступны для поиска.

Создание набора ресурсов для хранилища

Сервис хранилища в веб-интерфейсе KUMA создается на основе набора ресурсов для хранилища.

Чтобы создать набор ресурсов для хранилища в веб-интерфейсе KUMA:

1. В веб-интерфейсе KUMA в разделе Ресурсы → Хранилища нажмите Добавить хранилище.

   Откроется окно Создание хранилища.

2. На вкладке Основные параметры в поле Название хранилища введите уникальное имя создаваемого сервиса. Название должно содержать от 1 до 128 символов в кодировке Unicode.
3. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать хранилище.
4. В поле Описание можно добавить описание сервиса: до 256 символов в кодировке Unicode.
5. В поле Срок хранения укажите, в течение какого количества дней с момента поступления вы хотите хранить события в кластере ClickHouse. По истечении указанного срока события будут автоматически удалены из кластера ClickHouse. Если настроено холодное хранение событий и срок хранения событий в кластере ClickHouse истек, данные переносятся на диски холодного хранения. Если диск холодного хранения настроен неверно, данные удаляются.
6. В поле Срок хранения событий аудита укажите, в течение какого количества дней вы хотите хранить события аудита. Минимальное значение и значение по умолчанию: 365.
7. При необходимости холодного хранения данных введите сроки хранения событий:
   • Срок холодного хранения – количество дней хранения событий. Минимальное значение – 1.
   • Срок холодного хранения событий аудита – количество дней хранения событий аудита. Минимальное значение – 0.
8. С помощью переключателя Отладка укажите, будет ли включено логирование ресурса. Значение по умолчанию: Выключено - это означает, что для всех компонентов KUMA в журнале регистрируются только ошибки. Если вы хотите получать детализированные данные в журналах, выберите значение Включено.
9. При необходимости изменения параметров ClickHouse в поле Переопределение параметров ClickHouse вставьте строки c параметрами из XML-файла конфигурации ClickHouse /opt/kaspersky/kuma/clickhouse/cfg/config.xml. Указание корневых элементов <yandex>, </yandex> не требуется. Переданные в поле параметры конфигурации будут использоваться вместо параметров по умолчанию.

   Пример:

   <merge_tree>

   <parts_to_delay_insert>600</parts_to_delay_insert>

   <parts_to_throw_insert>1100</parts_to_throw_insert>

   </merge_tree>

10. При необходимости в разделе Пространства добавьте в хранилище пространства, по которым вы хотите распределять хранимые события.

    Пространств может быть несколько. Пространства можно добавить с помощью кнопки Добавить пространство и удалить с помощью кнопки Удалить пространство.

    Доступные параметры:

    • В поле Название укажите название пространства: от 1 до 128 символов в кодировке Unicode.
    • В поле Срок хранения укажите количество дней, в течение которых события будут храниться в кластере ClickHouse.
    • При необходимости в поле Срок холодного хранения укажите количество дней, в течение которого события должны находиться на холодном хранении. Минимальное значение – 1.
    • В разделе Фильтр можно задать условия определения событий, которые будут помещаться в это пространство. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

      Создание фильтра в ресурсах

      Чтобы создать фильтр:

      1. В раскрывающемся списке Фильтр выберите Создать.
      2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
      3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
      4. В блоке параметров Условия укажите условия, которым должны соответствовать события:
         1. Нажмите на кнопку Добавить условие.
         2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
         3. В раскрывающемся списке оператор выберите оператор.

            Операторы фильтров

            • = – левый операнд равен правому операнду.
            • < – левый операнд меньше правого операнда.
            • <= – левый операнд меньше или равен правому операнду.
            • > – левый операнд больше правого операнда.
            • >= – левый операнд больше или равен правому операнду.
            • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
            • contains – левый операнд содержит значения правого операнда.
            • startsWith – левый операнд начинается с одного из значений правого операнда.
            • endsWith – левый операнд заканчивается одним из значений правого операнда.
            • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
            • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

              Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

              Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

            • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

              Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

            • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
            • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
            • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
            • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
            • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
            • inContextTable – присутствует ли в указанной контекстной таблице запись.
            • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
         4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
         5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.

         Вы можете добавить несколько условий или группу условий.

      5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
      6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

    После создания сервиса пространства можно просматривать и удалять в параметрах набора ресурсов хранилища.

    Нет необходимости создавать отдельное пространство для событий аудита. События этого типа (Type=4) автоматически помещаются в отдельное пространство Audit со сроком хранения не менее 365 дней, которое недоступно для редактирования или удаления из веб-интерфейса KUMA.

11. При необходимости в разделе Диски холодного хранения добавьте в хранилище диски, на которые вы хотите переносить события на длительное хранение из кластера ClickHouse.

    Дисков может быть несколько. Диски можно добавить с помощью кнопки Добавить диск и удалить с помощью кнопки Удалить диск.

    Доступные параметры:

    • В раскрывающемся списке Тип выберите тип подключаемого диска:
      • Локальный – для дисков, смонтированных в операционной системе как директории.
      • HDFS – для дисков распределенной файловой системы Hadoop Distributed File System.
    • В поле Название укажите название диска. Название должно содержать от 1 до 128 символов в кодировке Unicode.
    • Если в качестве типа диска вы выбрали Локальный, в поле Путь введите абсолютный путь директории смонтированного локального диска. Путь должен начинаться и оканчиваться символом "/".
    • Если в качестве типа диска вы выбрали HDFS, в поле Хост введите путь к HDFS. Например: hdfs://hdfs1:9000/clickhouse/.
12. При необходимости в разделе Узлы кластера ClickHouse добавьте в хранилище узлы кластера ClickHouse.

    Узлов может быть несколько. Узлы можно добавить с помощью кнопки Добавить узел и удалить с помощью кнопки Удалить узел.

    Доступные параметры:

    • В поле Полное доменное имя укажите FQDN добавляемого узла. Например, kuma-storage-cluster1-server1.example.com.
    • В полях идентификаторов шарда, реплики и кипера укажите роль узла в кластере ClickHouse. Идентификаторы шарда и кипера должны быть уникальными в рамках кластера, идентификатор реплики должен быть уникальным в рамках шарда. Ниже показан пример заполнения раздела Узлы кластера ClickHouse для хранилища с выделенными киперами в распределенной схеме установки. Вы можете адаптировать пример для своих потребностей.

      

      Схема распределенной установки

      Пример:

      Узлы кластера ClickHouse

      Полное доменное имя: kuma-storage-cluster1-server1.example.com

      Идентификатор шарда: 0

      Идентификатор реплики: 0

      Идентификатор кипера: 1

      Полное доменное имя: kuma-storage-cluster1server2.example.com

      Идентификатор шарда: 0

      Идентификатор реплики: 0

      Идентификатор кипера: 2

      Полное доменное имя: kuma-storage-cluster1server3.example.com

      Идентификатор шарда: 0

      Идентификатор реплики: 0

      Идентификатор кипера: 3

      Полное доменное имя: kuma-storage-cluster1server4.example.com

      Идентификатор шарда: 1

      Идентификатор реплики: 1

      Идентификатор кипера: 0

      Полное доменное имя: kuma-storage-cluster1server5.example.com

      Идентификатор шарда: 1

      Идентификатор реплики: 2

      Идентификатор кипера: 0

      Полное доменное имя: kuma-storage-cluster1server6.example.com

      Идентификатор шарда: 2

      Идентификатор реплики: 1

      Идентификатор кипера: 0

      Полное доменное имя: kuma-storage-cluster1server7.example.com

      Идентификатор шарда: 2

      Идентификатор реплики: 2

      Идентификатор кипера: 0

13. Начиная с версии 2.1.3 доступна вкладка Дополнительные параметры. На вкладке Дополнительные параметры в поле Размер буфера укажите размер буфера в байтах, при достижении которого следует передать события в базу. Значение по умолчанию — 64 МБ. Максимального значения нет. Если на виртуальной машине меньше свободной памяти, чем заданное значение Размер буфера, KUMA установит ограничение в 128 МБ.
14. На вкладке Дополнительные параметры в поле Интервал очистки буфера укажите интервал в секундах, в течение которого KUMA будет ждать заполнения буфера. Если буфер не заполнен, но указанное время прошло, KUMA передает события в базу. Значение по умолчанию 1 с.
15. На вкладке Дополнительные параметры в поле Размер дискового буфера укажите значение в байтах. Дисковый буфер используется для временного размещения тех событий, которые не удалось отправить для дальнейшей обработки или хранения. Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему правилу: новые события замещают самые старые события, записанные в буфер. Значение по умолчанию: 10 ГБ.
16. На вкладке Дополнительные параметры в раскрывающемся списке Дисковый буфер выберите значение, с помощью которого можно Включить или Выключить использование дискового буфера. По умолчанию дисковый буфер включен.
17. На вкладке Дополнительные параметры в раскрывающемся списке Запись в локальную таблицу базы данных выберите значение, с помощью которого можно Включить или Выключить запись. По умолчанию запись отключена.

    В режиме Включить запись будет выполняться только на том узле, на котором установлено хранилище. Мы рекомендуем использовать эту функцию только при условии, что у вас настроена балансировка на коллекторе и/или корреляторе: в коллекторе и/или корреляторе на шаге 6. Маршрутизация в разделе Дополнительные настройки в поле Политика выбора URL установлено значение По очереди.

    В режиме Выключить данные распределяются по шардам кластера.

Набор ресурсов для хранилища создан и отображается в разделе Ресурсы → Хранилища. Теперь можно создать сервис хранилища.

Создание сервиса хранилища в веб-интерфейсе KUMA

Когда набор ресурсов для хранилища создан, можно перейти к созданию сервиса хранилища в KUMA.

Чтобы создать сервис хранилища в веб-интерфейсе KUMA:

1. В веб-интерфейсе KUMA в разделе Ресурсы → Активные сервисы нажмите Добавить сервис.
2. В открывшемся окне Выберите сервис выберите только что созданный набор ресурсов для хранилища и нажмите Создать сервис.

Сервис хранилища создан в веб-интерфейсе KUMA и отображается в разделе Ресурсы → Активные сервисы. Теперь сервисы хранилища необходимо установить на каждом узле кластера ClickHouse, используя идентификатор сервиса.

Установка хранилища в сетевой инфраструктуре KUMA

Чтобы создать хранилище:

1. Войдите на сервер, на котором вы хотите установить сервис.
2. Выполните следующую команду:

   sudo /opt/kaspersky/kuma/kuma storage --core https://<FQDN сервера Ядра KUMA>:<порт, используемый Ядром KUMA для внутренних коммуникаций (по умолчанию используется порт 7210)> --id <идентификатор сервиса, скопированный из веб-интерфейса KUMA> --install

   Пример: sudo /opt/kaspersky/kuma/kuma storage --core https://kuma.example.com:7210 --id XXXXX --install

   При развертывании нескольких сервисов KUMA на одном хосте в процессе установки необходимо указать уникальные порты для каждого компонента с помощью параметра --api.port <порт>. По умолчанию используется значение --api.port 7221.

3. Повторите шаги 1–2 для каждого узла хранилища.

   На одном хосте может быть установлен только один сервис хранилища.

Хранилище установлено.

Создание коррелятора

Коррелятор состоит из двух частей: одна часть создается внутри веб-интерфейса KUMA, а другая устанавливается на сервере сетевой инфраструктуры, предназначенном для обработки событий.

Действия в веб-интерфейсе KUMA

Создание коррелятора в веб-интерфейсе KUMA производится с помощью мастера установки, в процессе выполнения которого необходимые ресурсы объединяются в набор ресурсов для коррелятора, а по завершении мастера на основе этого набора ресурсов автоматически создается и сам сервис.

Чтобы создать коррелятор в веб-интерфейсе KUMA,

запустите мастер установки коррелятора:

• В веб-интерфейсе KUMA в разделе Ресурсы нажмите Создать коррелятор.
• В веб-интерфейсе KUMA в разделе Ресурсы → Корреляторы нажмите Добавить коррелятор.

В результате выполнения шагов мастера в веб-интерфейсе KUMA создается сервис коррелятора.

В набор ресурсов для коррелятора объединяются следующие ресурсы:

• правила корреляции;
• правила обогащения (при необходимости);
• правила реагирования (при необходимости);
• точки назначения (как правило, одна: задается отправка событий в хранилище).

Эти ресурсы можно подготовить заранее, а можно создать в процессе выполнения мастера установки.

Действия на сервере коррелятора KUMA

При установке коррелятора на сервер, предназначенный для обработки событий, на сервере требуется запустить команду, которая отображается на последнем шаге мастера установки. При установке необходимо указать идентификатор, автоматически присвоенный сервису в веб-интерфейсе KUMA, а также используемый для связи порт.

Проверка установки

После создания коррелятора рекомендуется убедиться в правильности его работы.

Запуск мастера установки коррелятора

Чтобы запустить мастер установки коррелятора:

• В веб-интерфейсе KUMA в разделе Ресурсы нажмите Добавить коррелятор.
• В веб-интерфейсе KUMA в разделе Ресурсы → Корреляторы нажмите Добавить коррелятор.

Следуйте указаниям мастера.

Шаги мастера, кроме первого и последнего, можно выполнять в произвольном порядке. Переключаться между шагами можно с помощью кнопок Вперед и Назад, а также нажимая на названия шагов в левой части окна.

По завершении мастера в веб-интерфейсе KUMA в разделе Ресурсы → Корреляторы создается набор ресурсов для коррелятора, а в разделе Ресурсы → Активные сервисы добавляется сервис коррелятора.

Шаг 1. Общие параметры коррелятора

Это обязательный шаг мастера установки. На этом шаге указываются основные параметры коррелятора: название и тенант, которому он будет принадлежать.

Чтобы задать общие параметры коррелятора:

1. На вкладке Основные параметры заполните следующие поля:
   • В поле Название введите уникальное имя создаваемого сервиса. Название должно содержать от 1 до 128 символов в кодировке Unicode.
   • В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать коррелятор. От выбора тенанта зависит, какие ресурсы будут доступны при его создании.
   • Если вы с какого-либо последующего шага мастера установки вернетесь в это окно и выберите другого тенанта, вам потребуется вручную изменить все ресурсы, которые вы успели добавить в сервис. В сервис можно добавлять только ресурсы из выбранного и общего тенантов.
   • В поле Рабочие процессы при необходимости укажите количество процессов, которые может одновременно запускать сервис. По умолчанию количество рабочих процессов соответствует количеству vCPU сервера, на котором установлен сервис.
   • В поле Описание можно добавить описание сервиса: до 256 символов в кодировке Unicode.
2. На вкладке Дополнительные параметры заполните следующие поля:
   • При необходимости с помощью переключателя Отладка включите логирование операций сервиса.
   • Переключатель Периодическое создание дампа используется по запросу техподдержки для генерации отчетов по потреблению ресурсов (cpu, ram и т.д.) в виде дампов.
   • В поле Настройки дампа вы можете указать параметры создания дампа. Порядок заполнения этого поля уточняйте у техподдержки.

Общие параметры коррелятора заданы. Перейдите к следующему шагу мастера установки.

Шаг 2. Глобальные переменные

Если для покрытия каких-то сценариев обеспечения безопасности недостаточно отслеживания значений в полях событий, активных листах или словарях, вы можете воспользоваться глобальными и локальными переменными. С их помощью можно выполнять различные действия над поступающими в корреляторы значениями, реализуя сложную логику выявления угроз. Переменным можно присвоить какую-либо функцию, а затем обращаться к ним из правил корреляции, как к обычным полям событий, получая в ответ результат срабатывания функции.

Чтобы добавить глобальную переменную в корреляторе,

Нажмите на кнопку Добавить переменную и укажите следующие параметры:

• В окне Переменная введите название переменной.

  Требования к наименованию переменных

  • Должно быть уникально в рамках коррелятора.
  • Должно содержать от 1 до 128 символов в кодировке Unicode.
  • Не может начинаться с символа $.
  • Должно быть написано в camelCase или CamelCase.
• В окне Значение введите функцию переменной.

  При вводе функций поддерживается автодополнение в виде списка подсказок с возможными вариантами имен функций, их кратким описанием и примерами использования. Вы можете выбрать нужную функцию из списка и вставить ее вместе со списком аргументов в поле ввода.

  Для вызова списка всех подсказок в поле ввода используйте комбинацию клавиш Ctrl + Space. Для выбора нужной функции из списка используйте клавишу Enter. Для перехода к следующему аргументу в списке аргументов выбранной функции используйте клавишу Tab.

  Описание функций переменных.

Глобальная переменная добавлена. К ней можно обращаться из правил корреляции, добавляя перед названием переменной символ $. Переменных может быть несколько. Добавленные переменные можно изменить или удалить с помощью значка .

Перейдите к следующему шагу мастера установки.

Шаг 3. Корреляция

Это необязательный, но рекомендуемый шаг мастера установки. В вкладке мастера установки Корреляция следует выбрать или создать правила корреляции. В этих ресурсах задаются последовательности событий, указывающих на происшествия, связанные с безопасностью: при обнаружении таких последовательностей коррелятор создает корреляционное событие и алерт.

Если вы добавили в коррелятор глобальные переменные, все добавленные правила корреляции могут к ним обращаться.

Добавленные в набор ресурсов для коррелятора правила корреляции отображаются в таблице со следующими столбцами:

• Правила корреляции – название ресурса правила корреляции.
• Тип – тип правила корреляции: standard, simple, operational. Таблицу можно отфильтровать по значениям этого столбца, нажав на его заголовок и выбрав нужные значения.
• Действия – перечень действий, которые совершит коррелятор при срабатывании правила корреляции. Действия указываются в параметрах правила корреляции. Таблицу можно отфильтровать по значениям этого столбца, нажав на его заголовок и выбрав нужные значения.

  Доступные значения:

  • В дальнейшую обработку – корреляционные события, создаваемые этим правилом корреляции, передается в другие ресурсы коррелятора: в обогащение, в правиле реагирования, а затем в другие сервисы KUMA.
  • Изменение активного листа – правило корреляции вносит изменения в активные листы.
  • В коррелятор – корреляционное событие отправляется на повторную обработку в то же правило корреляции.
  • Изменение категории актива – корреляционное правило изменяет категории активов.
  • Обогащение событий – в корреляционном правиле настроено обогащение корреляционных событий.
  • Не создавать алерт – когда в результате срабатывания правила корреляции создается корреляционное событие, одновременно с ним НЕ создается алерт. Если вы хотите, чтобы алерт не создавался при срабатывании правила корреляции, но корреляционное событие все равно отправлялось в хранилище, установите флажки В дальнейшую обработку и Не создавать алерт. Если установлен только флажок Не создавать алерт, корреляционное событие не будет сохраняться в хранилище.
  • Используются общие ресурсы – правило корреляции или ресурсы, которые задействованы в правиле корреляции, расположены в общем тенанте.

С помощью поля Поиск можно искать правила корреляции. Добавленные правила корреляции можно убрать из набора ресурсов, выбрав нужные правила и нажав Удалить.

При выборе правила корреляции открывается окно с его параметрами: параметры можно изменить и Сохранить. При нажатии в этом окне на кнопку Удалить, правило корреляции отвязывается от набора ресурсов.

С помощью кнопок Поднять и Опустить можно изменять положение выбранных правил корреляции в таблице правил корреляции, что отражается на последовательности их выполнения при обработке событий. С помощью кнопки Поднять operational-правила можно переместить правила корреляции типа operational в начало списка правил корреляции.

Чтобы привязать к набору ресурсов для коррелятора существующие правила корреляции:

1. Нажмите Привязать.

   Откроется окно выбора ресурсов.

2. Выберите нужные правила корреляции и нажмите ОК.

Правила корреляции привязаны к набору ресурсов для коррелятора и отображаются в таблице правил.

Чтобы создать в наборе ресурсов для коррелятора новое правило корреляции:

1. Нажмите Добавить.

   Откроется окно создания правила корреляции.

2. Укажите параметры правила корреляции и нажмите Сохранить.

Правило корреляции создано и привязано к набору ресурсов для коррелятора. Оно отображается в таблице правил корреляции, а также в списке ресурсов в разделе Ресурсы → Правила корреляции.

Перейдите к следующему шагу мастера установки.

Шаг 4. Обогащение

Это необязательный шаг мастера установки. В вкладке мастера установки Обогащение можно выбрать или создать правила обогащения с указанием, какими данными и из каких источников следует дополнить создаваемые коррелятором корреляционные события. Правил обогащения может быть несколько. Их можно добавить с помощью кнопки Добавить или удалить с помощью кнопки .

Чтобы добавить в набор ресурсов существующее правило обогащения:

1. Нажмите Добавить.

   Откроется блок параметров правила обогащения.

2. В раскрывающемся списке Правило обогащения выберите нужный ресурс.

Правило обогащения добавлено в набор ресурсов для коррелятора.

Чтобы создать в наборе ресурсов новое правило обогащения:

1. Нажмите Добавить.

   Откроется блок параметров правила обогащения.

2. В раскрывающемся списке Правило обогащения выберите Создать.
3. В раскрывающемся списке Тип источника данных выберите, откуда будут поступать данные для обогащения, и заполните относящиеся к нему параметры:
   • константа

     Этот тип обогащения используется, если в поле события необходимо добавить константу. Доступные параметры типа обогащения описаны в таблице ниже.

     Доступные параметры типа обогащения

     Параметр	Описание
     Константа	Значение, которое требуется добавить в поле события. Максимальная длина значения: до 255 символов в кодировке Unicode. Если оставить поле пустым, существующее значение поля события будет удалено.
     Целевое поле	Поле события KUMA, в которое требуется поместить данные.

     Если вы используете функции обогащения событий для полей расширенной схемы с типом «Строка», «Число» или «Число с плавающей точкой» с помощью константы, в поле будет добавлена константа.

     Если вы используете функции обогащения событий для полей расширенной схемы с типом «Массив строк», «Массив чисел» или «Массив чисел с плавающей точкой» с помощью константы, константа будет добавлена к элементам массива.

   • словарь

     Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Словарь. Доступные параметры типа обогащения описаны в таблице ниже.

     Доступные параметры типа обогащения

     Параметр	Описание
     Название словаря	Словарь, из которого будут браться значения.
     Ключевые поля	Поля событий, значения которых будут использоваться для выбора записи словаря. Для добавления поля события нажмите на кнопку Добавить поле. Вы можете добавить несколько полей событий.

     Если вы используете обогащение событий, у которого в качестве параметра Тип источника данных выбрано значение словарь, а в параметре Ключевые поля обогащения указано поле-массив, при передаче массива в качестве ключа словаря массив будет сериализован в строку согласно правилам сериализации одного значения в формате TSV.

     Пример: в параметре Ключевые поля обогащения используется поле расширенной схемы SA.StringArrayOne. В поле расширенной схемы SA.StringArrayOne находятся значения "a", "b", "c". В качестве ключа в словарь будут переданы значения ['a','b','c'].

     Если в параметре Ключевые поля обогащения используется поле-массив расширенной схемы и обычное поле схемы событий, значения полей при обращении в словарь будут разделены символом «|».

     Пример: в параметре Ключевые поля обогащения используется поле расширенной схемы SA.StringArrayOne и строковое поле Code. В поле расширенной схемы SA.StringArrayOne находятся значения "a", "b", "c", а строковое поле Code содержит последовательность символов myCode. В качестве ключа в словарь будут переданы значения ['a','b','c']|myCode.

   • событие

     Этот тип обогащения используется, если в поле события необходимо записать значение другого поля события. Параметры этого типа обогащения:

     • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
     • В раскрывающемся списке Исходное поле выберите поле события, значение которого будет записано в целевое поле.
     • В блоке параметров Преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA. Тип преобразования можно выбрать в раскрывающемся списке. С помощью кнопок Добавить преобразование и Удалить можно добавить или удалить преобразование. Порядок преобразований имеет значение.

       Доступные преобразования

       Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

       Доступные преобразования:

       • lower – используется для перевода всех символов значения в нижний регистр
       • upper – используется для перевода всех символов значения в верхний регистр
       • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
       • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
       • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
         • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
         • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
       • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
       • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
       • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
       • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
         • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
         • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
       • Конвертация закодированных строк в текст:
         • decodeHexString – используется для конвертации HEX-строки в текст.
         • decodeBase64String – используется для конвертации Base64-строки в текст.
         • decodeBase64URLString – используется для конвертации Base64url-строки в текст.

         При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.

         При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, такая строка будет обрезана и не будет раскодирована.

         Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, такая строка будет обрезана до размера этого поля события.

       Преобразования при использовании расширенной схемы событий

       Возможность использования преобразования зависит от типа используемого поля расширенной схемы событий:

       • для дополнительное поле с типом «Строка» доступны все типы преобразований.
       • для полей с типами «Число», «Число с плавающей точкой» доступны следующие виды преобразований: regexp, substring, replace, trim, append, prepend, replaceWithRegexp, decodeHexString, decodeBase64String, decodeBase64URLString.
       • для полей с типами «Массив строк», «Массив чисел» и «Массив чисел с плавающей точкой» доступны следующие виды преобразований: append, prepend.

   • шаблон

     Этот тип обогащения используется, если в поле события необходимо записать значение, полученное при обработке шаблонов Go. Мы рекомендуем сопоставлять значение и размер поля. Доступные параметры типа обогащения описаны в таблице ниже.

     Доступные параметры типа обогащения

     Параметр	Описание
     Шаблон	Шаблон Go. Имена полей событий передаются в формате {{.EventField}}, где EventField – это название поля события, значение которого должно быть передано в скрипт, например Атака на {{.DestinationAddress}} со стороны {{.SourceAddress}}.
     Целевое поле	Поле события KUMA, в которое требуется поместить данные.

     Если вы используете обогащение событий, у которого в качестве параметра Тип источника данных выбрано значение шаблон, целевым полем является поле с типом «Строка», а исходным полем является поле расширенной схемы событий, содержащее массив строк, в шаблоне может быть использован один из следующих примеров:

     • {{.SA.StringArrayOne}}
     • {{- range $index, $element := . SA.StringArrayOne -}}

       {{- if $index}}, {{end}}"{{$element}}"{{- end -}}

     Для преобразования в шаблоне данных поля массива в формат TSV необходимо использовать функцию toString, например:

     template {{toString .SA.StringArray}}

   • dns

     Этот тип обогащения используется для отправки запросов на DNS-сервер частной сети для преобразования IP-адресов в доменные имена или наоборот. Преобразование IP-адресов в DNS-имена происходит только для частных адресов: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 100.64.0.0/10.

     Доступные параметры:

     • URL – в этом поле можно указать URL DNS-сервера, которому вы хотите отправлять запросы. С помощью кнопки Добавить URL можно указать несколько URL.
     • Запросов в секунду – максимальное количество запросов к серверу в секунду. Значение по умолчанию: 1000.
     • Рабочие процессы – максимальное количество запросов в один момент времени. Значение по умолчанию: 1.
     • Количество задач – максимальное количество одновременно выполняемых запросов. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
     • Срок жизни кеша – время жизни значений, хранящихся в кеше. Значение по умолчанию: 60.
     • Кеш отключен – с помощью этого раскрывающегося списка можно включить или отключить кеширование. По умолчанию кеширование включено.
     • Требуется рекурсия - параметр доступен начиная с KUMA 3.4.1. С помощью переключателя можно включить отправку коллектором KUMA рекурсивных запросов к авторитативным DNS-серверам для выполнения обогащения. Значение по умолчанию: Выключено.
   • cybertrace

     Этот тип обогащения является устаревшим, вместо него рекомендуется использовать тип обогащения cybertrace-http.

     Этот тип обогащения используется для добавления в поля события сведений из потоков данных CyberTrace.

     Доступные параметры:

     • URL (обязательно) – в этом поле можно указать URL сервера CyberTrace, которому вы хотите отправлять запросы. Порт CyberTrace по умолчанию 9999.
     • Количество подключений – максимальное количество подключений к серверу CyberTrace, которые может одновременно установить KUMA. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
     • Запросов в секунду – максимальное количество запросов к серверу в секунду. Значение по умолчанию: 1000.
     • Время ожидания – время ожидания отклика от сервера CyberTrace в секундах. Значение по умолчанию: 30.
     • Максимальное кол-во событий в очереди обогащения – максимальное количество событий, сохраняемое в очереди для переотправки. Значение по умолчанию: 1000000000.
     • Сопоставление (обязательно) – этот блок параметров содержит таблицу сопоставления полей событий KUMA с типами индикаторов CyberTrace. В столбце Поле KUMA указаны названия полей событий KUMA, а в столбце Индикатор CyberTrace указаны типы индикаторов CyberTrace.

       Доступные типы индикаторов CyberTrace:

       • ip
       • url
       • hash

       В таблице сопоставления требуется указать как минимум одну строку. С помощью кнопки Добавить строку можно добавить строку, а с помощью кнопки – удалить.

   • cybertrace-http

     Это новый тип потокового обогащения событий в CyberTrace, который позволяет отправлять большое количество событий одним запросом на API-интерфейс CyberTrace. Мы рекомендуем применять в системах с большим потоком событий. Производительность cybertrace-http превосходит показатели прежнего типа cybertrace, который по-прежнему доступен в KUMA для обеспечения обратной совместимости.

     Ограничения:

     • Тип обогащения cybertrace-http неприменим для ретроспективного сканирования в KUMA.
     • В случае использования типа обогащения cybertrace-http обнаружения киберугроз не сохраняются в истории CyberTrace в окне Detections.

     Доступные параметры:

     • URL (обязательно) – в этом поле можно указать URL сервера CyberTrace, которому вы хотите отправлять запросы и порт, который использует API CyberTrace. Порт по умолчанию 443.
     • Секрет (обязательно) – раскрывающийся список для выбора секрета, в котором хранятся учетные данные для подключения.
     • Время ожидания – время ожидания отклика от сервера CyberTrace в секундах. Значение по умолчанию: 30.
     • Ключевые поля (обязательно) – список полей событий, используемых для обогащения событий данными из CyberTrace.
     • Максимальное кол-во событий в очереди обогащения – максимальное количество событий, сохраняемое в очереди для переотправки. Значение по умолчанию: 1000000000. По достижении 1 млн получаемых событий от сервера CyberTrace события перестают обогащаться, пока число получаемых событий не станет меньше 500 тыс.
   • часовой пояс

     Этот тип обогащения используется в коллекторах и корреляторах для присваивания событию определенного часового пояса. Сведения о часовом поясе могут пригодиться при поиске событий, случившихся в нетипичное время, например ночью.

     При выборе этого типа обогащения в раскрывающемся списке Часовой пояс необходимо выбрать требуемую временную зону.

     Убедитесь, что требуемый часовой пояс установлен на сервере сервиса, использующего обогащение. Например, это можно сделать с помощью команды timedatectl list-timezones, которая показывает все установленные на сервере часовые пояса. Подробнее об установке часовых поясов смотрите в документации используемой вами операционной системы.

     При обогащении события в поле события DeviceTimeZone записывается смещение времени выбранного часового пояса относительно всемирного координированного времени (UTC) в формате +-чч:мм. Например, если выбрать временную зону Asia/Yekaterinburg в поле DeviceTimeZone будет записано значение +05:00. Если в обогащаемом событии есть значение поля DeviceTimeZone, оно будет перезаписано.

     По умолчанию, если в обрабатываемом событии не указан часовой пояс и не настроены правила обогащения по часовому поясу, событию присваивается часовой пояс сервера, на котором установлен сервис (коллектор или коррелятор), обрабатывающий событие. При изменении времени сервера сервис необходимо перезапустить.

     Допустимые форматы времени при обогащении поля DeviceTimeZone

     При обработке в коллекторе поступающих "сырых" событий следующие форматы времени могут быть автоматически приведены к формату +-чч:мм:

     Формат времени в обрабатываемом событии	Пример
     +-чч:мм	-07:00
     +-ччмм	-0700
     +-чч	-07

     Если формат даты в поле DeviceTimeZone отличается от указанных выше, при обогащении события сведениями о часовом поясе в поле записывается часовой пояс серверного времени коллектора. Вы можете создать особые правила нормализации для нестандартных форматов времени.

4. С помощью переключателя Отладка укажите, следует ли включить логирование операций сервиса. По умолчанию логирование выключено.
5. В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться с применением правила обогащения. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

   Создание фильтра в ресурсах

   Чтобы создать фильтр:

   1. В раскрывающемся списке Фильтр выберите Создать.
   2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
   3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
   4. В блоке параметров Условия укажите условия, которым должны соответствовать события:
      1. Нажмите на кнопку Добавить условие.
      2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
      3. В раскрывающемся списке оператор выберите оператор.

         Операторы фильтров

         • = – левый операнд равен правому операнду.
         • < – левый операнд меньше правого операнда.
         • <= – левый операнд меньше или равен правому операнду.
         • > – левый операнд больше правого операнда.
         • >= – левый операнд больше или равен правому операнду.
         • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
         • contains – левый операнд содержит значения правого операнда.
         • startsWith – левый операнд начинается с одного из значений правого операнда.
         • endsWith – левый операнд заканчивается одним из значений правого операнда.
         • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
         • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

           Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

           Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

         • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

           Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

         • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
         • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
         • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
         • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
         • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
         • inContextTable – присутствует ли в указанной контекстной таблице запись.
         • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
      4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
      5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.

      Вы можете добавить несколько условий или группу условий.

   5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
   6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

В набор ресурсов для коррелятора добавлено новое правило обогащения.

Перейдите к следующему шагу мастера установки.

Шаг 5. Реагирование

Это необязательный шаг мастера установки. В вкладке мастера установки Реагирование можно выбрать или создать правила реагирования с указанием, какие действия требуется выполнить при срабатывании правил корреляции. Правил реагирования может быть несколько. Их можно добавить с помощью кнопки Добавить или удалить с помощью кнопки .

Чтобы добавить в набор ресурсов существующее правило реагирования:

1. Нажмите Добавить.

   Откроется окно с параметрами правила реагирования.

2. В раскрывающемся списке Правило реагирования выберите нужный ресурс.

Правило реагирования добавлено в набор ресурсов для коррелятора.

Чтобы создать в наборе ресурсов новое правило реагирования:

1. Нажмите Добавить.

   Откроется окно с параметрами правила реагирования.

2. В раскрывающемся списке Правило реагирования выберите Создать.
3. В раскрывающемся списке Тип выберите тип правила реагирования и заполните относящиеся к нему параметры:
   • Реагирование через KSC – правила реагирования для автоматического запуска задач на активах Kaspersky Security Center. Например, вы можете настроить автоматический запуск антивирусной проверки или обновление базы данных.

     Автоматический запуск задач выполняется при интеграции KUMA с Kaspersky Security Center. Задачи запускаются только на активах, импортированных из Kaspersky Security Center.

     Параметры реагирования

     • Задача Kaspersky Security Center (обязательно) – название задачи Kaspersky Security Center, которую требуется запустить. Задачи должны быть созданы заранее, и их названия должны начинаться со слова "KUMA ". Например, "KUMA antivirus check".

       Типы задач Kaspersky Security Center, которые можно запустить с помощью KUMA:

       • обновление;
       • поиск вирусов.
     • Поле события (обязательно) – определяет поле события для актива, для которого нужно запустить задачу Kaspersky Security Center. Возможные значения:
       • SourceAssetID
       • DestinationAssetID
       • DeviceAssetID

     Для отправки запросов в Kaspersky Security Center необходимо убедиться, что Kaspersky Security Center доступен по протоколу UDP.

   • Запуск скрипта – правила реагирования для автоматического запуска скрипта. Например, вы можете создать скрипт с командами, которые требуется выполнить на сервере KUMA при обнаружении выбранных событий.

     Файл скрипта хранится на сервере, где установлен сервис коррелятора, использующий ресурс реагирования: /opt/kaspersky/kuma/correlator/<Идентификатор коррелятора>/scripts.

     Пользователю kuma этого сервера требуются права на запуск скрипта.

     Параметры реагирования

     • Время ожидания – количество секунд, которое выждет система, прежде чем запустить скрипт.
     • Название скрипта (обязательно) – имя файла скрипта.

       Если ресурс реагирования прикреплен к сервису коррелятора, однако в папке /opt/kaspersky/kuma/correlator/<Идентификатор коррелятора>/scripts файл скрипта отсутствует, коррелятор не будет работать.

     • Аргументы скрипта – параметры или значения полей событий, которые необходимо передать скрипту.

       Если в скрипте производятся какие-либо действия с файлами, к ним следует указывать абсолютный путь.

       Параметры можно обрамлять кавычками (").

       Имена полей событий передаются в формате {{.EventField}}, где EventField – это имя поля события, значение которого должно быть передано в скрипт.

       Пример: -n "\"usr\": {{.SourceUserName}}"

   • Реагирование через KEDR – правила реагирования для автоматического создания правил запрета, запуска сетевой изоляции или запуска программы на активах Kaspersky Endpoint Detection and Response и Kaspersky Security Center.

     Автоматические действия по реагированию выполняются при интеграции KUMA с Kaspersky Endpoint Detection and Response.

     Параметры реагирования

     • Поле события (обязательно) – поле события с активом, для которого нужно выполнить действия по реагированию. Возможные значения:
       • SourceAssetID.
       • DestinationAssetID.
       • DeviceAssetID.
     • Тип задачи – действие по реагированию, которое требуется выполнить при получении данных, соответствующих фильтру. Доступны следующие типы действий по реагированию:
       • Включить сетевую изоляцию.

         При выборе этого типа реагирования вам нужно задать значения для следующих параметров:

         • Срок действия изоляции – количество часов, в течение которых будет действовать сетевая изоляция актива. Вы можете указать от 1 до 9999 часов.

           При необходимости вы можете добавить исключение для сетевой изоляции.

           Чтобы добавить исключение для сетевой изоляции:

           1. Нажмите на кнопку Добавить исключение.
           2. Выберите направление сетевого трафика, которое не должно быть заблокировано:
              • Входящее.
              • Исходящее.
              • Входящее/Исходящее.
           3. В поле IP актива введите IP-адрес актива, сетевой трафик которого не должен быть заблокирован.
           4. Если вы выбрали Входящее или Исходящее, укажите порты подключения в полях Удаленные порты и Локальные порты.
           5. Если вы хотите добавить более одного исключения, нажмите на кнопку Добавить исключение и повторите действия по заполнению полей Направление трафика, IP актива, Удаленные порты и Локальные порты.
           6. Если вы хотите удалить исключение, нажмите на кнопку Удалить под нужным вам исключением.

           При добавлении исключений в правило сетей изоляции Kaspersky Endpoint Detection and Response может некорректно отображать значения портов в информации о правиле. Это не влияет на работоспособность программы. Подробнее о просмотре правила сетевой изоляции см. в справке Kaspersky Anti Targeted Attack Platform.

       • Выключить сетевую изоляцию.
       • Добавить правило запрета.

         При выборе этого типа реагирования вам нужно задать значения для следующих параметров:

         • Поля события для получения хеш-суммы – поля событий, из которых KUMA извлекает SHA256- или MD5-хеши файлов, запуск которых требуется запретить.

           Выбранные поля событий, а также значения, выбранные в Поле события, требуется добавить в наследуемые поля правила корреляции.

         • Хеш файла №1 – SHA256- или MD5-хеш файла, который требуется запретить.

         Хотя бы одно из указанных выше полей должно быть заполнено.

       • Удалить правило запрета.
       • Запустить программу.

         При выборе этого типа реагирования вам нужно задать значения для следующих параметров:

         • Путь к файлу – путь к файлу процесса, который вы хотите запустить.
         • Аргументы командной строки – параметры, с которыми вы хотите запустить файл.
         • Текущая директория – директория, в которой на момент запуска располагается файл.

         При срабатывании правила реагирования для пользователей с ролью главный администратор в разделе Диспетчер задач веб-интерфейса программы отобразится задача Запустить программу. В столбце Создал таблицы задач для этой задачи отображается Задача по расписанию. Вы можете просмотреть результат выполнения задачи.

         Все перечисленные операции выполняются на активах с Kaspersky Endpoint Agent для Windows. На активах с Kaspersky Endpoint Agent для Linux выполняется только запуск программы.

         На программном уровне возможность создания правил запрета и сетевой изоляции для активов с Kaspersky Endpoint Agent для Linux не ограничена. KUMA и Kaspersky Endpoint Detection and Response не уведомляют о неуспешном применении этих правил.

   • Реагирование через KICS/KATA – правила реагирования для автоматического запуска задач в на активах KICS for Networks. Например, изменить статус актива в KICS for Networks.

     Автоматический запуск задач выполняется при интеграции KUMA с KICS for Networks.

     Параметры реагирования

     • Поле события (обязательно) – поле события с активом, для которого нужно выполнить действия по реагированию. Возможные значения:
       • SourceAssetID.
       • DestinationAssetID.
       • DeviceAssetID.
     • Задача KICS/KATA – действие по реагированию, которое требуется выполнить при получении данных, соответствующих фильтру. Доступны следующие типы действий по реагированию:
       • Изменить статус актива на Разрешенное.
       • Изменить статус актива на Неразрешенное.

       При срабатывании правила реагирования из KUMA в KICS/KATA будет отправлен API-запрос на изменение статуса указанного устройства на Разрешенное или Неразрешенное.

   • Реагирование через Active Directory – правила реагирования для изменения прав пользователей Active Directory. Например, блокировать пользователя.

     Запуск задач выполняется при интеграции с Active Directory.

     Параметры реагирования

     • Источник идентификатора аккаунта – поле события, откуда будет взято значение идентификатора учетной записи Active Directory. Возможные значения:
       • SourceAccountID
       • DestinationAccountID
     • Команда Active Directory – команда, которая будет применяться к учетной записи при срабатывании правила реагирования. Доступные значения:
       
       • Добавить учетную запись в группу
       • Удалить учетную запись из группы
       • Сбросить пароль учетной записи
       • Блокировать учетную запись

• В поле Рабочие процессы укажите количество процессов, которые сервис может запускать одновременно.

  По умолчанию количество рабочих процессов соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.

  Поле не обязательно для заполнения.

1. В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

   Создание фильтра в ресурсах

   Чтобы создать фильтр:

   1. В раскрывающемся списке Фильтр выберите Создать.
   2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
   3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
   4. В блоке параметров Условия укажите условия, которым должны соответствовать события:
      1. Нажмите на кнопку Добавить условие.
      2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
      3. В раскрывающемся списке оператор выберите оператор.

         Операторы фильтров

         • = – левый операнд равен правому операнду.
         • < – левый операнд меньше правого операнда.
         • <= – левый операнд меньше или равен правому операнду.
         • > – левый операнд больше правого операнда.
         • >= – левый операнд больше или равен правому операнду.
         • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
         • contains – левый операнд содержит значения правого операнда.
         • startsWith – левый операнд начинается с одного из значений правого операнда.
         • endsWith – левый операнд заканчивается одним из значений правого операнда.
         • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
         • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

           Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

           Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

         • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

           Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

         • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
         • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
         • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
         • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
         • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
         • inContextTable – присутствует ли в указанной контекстной таблице запись.
         • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
      4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
      5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.

      Вы можете добавить несколько условий или группу условий.

   5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
   6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

В набор ресурсов для коррелятора добавлено новое правило реагирования.

Перейдите к следующему шагу мастера установки.

Шаг 6. Маршрутизация

Это необязательный шаг мастера установки. В вкладке мастера установки Маршрутизация можно выбрать или создать точки назначения, в параметрах которых будут определено, куда следует перенаправлять созданные коррелятором события. Обычно события от коррелятора перенаправляются в хранилище для хранения и для возможности просматривать их позднее. При необходимости события можно отправлять в другие места. Точек назначения может быть несколько.

Чтобы добавить в набор ресурсов коррелятора существующую точку назначения:

1. В раскрывающемся списке Добавить точку назначения выберите тип точки назначения, которую вы хотите добавить:
   • Выберите Хранилище, если хотите настроить отправку обработанных событий в хранилище.
   • Выберите Коррелятор, если хотите настроить отправку обработанных событий в коррелятор.
   • Выберите Другое, если хотите отправлять события в другие места.

     К этому типу относятся также сервисы коррелятора и хранилища, созданные в предыдущих версиях программы.

   Открывается окно Добавить точку назначения, где можно указать параметры пересылки событий.

2. В раскрывающемся списке Точка назначения выберите нужную точку назначения.

   Название окна меняется на Изменить точку назначения, параметры выбранного ресурса отображаются в окне. Ресурс можно открыть для редактирования в новой вкладке браузера с помощью кнопки .

3. Нажмите Сохранить.

Выбранная точка назначения отображается в вкладке мастера установки. Точку назначения можно удалить из набора ресурсов, выбрав ее и в открывшемся окне нажав Удалить.

Чтобы добавить в набор ресурсов коррелятора новую точку назначения:

1. В раскрывающемся списке Добавить точку назначения выберите тип точки назначения, которую вы хотите добавить:
   • Выберите Хранилище, если хотите настроить отправку обработанных событий в хранилище.
   • Выберите Коррелятор, если хотите настроить отправку обработанных событий в коррелятор.
   • Выберите Другое, если хотите отправлять события в другие места.

     К этому типу относятся также сервисы коррелятора и хранилища, созданные в предыдущих версиях программы.

   Открывается окно Добавить точку назначения, где можно указать параметры пересылки событий.

2. Укажите параметры на вкладке Основные параметры:
   • В раскрывающемся списке Точка назначения выберите Создать.
   • Введите в поле Название уникальное имя для точки назначения. Название должно содержать от 1 до 128 символов в кодировке Unicode.
   • С помощью переключателя Выключено, выберите, будут ли события отправляться в эту точку назначения. По умолчанию отправка событий включена.
   • Выберите Тип точки назначения:
     • Выберите storage, если хотите настроить отправку обработанных событий в хранилище.
     • Выберите correlator, если хотите настроить отправку обработанных событий в коррелятор.
     • Выберите nats-jetstream, tcp, http, kafka или file, если хотите настроить отправку событий в другие места.
   • Укажите URL, куда следует отправлять события, в формате hostname:<порт API>.

     Для всех типов, кроме nats-jetstream и file с помощью кнопки URL можно указать несколько адресов отправки.

   • Для типов nats-jetstream и kafka в поле Топик укажите, в какой топик должны записываться данные. Топик должен содержать символы в кодировке Unicode. Топик для Kafka имеет ограничение длины в 255 символов.
3. При необходимости укажите параметры на вкладке Дополнительные параметры. Доступные параметры зависят от выбранного типа точки назначения:
   • Сжатие – раскрывающийся список, в котором можно включить сжатие Snappy. По умолчанию сжатие Выключено.
   • Прокси-сервер – раскрывающийся список для выбора прокси-сервера.
   • Размер буфера – поле, в котором можно указать размер буфера (в байтах) для точки назначения. Значение по умолчанию: 1 МБ; максимальное: 64 МБ.
   • Время ожидания – поле, в котором можно указать время ожидания (в секундах) ответа другого сервиса или компонента. Значение по умолчанию: 30.
   • Размер дискового буфера – поле, в котором можно указать размер дискового буфера в байтах. По умолчанию размер равен 10 ГБ.
   • Идентификатор кластера – идентификатор кластера NATS.
   • Режим TLS – раскрывающийся список, в котором можно указать условия использование шифрования TLS:
     • Выключено (по умолчанию) – не использовать шифрование TLS.
     • Включено – использовать шифрование, но без верификации.
     • С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.

     При использовании TLS невозможно указать IP-адрес в качестве URL.

   • Политика выбора URL – раскрывающийся список, в котором можно выбрать способ определения, на какой URL следует отправлять события, если URL было указано несколько:
     • Любой – события отправляются в один из доступных URL до тех пор, пока этот URL принимает события. При разрыве связи (например, при отключении принимающего узла) для отправки событий будет выбран другой URL.
     • Сначала первый – события отправляются в первый URL из списка добавленных адресов. Если он становится недоступен, события отправляются в следующий по очереди доступный узел. Когда первый URL снова становится доступен, события снова начинаются отправляться в него.
     • Сбалансированный – пакеты с событиями будут равномерно распределены по доступным URL из списка. Поскольку пакеты отправляются или при переполнении буфера точки назначения, или при срабатывании таймера очистки буфера, эта политика выбора URL не гарантирует равное распределение событий по точкам назначения.
   • Разделитель – этот раскрывающийся список используется для указания символа, определяющего границу между событиями. По умолчанию используется \n.
   • Путь – путь к файлу, если выбран тип точки назначения file.
   • Интервал очистки буфера – это поле используется для установки времени (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 100.
   • Рабочие процессы – это поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
   • Вы можете установить проверки работоспособности, используя поля Путь проверки работоспособности и Ожидание проверки работоспособности. Вы также можете отключить проверку работоспособности, установив флажок Проверка работоспособности отключена.
   • Отладка – переключатель, с помощью которого можно указать, будет ли включено логирование ресурса. По умолчанию положение Выключено.
   • С помощью раскрывающегося списка Дисковый буфер можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер отключен.
   • В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться этим ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

     Создание фильтра в ресурсах

     Чтобы создать фильтр:

     1. В раскрывающемся списке Фильтр выберите Создать.
     2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
     3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
     4. В блоке параметров Условия укажите условия, которым должны соответствовать события:
        1. Нажмите на кнопку Добавить условие.
        2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
        3. В раскрывающемся списке оператор выберите оператор.

           Операторы фильтров

           • = – левый операнд равен правому операнду.
           • < – левый операнд меньше правого операнда.
           • <= – левый операнд меньше или равен правому операнду.
           • > – левый операнд больше правого операнда.
           • >= – левый операнд больше или равен правому операнду.
           • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
           • contains – левый операнд содержит значения правого операнда.
           • startsWith – левый операнд начинается с одного из значений правого операнда.
           • endsWith – левый операнд заканчивается одним из значений правого операнда.
           • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
           • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

             Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

             Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

           • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

             Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

           • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
           • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
           • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
           • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
           • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
           • inContextTable – присутствует ли в указанной контекстной таблице запись.
           • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
        4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
        5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.

        Вы можете добавить несколько условий или группу условий.

     5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
     6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .
4. Нажмите Сохранить.

Созданная точка назначения отображается на вкладке мастера установки. Точку назначения можно удалить из набора ресурсов, выбрав ее и в открывшемся окне нажав Удалить.

Перейдите к следующему шагу мастера установки.

Шаг 7. Проверка параметров

Это обязательный и заключительный шаг мастера установки. На этом шаге в KUMA создается набор ресурсов для сервиса и на основе этого набора автоматически создаются сервисы:

• Набор ресурсов для коррелятора отображается в разделе Ресурсы → Корреляторы. Его можно использовать для создания новых сервисов коррелятора. При изменении этого набора ресурсов все сервисы, которые работают на его основе, будут использовать новые параметры, если сервисы перезапустить: для этого можно использовать кнопки Сохранить и перезапустить сервисы и Сохранить и обновить параметры сервисов.

  Набор ресурсов можно изменять, копировать, переносить из папки в папку, удалять, импортировать и экспортировать, как другие ресурсы.

• Сервисы отображаются в разделе Ресурсы → Активные сервисы. Созданные с помощью мастера установки сервисы выполняют функции внутри программы KUMA – для связи с внешними частями сетевой инфраструктуры необходимо установить аналогичные внешние сервисы на предназначенных для них серверах и устройствах. Например, внешний сервис коррелятора следует установить на сервере, предназначенном для обработки событий; внешние сервисы хранилища – на серверах с развернутой службой ClickHouse; внешние сервисы агентов – на тех устройствах Windows, где требуется получать и откуда необходимо пересылать события Windows.

Чтобы завершить мастер установки:

1. Нажмите Сохранить и создать сервис.

   На вкладке мастера установки Проверка параметров отображается таблица сервисов, созданных на основе набора ресурсов, выбранных в мастере установки. В нижней части окна отображаются примеры команд, с помощью которых необходимо установить внешние аналоги этих сервисов на предназначенные для них серверы и устройства.

   Например:

   /opt/kaspersky/kuma/kuma correlator --core https://kuma-example:<порт, используемый для связи с Ядром KUMA> --id <идентификатор сервиса> --api.port <порт, используемый для связи с сервисом> --install

   Файл kuma можно найти внутри установщика в директории /kuma-ansible-installer/roles/kuma/files/.

   Порт для связи с Ядром KUMA, идентификатор сервиса и порт для связи с сервисом добавляются в команду автоматически. Также следует убедиться в сетевой связности системы KUMA и при необходимости открыть используемые ее компонентами порты.

2. Закройте мастер, нажав Сохранить.

Сервис коррелятора создан в KUMA. Теперь сервис необходимо установить на сервере, предназначенном для обработки событий.

Установка коррелятора в сетевой инфраструктуре KUMA

Коррелятор состоит из двух частей: одна часть создается внутри веб-интерфейса KUMA, а другая устанавливается на сервере сетевой инфраструктуры, предназначенном для обработки событий. В сетевой инфраструктуре устанавливается вторая часть коррелятора.

Чтобы установить коррелятор:

1. Войдите на сервер, на котором вы хотите установить сервис.
2. Выполните следующую команду:

   sudo /opt/kaspersky/kuma/kuma correlator --core https://<FQDN сервера Ядра KUMA>:<порт, используемый Ядром KUMA для внутренних коммуникаций (по умолчанию используется порт 7210)> --id <идентификатор сервиса, скопированный из веб-интерфейса KUMA> --api.port <порт, используемый для связи с устанавливаемым компонентом> --install

   Пример: sudo /opt/kaspersky/kuma/kuma correlator --core https://kuma.example.com:7210 --id XXXX --api.port YYYY --install

   Команду, с помощью которой можно установить коррелятор на сервере, можно скопировать на последнем шаге мастера установщика. В ней автоматически указывается адрес и порт сервера Ядра KUMA, идентификатор устанавливаемого коррелятора, а также порт, который этот коррелятор использует для связи. Перед установкой необходимо убедиться в сетевой связности компонентов KUMA.

   При развертывании нескольких сервисов KUMA на одном хосте в процессе установки необходимо указать уникальные порты для каждого компонента с помощью параметра --api.port <порт>. По умолчанию используется значение --api.port 7221.

Коррелятор установлен. С его помощью можно анализировать события на предмет угроз.

Проверка правильности установки коррелятора

Проверить готовность коррелятора к получению событий можно следующим образом:

1. В веб-интерфейсе KUMA откройте раздел Ресурсы → Активные сервисы.
2. Убедитесь, что у установленного вами коррелятора зеленый статус.

Если в коррелятор поступают события, удовлетворяющие условиям фильтра правил корреляции, на вкладке событий будут отображаться события с параметрами DeviceVendor=Kaspersky и DeviceProduct=KUMA. Название сработавшего правила корреляции будет отображаться как название этих корреляционных событий.

Если корреляционные события не найдены

Можно создать более простую версию правила корреляции, чтобы найти возможные ошибки. Используйте правило корреляции типа simple и одно действие Отправить событие на дальнейшую обработку. Рекомендуется создать фильтр для поиска событий, которые KUMA получает регулярно.

При обновлении, добавлении или удалении правила корреляции требуется обновить параметры коррелятора.

Когда вы закончите тестирование правил корреляции, необходимо удалить все тестовые и временные правила корреляции из KUMA и обновить параметры коррелятора.

Создание коллектора

Коллектор состоит из двух частей: одна часть создается внутри веб-интерфейса KUMA, а другая устанавливается на сервере сетевой инфраструктуры, предназначенном для получения событий.

Действия в веб-интерфейсе KUMA

Создание коллектора в веб-интерфейсе KUMA производится с помощью мастера установки, в процессе выполнения которого необходимые ресурсы объединяются в набор ресурсов для коллектора, а по завершении мастера на основе этого набора ресурсов автоматически создается и сам сервис.

Чтобы создать коллектор в веб-интерфейсе KUMA,

Запустите мастер установки коллектора:

• В веб-интерфейсе KUMA в разделе Ресурсы нажмите на кнопку Подключить источник.
• В веб-интерфейсе KUMA в разделе Ресурсы → Коллекторы нажмите на кнопку Добавить коллектор.

В результате выполнения шагов мастера в веб-интерфейсе KUMA создается сервис коллектора.

В набор ресурсов для коллектора объединяются следующие ресурсы:

• коннектор;
• нормализатор (как минимум один);
• фильтры (при необходимости);
• правила агрегации (при необходимости);
• правила обогащения (при необходимости);
• точки назначения (как правило, две: задается отправка событий в коррелятор и хранилище).

Эти ресурсы можно подготовить заранее, а можно создать в процессе выполнения мастера установки.

Действия на сервере коллектора KUMA

При установке коллектора на сервер, предназначенный для получения событий, требуется запустить команду, которая отображается на последнем шаге мастера установки. При установке необходимо указать идентификатор, автоматически присвоенный сервису в веб-интерфейсе KUMA, а также используемый для связи порт.

Проверка установки

После создания коллектора рекомендуется убедиться в правильности его работы.

Запуск мастера установки коллектора

Коллектор состоит из двух частей: одна часть создается внутри веб-интерфейса KUMA, а другая устанавливается на сервере сетевой инфраструктуры, предназначенной для получения событий. В мастере установки создается первая часть коллектора.

Чтобы запустить мастер установки коллектора:

• В веб-интерфейсе KUMA в разделе Ресурсы нажмите Подключить источник.
• В веб-интерфейсе KUMA в разделе Ресурсы → Коллекторы нажмите Добавить коллектор.

Следуйте указаниям мастера.

Шаги мастера, кроме первого и последнего, можно выполнять в произвольном порядке. Переключаться между шагами можно с помощью кнопок Вперед и Назад, а также нажимая на названия шагов в левой части окна.

По завершении мастера в веб-интерфейсе KUMA в разделе Ресурсы → Коллекторы создается набор ресурсов для коллектора, а в разделе Ресурсы → Активные сервисы добавляется сервис коллектора.

Шаг 1. Подключение источников событий

Это обязательный шаг мастера установки. На этом шаге указываются основные параметры коллектора: название и тенант, которому он будет принадлежать.

Чтобы задать общие параметры коллектора:

1. На вкладке Основные параметры заполните следующие поля:
   1. В поле Название коллектора введите уникальное имя создаваемого сервиса. Название должно содержать от 1 до 128 символов в кодировке Unicode.

      При создании некоторых типов коллекторов вместе с ними автоматически создаются агенты, имеющие название "agent: <Название коллектора>, auto created". Если такой агент уже создавался ранее и не был удален, то коллектор с названием <Название коллектора> невозможно будет создать. В такой ситуации необходимо или указать другое название коллектора, или удалить ранее созданный агент.

   2. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать коллектор. От выбора тенанта зависит, какие ресурсы будут доступны при его создании.

      Если вы с какого-либо последующего шага мастера установки вернетесь в это окно и выберите другой тенант, вам потребуется вручную изменить все ресурсы, которые вы успели добавить в сервис. В сервис можно добавлять только ресурсы из выбранного и общего тенантов.

   3. В поле Рабочие процессы при необходимости укажите количество процессов, которые может одновременно запускать сервис. По умолчанию количество рабочих процессов соответствует количеству vCPU сервера, на котором установлен сервис.
   4. В поле Описание можно добавить описание сервиса: до 256 символов в кодировке Unicode.
2. На вкладке Дополнительные параметры заполните следующие поля:
   1. При необходимости с помощью переключателя Отладка включите логирование операций сервиса. Сообщения об ошибках сервиса коллектора помещаются в журнал, даже если режим отладки выключен. Журнал можно просмотреть на машине, где установлен коллектор, в директории /opt/kaspersky/kuma/collector/<идентификатор коллектора>/log/collector.
   2. Переключатель Периодическое создание дампа используется по запросу Службы технической поддержки для генерации отчетов по потреблению ресурсов (cpu, ram и т.д.) в виде дампов.
   3. В поле Настройки дампа вы можете указать параметры создания дампа. Порядок заполнения этого поля уточняйте у Службы технической поддержки.

Общие параметры коллектора будут заданы. Перейдите к следующему шагу мастера установки.

Шаг 2. Транспорт

Это обязательный шаг мастера установки. На вкладке мастера установки Транспорт следует выбрать или создать коннектор, в параметрах которого будет определено, откуда сервис коллектора должен получать события.

Чтобы добавить в набор ресурсов существующий коннектор,

выберите в раскрывающемся списке Коннектор название нужного коннектора.

На вкладке мастера установки Транспорт отобразятся параметры выбранного коннектора. Выбранный коннектор можно открыть для редактирования в новой вкладке браузера с помощью кнопки .

Чтобы создать новый коннектор:

1. Выберите в раскрывающемся списке Коннектор пункт Создать.
2. В раскрывающемся списке Тип выберите тип коннектора и укажите его параметры на вкладках Основные параметры и Дополнительные параметры. Набор доступных параметров зависит от выбранного типа коннектора:
   • tcp.
   • udp.
   • netflow.
   • sflow.
   • nats-jetstream.
   • kafka.
   • http.
   • sql.
   • file.
   • 1c-log.
   • 1c-xml.
   • diode.
   • ftp.
   • nfs.
   • wmi.
   • wec.
   • etw.
   • snmp.
   • snmp-trap.
   • kata\edr.
   • vmware.
   • elastic.

   При использовании типа коннектора tcp или udp на этапе нормализации в поле событий DeviceAddress, если оно пустое, будут записаны IP-адреса устройств, с которых были получены события.

   При использовании типа коннектора wmi, wec или etw будут автоматически созданы агенты для приема событий Windows.

   Рекомендуется использовать кодировку по умолчанию (то есть UTF-8) и применять другие параметры только при получении в полях событий битых символов.

   Для настройки коллекторов KUMA на прослушивание портов с номерами меньше 1000 сервис нужного коллектора необходимо запускать с правами root. Для этого после установки коллектора в его конфигурационный файл systemd в раздел [Service] требуется дописать строку AmbientCapabilities=CAP_NET_BIND_SERVICE.
   Systemd-файл располагается в директории /usr/lib/systemd/system/kuma-collector-<идентификатор коллектора>.service.

Коннектор добавлен в набор ресурсов коллектора. Созданный коннектор доступен только в этом наборе ресурсов и не отображается в разделе веб-интерфейса Ресурсы → Коннекторы.

Перейдите к следующему шагу мастера установки.

Шаг 3. Парсинг событий

Развернуть всё | Свернуть всё

Это обязательный шаг мастера установки. На вкладке мастера установки Парсинг событий вам нужно нажать на кнопку + Добавить парсинг событий, после чего в открывшемся окне Основной парсинг событий в раскрывающемся списке Нормализатор выбрать или создать нормализатор. В параметрах нормализатора необходимо определить правила преобразования сырых событий в нормализованные. В нормализатор можно добавить несколько правил парсинга событий, реализуя таким образом сложную логику обработки событий. Вы можете протестировать работу нормализатора, используя тестовые события.

При создании нового нормализатора в мастере установки нормализатор по умолчанию сохраняется в наборе ресурсов для коллектора. Вы не можете использовать созданный нормализатор в других коллекторах. Вы можете установить флажок Сохранить нормализатор, чтобы создать нормализатор в виде отдельного ресурса. В этом случае нормализатор будет доступен для выбора в других коллекторах тенанта.

Если при изменении параметров набора ресурсов коллектора вы измените или удалите преобразования в подключенном к набору ресурсов коллектора нормализаторе, правки не сохранятся, а сам нормализатор может быть поврежден. При необходимости изменить преобразования в нормализаторе, который уже является частью сервиса, внесите правки непосредственно в нормализатор в разделе веб-интерфейса Ресурсы → Нормализаторы.

Добавление нормализатора в набор ресурсов

Чтобы добавить нормализатор в набор ресурсов:

1. Нажмите на кнопку + Добавить парсинг событий.

   Откроется окно Основной парсинг событий с параметрами нормализатора. По умолчанию будет выбрана вкладка Схема нормализации.

2. В раскрывающемся списке Нормализатор выберите нормализатор. Вы можете выбрать нормализатор, который принадлежит тенанту коллектора или общему тенанту.

   Отобразятся параметры нормализатора.

   Если вы хотите изменить параметры нормализатора, в раскрывающемся списке Нормализатор нажмите на значок карандаша рядом с названием нормализатора и в открывшемся окне Редактирование нормализатора нажмите на темный кружок. Откроется окно Основной парсинг событий с параметрами нормализатора. Если вы хотите настроить параметры дополнительного парсинга, в окне Редактирование нормализатора наведите курсор на темный кружок и нажмите на отобразившийся значок плюса. Откроется окно Дополнительный парсинг событий с параметрами дополнительного парсинга. Подробнее о настройке параметров дополнительного парсинга событий см. ниже в разделе Создание структуры правил нормализации событий.

3. Нажмите на кнопку ОК.

Нормализатор будет добавлен и отобразится в виде темного кружка на вкладке мастера установки Парсинг событий. Вы можете нажать на темный кружок, чтобы просмотреть параметры нормализатора.

Чтобы создать в коллекторе новый нормализатор:

1. Нажмите на кнопку + Добавить парсинг событий.

   Откроется окно Основной парсинг событий с параметрами нормализатора. По умолчанию будет выбрана вкладка Схема нормализации.

2. Если хотите создать нормализатор в виде отдельного ресурса, установите флажок Сохранить нормализатор. Если флажок установлен, нормализатор будет доступен для выбора в других коллекторах тенанта. По умолчанию флажок снят.
3. В поле Название введите уникальное имя нормализатора. Максимальная длина имени: до 128 символов в кодировке Unicode.
4. В раскрывающемся списке Метод парсинга выберите тип получаемых событий. В зависимости от выбранного значения вы можете использовать преднастроенные правила сопоставления полей событий или указать правила вручную. При выборе определенных методов парсинга могут стать доступны дополнительные параметры, для которых вам нужно указать значения.

   Доступные методы парсинга:

   • json.

     Этот метод парсинга используется для обработки данных в формате JSON, в которых каждый объект, включая его вложенные объекты, занимает одну строку файла.

     При обработке файлов с иерархически выстроенными данными вы можете обращаться к полям вложенных объектов, указывая названия параметров поочередно через точку. Например, к параметру username из строки "user":{"username":"system:node:example-01"} можно обратиться с помощью запроса user.username.

     Файлы обрабатываются построчно. Многострочные объекты с вложенными структурами могут быть нормализованы неправильно.

     В сложных схемах нормализации, где используются дополнительные нормализаторы, все вложенные объекты обрабатываются на первом уровне нормализации за исключением случаев, когда условия дополнительной нормализации не заданы и обрабатываемое событие целиком передается в дополнительный нормализатор.

     В качестве разделителя строк вы можете использовать символы \n и \r\n. Строки должны быть в кодировке UTF-8.

     Если вы хотите передавать сырое событие для дополнительной нормализации, на каждом уровне вложенности в окне Дополнительный парсинг события в раскрывающемся списке Использовать сырое событие выберите Да.

   • cef.

     Этот метод парсинга используется для обработки данных в формате CEF.

     При выборе этого метода парсинга вы можете использовать преднастроенные правила преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию.

   • regexp.

     Этот метод парсинга используется для создания собственных правил обработки данных в формате с использованием регулярных выражений.

     Вам нужно добавить регулярное выражение (синтаксис RE2) c именованными группами захвата в поле блока параметров Нормализация. Имя группы захвата и ее значение будут считаться полем и значением сырого события, которое можно будет преобразовать в поле события формата KUMA.

     Чтобы добавить правила обработки событий:

     1. При необходимости в поле Примеры событий скопируйте пример данных, которые вы хотите обработать. Мы рекомендуем выполнить этот шаг.
     2. В поле блока параметров Нормализация добавьте регулярное выражение c именованными группами захвата в синтаксисе RE2, например "(?P<name>regexp)". Регулярное выражение, добавленное в поле блока параметров Нормализация, должно полностью совпадать с событием. При разработке регулярного выражения рекомендуется использовать специальные символы, обозначающие начало и конец текста: ^, $.

        Вы можете добавить несколько регулярных выражений или удалить регулярные выражения. Для добавления регулярного выражения нажмите на кнопку Добавить регулярное выражение. Для удаления регулярного выражения нажмите рядом с ним на значок удаления .

     3. Нажмите на кнопку Перенести названия полей в таблицу.

        Имена групп захвата отображаются в столбце Поле KUMA таблицы Сопоставление. Вы можете выбрать соответствующее группе захвата поле KUMA в столбце напротив каждой группы захвата. Если вы именовали группы захвата в соответствии с форматом CEF, вы можете использовать автоматическое сопоставление CEF, установив флажок Использовать синтаксис CEF при нормализации.

     Правила обработки событий будут добавлены.

   • syslog.

     Этот метод парсинга используется для обработки данных в формате syslog.

     При выборе этого метода парсинга вы можете использовать преднастроенные правила преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию.

     Для парсинга событий в формате rfc5424 с секцией structured-data вам нужно в раскрывающемся списке Сохранить дополнительные поля выбрать Да. В этом случае значения из секции structured-data станут доступны в полях Extra.

   • csv.

     Этот метод парсинга используется для создания собственных правил обработки данных в формате CSV.

     При выборе этого метода парсинга вам нужно в поле Разделитель указать разделитель значений в строке. В качестве разделителя значений в строке можно использовать любой однобайтовый символ ASCII.

   • kv.

     Этот метод парсинга используется для обработки данных в формате ключ-значение. Доступные параметры метода парсинга описаны в таблице ниже.

     Доступные параметры метода парсинга

     Параметр	Описание
     Разделитель пар	Символ для разделения пар ключ-значение. Вы можете указать любое односимвольное (1 байт) значение. Указанное значение не должно совпадать со значением, указанным в поле Разделитель значений.
     Разделитель значений	Символ для разделения ключа и значения. Вы можете указать любое односимвольное (1 байт) значение. Указанное значение не должно совпадать со значением, указанным в поле Разделитель пар.

   • xml.

     Этот метод парсинга используется для обработки данных в формате XML, в которых каждый объект, включая вложенные объекты, занимает одну строку файла. Файлы обрабатываются построчно.

     Если вы хотите передавать сырое событие для дополнительной нормализации, на каждом уровне вложенности в окне Дополнительный парсинг события в раскрывающемся списке Использовать сырое событие выберите Да.

     При выборе этого метода парсинга вы можете указать ключевые атрибуты XML, которые требуется извлекать из тегов, в блоке параметров Атрибуты XML. Если в структуре XML в одном теге есть атрибуты XML с разными значениями, вы можете определить значение, указав ключ к значению в столбце Исходные данные таблицы Сопоставление.

     Чтобы добавить ключевые атрибуты XML:

     1. Нажмите на кнопку + Добавить поле.
     2. В открывшемся окне укажите путь к атрибуту XML.

     Вы можете добавить несколько атрибутов XML и удалить атрибуты XML. Для удаления отдельного атрибута XML нажмите рядом с ним на значок удаления . Для удаления всех атрибутов XML нажмите на кнопку Сбросить.

     Если ключевые атрибуты XML не указаны, при сопоставлении полей уникальный путь к значению XML будет представлен последовательностью тегов.

     Нумерация тегов

     Начиная с версии KUMA 2.1.3 доступна автоматическая нумерация тегов в событиях в формате XML. Это позволяет распарсить событие с одинаковыми тегами или неименованными тегами, такими как <Data>.

     В качестве примера мы используем нумерацию тегов атрибута EventData события Microsoft Windows PowerShell event ID 800.

     <Event xmlns="http://schemas .microsoft.com/win/2004/08/events/event">

     <System>

     <Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS" />

     <EventID Qualifiers="0000">0000</EventID>

     <Version>@</Version>

     <Level>4</Level>

     <Task>15</Task>

     <Opcode>0</Opcode>

     <Keywords >0x8080000000000000</Keywords>

     <TimeCreated SystemTime="2000-01-01T00:00:00.659495900Z" />

     <EventRecordID>55647</EventRecordID>

     <Correlation />

     <Execution ProcessID="1" ThreadID="1" />

     <Channel>service</Channel>

     <Computer>computer</Computer>

     <Security UserID="0000" />

     </System>

     <EventData>

     <Data>583</Data>

     <Data>36</Data>

     <Data>192.168.0.1:5084</Data>

     <Data>level</Data>

     <Data>name, lDAPDisplayName</Data>

     <Data />

     <Data>5545</Data>

     <Data>3</Data>

     <Data>0</Data>

     <Data>0</Data>

     <Data>0</Data>

     <Data>15</Data>

     <Data>none</Data>

     </EventData>

     </Event>

     Для парсинга событий с одинаковыми тегами или неименованными тегами вам нужно настроить нумерацию тегов и маппинг данных для пронумерованных тегов с полями события KUMA.

     KUMA 3.0.x поддерживает одновременное использование атрибутов XML и нумерации тегов в рамках одного экстранормализатора. Если атрибут XML содержит неименованные теги или одинаковые теги, мы рекомендуем использовать нумерацию тегов. Если атрибут XML содержит только именованные теги, мы рекомендуем использовать атрибуты XML.

     Для использования атрибутов XML и нумерации тегов в экстранормализаторах вам нужно последовательно включить параметр Использовать сырое событие в каждом экстранормализаторе по пути следования события в целевой экстранормализатор и в целевом экстранормализаторе.

     В качестве примера работы нумерации тегов вы можете обратиться к нормализатору MicrosoftProducts. Параметр Использовать сырое событие включен последовательно в экстранормализаторах AD FS и 424.

     Чтобы настроить парсинг событий с неименованными или одинаковыми тегами:

     1. Откройте существующий или создайте новый нормализатор.
     2. В окне нормализатора Основной парсинг событий в раскрывающемся списке Метод парсинга выберите xml.
     3. В поле Нумерация тегов нажмите на кнопку + Добавить поле.
     4. В отобразившемся поле укажите полный путь к тегу, элементам которого требуется присвоить порядковый номер, например Event.EventData.Data. Первому тегу будет присвоен номер 0. Если тег пустой, например <Data />, ему также будет присвоен порядковый номер.
     5. Для настройки маппинга данных в группе параметров Сопоставление нажмите на кнопку + Добавить строку и выполните следующие действия:
        1. В отобразившейся строке в поле Исходные данные укажите полный путь к тегу и индекс тега. Например, для события Microsoft Windows PowerShell event ID 800 из примера выше полные пути к тегам и индексы тегов будут выглядеть следующим образом:
           • Event.EventData.Data.0;
           • Event.EventData.Data.1;
           • Event.EventData.Data.2 и так далее.
        2. В раскрывающемся списке Поле KUMA выберите поле в событии KUMA, в которое попадет значение из пронумерованного тега после выполнения парсинга.
     6. Сохраните изменения одним из следующих способов:
        • Если вы создали новый нормализатор, нажмите на кнопку Сохранить.
        • Если вы изменили существующий нормализатор, в коллекторе, к которому привязан нормализатор, нажмите на кнопку Обновить параметры.

     Настройка парсинга будет завершена.

   • netflow.

     Этот метод парсинга используется для обработки данных во всех поддерживаемых форматах на основе протокола NetFlow: NetFlow v5, NetFlow v9 и IPFIX.

     При выборе этого метода парсинга вы можете использовать преднастроенные правила преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию. При этом будут учтены исходные поля всех версий NetFlow (NetFlow v5, NetFlow v9 и IPFIX).

     Если метод парсинга netflow выбран для основного парсинга, дополнительная нормализация недоступна.

     В правилах сопоставления по умолчанию для метода парсинга netflow в полях событий KUMA не указывается тип протокола. При парсинге данных в формате NetFlow на вкладке нормализатора Обогащение вам нужно создать правило обогащения данных типа constant, добавляющее значение netflow в целевое поле DeviceProduct.

   • netflow5.

     Этот метод парсинга используется для обработки данных в формате NetFlow v5.

     При выборе этого метода парсинга вы можете использовать преднастроенные правила преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию. Если метод парсинга netflow5 выбран для основного парсинга, дополнительная нормализация недоступна.

     В правилах сопоставления по умолчанию для метода парсинга netflow5 в полях событий KUMA не указывается тип протокола. При парсинге данных в формате NetFlow на вкладке нормализатора Обогащение вам нужно создать правило обогащения данных типа constant, добавляющее значение netflow в целевое поле DeviceProduct.

   • netflow9.

     Этот метод парсинга используется для обработки данных в формате NetFlow v9.

     При выборе этого метода парсинга вы можете использовать преднастроенные правила преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию. Если метод парсинга netflow9 выбран для основного парсинга, дополнительная нормализация недоступна.

     В правилах сопоставления по умолчанию для метода парсинга netflow9 в полях событий KUMA не указывается тип протокола. При парсинге данных в формате NetFlow на вкладке нормализатора Обогащение вам нужно создать правило обогащения данных типа constant, добавляющее значение netflow в целевое поле DeviceProduct.

   • sflow5.

     Этот метод парсинга используется для обработки данных в формате sflow5.

     При выборе этого метода парсинга вы можете использовать преднастроенные правила преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию. Если метод парсинга sflow5 выбран для основного парсинга, дополнительная нормализация недоступна.

   • ipfix.

     Этот метод парсинга используется для обработки данных в формате IPFIX.

     При выборе этого метода парсинга вы можете использовать преднастроенные правила преобразования событий в формат KUMA, нажав на кнопку Применить сопоставление по умолчанию. Если метод парсинга ipfix выбран для основного парсинга, дополнительная нормализация недоступна.

     В правилах сопоставления по умолчанию для метода парсинга ipfix в полях событий KUMA не указывается тип протокола. При парсинге данных в формате NetFlow на вкладке нормализатора Обогащение вам нужно создать правило обогащения данных типа constant, добавляющее значение netflow в целевое поле DeviceProduct.

   • sql – этот метод парсинга становится доступным, только если на шаге Транспорт мастера установки вы указали коннектор с типом sql.

     Нормализатор использует этот метод парсинга для обработки данных, полученных с помощью выборки из базы данных.

5. В раскрывающемся списке Сохранить исходное событие выберите, требуется ли сохранять исходное сырое событие в повторно созданном нормализованном событии:
   • Не сохранять – не сохранять исходное событие. Это значение выбрано по умолчанию.
   • При возникновении ошибок – сохранять исходное событие в поле Raw нормализованного события, если в процессе парсинга возникли ошибки. Вы можете использовать это значение при отладке сервиса. В этом случае появление у событий непустого поля Raw будет являться признаком неполадок.
   • Всегда – сохранять сырое событие в поле Raw нормализованного события.
6. В раскрывающемся списке Сохранить дополнительные поля выберите, требуется ли сохранять поля исходного события в нормализованном событии, если для них не было настроено сопоставление (см. шаг 8 этой инструкции):
   • Нет. Это значение выбрано по умолчанию.
   • Да. Поля исходного события сохраняются в поле Extra нормализованного события.
7. При необходимости в поле Примеры событий укажите пример данных, которые вы хотите обработать. Мы рекомендуем выполнить этот шаг.
8. В таблице Сопоставление настройте сопоставление полей исходного события с полями событий KUMA:
   1. Нажмите на кнопку + Добавить строку.

      Вы можете добавить несколько строк таблицы или удалить строки таблицы. Для удаления строки таблицы установите рядом с ней флажок и нажмите на кнопку Удалить.

   2. В столбце Исходные данные укажите название поля исходного события, которое вы хотите сопоставить с полем события KUMA.

      Подробнее о формате названий полей см. в статье Модель данных нормализованного события. Описание сопоставления см. в статье Сопоставление полей предустановленных нормализаторов.

      Если вы хотите создать правила изменения полей исходного события перед записью в поля событий KUMA, нажмите на значок настройки рядом с названием поля и в открывшемся окне Преобразование нажмите на кнопку + Добавить преобразование. Вы можете изменить порядок правил и удалить правила. Для изменения порядка правил используйте значки изменения порядка . Для удаления правила нажмите рядом с ним на значок удаления .

      Доступные преобразования

      Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

      Доступные преобразования:

      • lower – используется для перевода всех символов значения в нижний регистр
      • upper – используется для перевода всех символов значения в верхний регистр
      • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
      • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
      • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
        • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
        • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
      • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
      • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
      • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
      • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
        • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
        • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
      • Конвертация закодированных строк в текст:
        • decodeHexString – используется для конвертации HEX-строки в текст.
        • decodeBase64String – используется для конвертации Base64-строки в текст.
        • decodeBase64URLString – используется для конвертации Base64url-строки в текст.

        При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.

        При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, такая строка будет обрезана и не будет раскодирована.

        Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, такая строка будет обрезана до размера этого поля события.

      Преобразования при использовании расширенной схемы событий

      Возможность использования преобразования зависит от типа используемого поля расширенной схемы событий:

      • для дополнительное поле с типом «Строка» доступны все типы преобразований.
      • для полей с типами «Число», «Число с плавающей точкой» доступны следующие виды преобразований: regexp, substring, replace, trim, append, prepend, replaceWithRegexp, decodeHexString, decodeBase64String, decodeBase64URLString.
      • для полей с типами «Массив строк», «Массив чисел» и «Массив чисел с плавающей точкой» доступны следующие виды преобразований: append, prepend.

      Если на шаге Транспорт мастера установки вы указали коннектор с типом file, вы можете передать в поле события KUMA название обрабатываемого коллектором файла или путь к файлу. Для этого в столбце Исходные данные укажите одно из следующих значений:

      • $kuma_fileSourceName – передать в поле события KUMA название обрабатываемого коллектором файла.
      • $kuma_fileSourcePath – передать в поле события KUMA путь к обрабатываемому коллектором файлу.

      Когда вы используете коннектор с типом file, новые переменные в нормализаторе будут работать только с точками назначения с типом internal.

   3. В столбце Поле KUMA в раскрывающемся списке выберите поле события KUMA. Вы можете найти поле события KUMA, введя его названия. Если название поля события KUMA начинается с DeviceCustom* и Flex*, при необходимости в поле Подпись укажите уникальную пользовательскую метку.

   Если вы хотите, чтобы KUMA могла выполнить обогащение событий данными об активах и данные об активах были доступны в карточке алерта при срабатывании корреляционного правила, в таблице Сопоставление вам нужно настроить сопоставление полей для адреса хоста и имени хоста в зависимости от назначения актива. Например, вы можете настроить сопоставление для полей событий KUMA SourceAddress и SourceHostName, или DestinationAddress и DestinationHostName. В результате обогащения в карточке события появится поле события KUMA SourceAssetID или DestinationAssetID и ссылка, по которой можно будет перейти в карточку актива. В результате обогащения сведения об активе также будут доступны в карточке алерта.

   Если вы загрузили данные в поле Примеры событий, в таблице отобразится столбец Примеры с примерами значений, переносимых из поля исходного события в поле события KUMA.

9. Нажмите на кнопку ОК.

Нормализатор будет создан и отобразится в виде темного кружка на вкладке мастера установки Парсинг событий. Вы можете нажать на темный кружок, чтобы просмотреть параметры нормализатора. Если вы хотите настроить параметры дополнительного парсинга наведите курсор на темный кружок и нажмите на отобразившийся значок плюса. Откроется окно Дополнительный парсинг событий с параметрами дополнительного парсинга. Подробнее о настройке параметров дополнительного парсинга событий см. ниже в разделе Создание структуры правил нормализации событий.

Обогащение нормализованного события дополнительными данными

Вы можете создавать в нормализаторе правила обогащения, чтобы добавлять дополнительные данные в созданные нормализованные события. Правила обогащения хранятся в нормализаторе, в котором они были созданы.

Чтобы добавить правила обогащения в нормализатор:

1. Выберите основное или дополнительное правило нормализации и в открывшемся окне выберите вкладку Обогащение.
2. Нажмите на кнопку + Добавить обогащение.

   Отобразится блок параметров правила обогащения. Вы можете добавить несколько правил обогащения или удалить правила обогащения. Для удаления правила обогащения нажмите рядом с ним на значок удаления .

3. В раскрывающемся списке Исходный тип выберите тип источника обогащения. При выборе определенных типов источника обогащения могут стать доступны дополнительные параметры, для которых вам нужно указать значения.

   Доступные типы источников обогащения:

   • константа

     Этот тип обогащения используется, если в поле события необходимо добавить константу. Доступные параметры типа обогащения описаны в таблице ниже.

     Доступные параметры типа обогащения

     Параметр	Описание
     Константа	Значение, которое требуется добавить в поле события. Максимальная длина значения: до 255 символов в кодировке Unicode. Если оставить поле пустым, существующее значение поля события будет удалено.
     Целевое поле	Поле события KUMA, в которое требуется поместить данные.

     Если вы используете функции обогащения событий для полей расширенной схемы с типом «Строка», «Число» или «Число с плавающей точкой» с помощью константы, в поле будет добавлена константа.

     Если вы используете функции обогащения событий для полей расширенной схемы с типом «Массив строк», «Массив чисел» или «Массив чисел с плавающей точкой» с помощью константы, константа будет добавлена к элементам массива.

   • словарь

     Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Словарь. Доступные параметры типа обогащения описаны в таблице ниже.

     Доступные параметры типа обогащения

     Параметр	Описание
     Название словаря	Словарь, из которого будут браться значения.
     Ключевые поля	Поля событий, значения которых будут использоваться для выбора записи словаря. Для добавления поля события нажмите на кнопку Добавить поле. Вы можете добавить несколько полей событий.

     Если вы используете обогащение событий, у которого в качестве параметра Тип источника данных выбрано значение словарь, а в параметре Ключевые поля обогащения указано поле-массив, при передаче массива в качестве ключа словаря массив будет сериализован в строку согласно правилам сериализации одного значения в формате TSV.

     Пример: в параметре Ключевые поля обогащения используется поле расширенной схемы SA.StringArrayOne. В поле расширенной схемы SA.StringArrayOne находятся значения "a", "b", "c". В качестве ключа в словарь будут переданы значения ['a','b','c'].

     Если в параметре Ключевые поля обогащения используется поле-массив расширенной схемы и обычное поле схемы событий, значения полей при обращении в словарь будут разделены символом «|».

     Пример: в параметре Ключевые поля обогащения используется поле расширенной схемы SA.StringArrayOne и строковое поле Code. В поле расширенной схемы SA.StringArrayOne находятся значения "a", "b", "c", а строковое поле Code содержит последовательность символов myCode. В качестве ключа в словарь будут переданы значения ['a','b','c']|myCode.

   • таблица

     Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Таблица.

     При выборе этого типа обогащения в раскрывающемся списке Название словаря необходимо выбрать словарь, из которого будут браться значения, а в блоке параметров Ключевые поля с помощью кнопки Добавить поле требуется выбрать поля события, значения которых будут использоваться для выбора записи словаря.

     Также в таблице Сопоставление необходимо настроить, из каких полей словаря и в какие поля события будут передаваться данные:

     • В столбце Поле словаря необходимо выбрать поле словаря. Доступные поля зависят от выбранного ресурса словаря.
     • В столбце Поле KUMA необходимо выбрать поле события, в которое следует записать значение. Для некоторых выбранных полей (*custom* и *flex*) в столбце Подпись можно задать название для помещаемых в них данных.

     Новые строки в таблицу можно добавлять с помощью кнопки Добавить элемент. Столбцы можно удалить с помощью кнопки .

   • событие

     Этот тип обогащения используется, если в поле события необходимо записать значение другого поля события. Доступные параметры типа обогащения описаны в таблице ниже.

     Доступные параметры типа обогащения

     Параметр	Описание
     Целевое поле	Поле события KUMA, в которое требуется поместить данные.
     Исходное поле	Поле события, значение которого будет записано в целевое поле.

     Если нажать на кнопку , откроется окно Преобразование, в котором вы можете с помощью кнопки Добавить преобразование создавать правила для изменения исходных данных перед записью в поля событий KUMA. Вы можете менять местами и удалять созданные правила. Для изменения места правила используйте значок рядом с ним. Для удаления правила нажмите рядом с ним на значок .

     Доступные преобразования

     Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

     Доступные преобразования:

     • lower – используется для перевода всех символов значения в нижний регистр
     • upper – используется для перевода всех символов значения в верхний регистр
     • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
     • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
     • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
       • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
       • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
     • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
     • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
     • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
     • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
       • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
       • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
     • Конвертация закодированных строк в текст:
       • decodeHexString – используется для конвертации HEX-строки в текст.
       • decodeBase64String – используется для конвертации Base64-строки в текст.
       • decodeBase64URLString – используется для конвертации Base64url-строки в текст.

       При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.

       При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, такая строка будет обрезана и не будет раскодирована.

       Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, такая строка будет обрезана до размера этого поля события.

     Преобразования при использовании расширенной схемы событий

     Возможность использования преобразования зависит от типа используемого поля расширенной схемы событий:

     • для дополнительное поле с типом «Строка» доступны все типы преобразований.
     • для полей с типами «Число», «Число с плавающей точкой» доступны следующие виды преобразований: regexp, substring, replace, trim, append, prepend, replaceWithRegexp, decodeHexString, decodeBase64String, decodeBase64URLString.
     • для полей с типами «Массив строк», «Массив чисел» и «Массив чисел с плавающей точкой» доступны следующие виды преобразований: append, prepend.

     При использовании обогащения событий, у которых в качестве параметра Тип источника данных выбрано значение событие, а в качестве аргументов используются поля расширенной схемы событий, необходимо учесть следующие особенности:

     • Если исходное поле расширенной схемы событий имеет тип «Массив строк», а целевое поле расширенной схемы событий имеет тип «Строка», значения будут размещены в целевом поле расширенной схемы событий в формате TSV.

       Пример: в поле расширенной схемы событий SA.StringArray, находятся значения «string1», «string2», «string3». Выполняется операция обогащения событий. Результат выполнения операции обогащения событий заносится в поле расширенной схемы событий DeviceCustomString1. В поле расширенной схемы событий DeviceCustomString1 будут находиться значения [«string1», «string2», «string3»].

     • Если исходное и целевое поля расширенной схемы событий имеют тип «Массив строк», значения целевого поля расширенной схемы событий будут дополнены значениями исходного поля расширенной схемы событий, а качестве символа-разделителя будет использован символ «,».

       Пример: в поле расширенной схемы событий SA.StringArrayOne, находятся значения [«string1», «string2», «string3»], а в поле расширенной схемы событий SA.StringArrayTwo находятся значения [«string4», «string5», «string6»]. Выполняется операция обогащения событий. Результат выполнения операции обогащения событий заносится в поле расширенной схемы событий SA.StringArrayTwo. В поле расширенной схемы событий SA.StringArrayTwo будут находиться значения[«string4», «string5», «string6», «string1», «string2», «string3»].

   • шаблон

     Этот тип обогащения используется, если в поле события необходимо записать значение, полученное при обработке шаблонов Go. Мы рекомендуем сопоставлять значение и размер поля. Доступные параметры типа обогащения описаны в таблице ниже.

     Доступные параметры типа обогащения

     Параметр	Описание
     Шаблон	Шаблон Go. Имена полей событий передаются в формате {{.EventField}}, где EventField – это название поля события, значение которого должно быть передано в скрипт, например Атака на {{.DestinationAddress}} со стороны {{.SourceAddress}}.
     Целевое поле	Поле события KUMA, в которое требуется поместить данные.

     Если вы используете обогащение событий, у которого в качестве параметра Тип источника данных выбрано значение шаблон, целевым полем является поле с типом «Строка», а исходным полем является поле расширенной схемы событий, содержащее массив строк, в шаблоне может быть использован один из следующих примеров:

     • {{.SA.StringArrayOne}}
     • {{- range $index, $element := . SA.StringArrayOne -}}

       {{- if $index}}, {{end}}"{{$element}}"{{- end -}}

     Для преобразования в шаблоне данных поля массива в формат TSV необходимо использовать функцию toString, например:

     template {{toString .SA.StringArray}}

4. В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое требуется поместить данные. Вы не можете выбрать значение, если в раскрывающемся списке Исходный тип вы выбрали таблица.
5. Если вы хотите включить детализацию в журнале нормализатора, включите переключатель Отладка. По умолчанию переключатель выключен.
6. Нажмите на кнопку ОК.

Правила обогащения событий событий дополнительными данными будут добавлены в нормализатор в выбранное правило парсинга.

Настройка парсинга с привязкой к IPv4-адресам

Если на шаге Транспорт мастера установки вы указали коннектор с типом udp, tcp или http, вы можете направить события с нескольких IPv4-адресов от источников разных типов в один коллектор, и коллектор применит указанные нормализаторы. Для этого вам нужно указать несколько IPv4-адресов и выбрать нормализатор, который требуется использовать для событий, поступающих с указанных IPv4-адресов. Доступны следующие типы нормализаторов: json, cef, regexp, syslog, csv, kv и xml.

Если в коллекторе с настроенными нормализаторами и привязкой к IPv4-адресам вы выберите тип коннектора, отличный от upd, tcp или http, вкладка Настройки парсинга перестанет отображаться и на вкладке мастера установки Парсинг событий будет указан только первый из ранее указанных нормализаторов. Вкладка Настройки парсинга перестанет отображаться сразу, изменения будут применены после сохранения ресурса. Если вы хотите вернуться к прежним параметрам, выйдите из мастера установки без сохранения.

Для нормализаторов с типом Syslog и regexp допускается использование цепочки нормализаторов. В этом случае вы можете указать дополнительные условия нормализации в зависимости от значения поля DeviceProcessName. В отличие от дополнительной нормализации вы можете указывать общедоступные нормализаторы.

Чтобы настроить парсинг с привязкой к IPv4-адресам:

1. Выберите вкладку Настройки парсинга и нажмите на кнопку + Источник события.

   Отобразится блок параметров парсинга. Вы можете добавить несколько парсингов или удалить парсинги. Для удаления парсинга нажмите рядом с ним на значок удаления .

2. В поле IP-адрес(-а) введите IPv4-адрес, с которого будут поступать события. Вы можете ввести несколько IPv4-адресов через запятую. Длина списка IPv4-адресов не ограничена, но мы рекомендуем указывать ограниченное количество IPv4-адресов для соблюдения баланса нагрузки на коллектор. Вам нужно указать значение в этом поле, если вы хотите применять несколько нормализаторов в одном коллекторе.

   IPv4-адрес должен быть уникальным для каждого нормализатора. KUMA выполняет проверку уникальности IPv4-адресов и если вы укажете одинаковый IPv4-адрес для разных нормализаторов, отобразится сообщение Поле должно быть уникальным.

   Если вы планируете отправлять все события в один нормализатор без указания IPv4-адресов, мы рекомендуем создать отдельный коллектор. Для повышения производительности мы рекомендуем создать отдельный коллектор с одним нормализатором, если вы хотите применить один нормализатор к событиям с большого количества IPv4-адресов.

3. В раскрывающемся списке Нормализатор создайте или выберите нормализатор. Вы можете нажать на значок стрелки рядом с раскрывающимся списком, чтобы выбрать вкладку Схемы парсинга.

   Нормализация будет срабатывать, если на шаге Транспорт мастера установки вы указали коннектор с типом udp, tcp или http. При этом для коннектора с типом http должен быть указан заголовок (англ. header) источника событий. С учетом доступных коннекторов, следующие типы нормализатора доступны для автоматического распознавания источников: json, cef, regexp, syslog, csv, kv и xml.

4. Если вы выбрали нормализатор с типом Syslog или regexp и вы хотите добавить условную нормализацию, нажмите на кнопку + Добавить условную нормализацию. Условная нормализация будет доступна, если в основном нормализаторе в таблице Сопоставление вы настроили сопоставление поля исходного события с полем события KUMA DeviceProcessName. В группе параметров Условие в поле DeviceProcessName укажите имя процесса и в раскрывающемся списке создайте или выберите нормализатор. Вы можете указать несколько комбинаций поля события KUMA DeviceProcessName и нормализатора. Нормализация будет выполняться до первого совпадения.

Парсинг с привязкой к IPv4-адресам будет настроен.

Создание структуры правил нормализации событий

Для реализации сложной логики обработки событий вы можете добавить в нормализатор несколько правил парсинга событий. События передаются между правилами парсинга событий в зависимости от указанных условий. События обрабатываются последовательно в соответствии с порядком создания правил парсинга. Путь обработки события отображается в виде стрелочек.

Чтобы создать дополнительное правило парсинга:

1. Создайте нормализатор. Подробнее о создании нормализаторов см. выше в разделе Добавление нормализатора в набор ресурсов.

   Созданный нормализатор отобразится в виде темного кружка на вкладке мастера установки Парсинг событий.

2. Наведите курсор на темный кружок и нажмите на отобразившийся значок плюса.
3. В открывшемся окне Дополнительный парсинг события укажите параметры дополнительного правила парсинга события:
   • Вкладка Условия дополнительной нормализации:

     Если вы хотите передавать сырое событие для дополнительной нормализации, в раскрывающемся списке Использовать сырое событие выберите Да. Значение по умолчанию: Нет. Мы рекомендуем передавать сырое событие в нормализаторы с типами json и xml. Если вы хотите передавать сырое событие для дополнительной нормализации на второй, третий и далее уровень вложенности, последовательно на каждом уровне вложенности в раскрывающемся списке Использовать сырое событие выберите Да.

     Если вы хотите отправлять в дополнительный нормализатор только события с определенным полем, в поле Поле, которое следует передать в нормализатор укажите порт.

     На этой вкладке вы можете определить другие условия, при выполнении которых событие будет поступать на дополнительный парсинг.

   • Вкладка Схема нормализации:

     На этой вкладке вы можете настроить правила обработки событий, по аналогии с параметрами основного нормализатора. Параметр Сохранить исходное событие недоступен. В поле Примеры событий отображаются значения, указанные при создании нормализатора.

   • Вкладка Обогащение:

     На этой вкладке вы можете настроить правила обогащения событий. Подробнее о настройке правил обогащения см. выше в разделе Обогащение нормализованного события дополнительными данными.

4. Нажмите на кнопку ОК.

Дополнительное правило парсинга будет добавлено в нормализатор и отобразится в виде темного блока. В темном блоке указаны условия, при которых дополнительное правило парсинга будет задействовано.

Вы можете выполнить следующие действия:

• Изменить параметры дополнительного правила парсинга, нажав на него.
• Найти дополнительное правило парсинга, введя его название в поле в верхней части окна.
• Создать новое дополнительное правило парсинга. Для этого наведите курсор на дополнительное правило парсинга и нажмите на отобразившийся значок плюса.
• Удалить дополнительное правило парсинга. Для этого наведите курсор на дополнительное правило парсинга и нажмите на значок корзины.

Перейдите к следующему шагу мастера установки.

Шаг 4. Фильтрация событий

Это необязательный шаг мастера установки. На вкладке мастера установки Фильтрация событий можно выбрать или создать фильтр, в параметрах которого будут определены условия отбора событий. В коллектор можно добавить несколько фильтров. Фильтры можно менять местами, перетягивая их мышью за значок , и удалять. Фильтры объединены оператором И.

Мы рекомендуем придерживаться выбранной схемы нормализации, когда вы указываете фильтры. Используйте в фильтрах только служебные поля KUMA и те поля, которые вы указали в нормализаторе в разделе Сопоставление и Обогащение. Например, если в нормализации не используется поле DeviceAddress, избегайте использования поля DeviceAddress в фильтре - такая фильтрация не сработает.

Чтобы добавить в набор ресурсов коллектора существующий фильтр,

Нажмите на кнопку Добавить фильтр и в раскрывающемся меню Фильтр выберите требуемый фильтр.

Чтобы добавить в набор ресурсов коллектора новый фильтр:

1. Нажмите на кнопку Добавить фильтр и в раскрывающемся меню Фильтр выберите пункт Создать.
2. Если хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. Это может оказаться полезным, если вы решите использовать один и тот же фильтр в разных сервисах. По умолчанию флажок снят.
3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode.
4. В разделе Условия задайте условия, которым должны соответствовать отсеиваемые события:
   • С помощью кнопки Добавить условие добавляются условия фильтра, можно выбрать два значения (левый и правый операнды) и назначить операцию, которую вы хотите выполнить с выбранными значениями. Результат операции – Истина (True) или Ложь (False).
     • В раскрывающемся списке оператор необходимо выбрать функцию, которую должен выполнять фильтр.

       В этом же раскрывающемся списке можно установить флажок без учета регистра, если требуется, чтобы оператор игнорировал регистр значений. Флажок игнорируется, если выбраны операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.

       Операторы фильтров

       • = – левый операнд равен правому операнду.
       • < – левый операнд меньше правого операнда.
       • <= – левый операнд меньше или равен правому операнду.
       • > – левый операнд больше правого операнда.
       • >= – левый операнд больше или равен правому операнду.
       • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
       • contains – левый операнд содержит значения правого операнда.
       • startsWith – левый операнд начинается с одного из значений правого операнда.
       • endsWith – левый операнд заканчивается одним из значений правого операнда.
       • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
       • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

         Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

         Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

       • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

         Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

       • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
       • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
       • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
       • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
       • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
       • inContextTable – присутствует ли в указанной контекстной таблице запись.
       • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
     • В раскрывающихся списках Левый операнд и Правый операнд необходимо выбрать, откуда поступят данные, с которыми произведет действие фильтр. В результате выбора появляются дополнительные параметры, с помощью которых необходимо точно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.
     • С помощью раскрывающегося списка Если можно выбрать, требуется ли создать отрицательное условие фильтра.

     Условие можно удалить с помощью кнопки .

   • С помощью кнопки Добавить группу добавляются группы условий. Оператор И можно переключать между значениями И, ИЛИ, НЕ.

     Группу условий можно удалить с помощью кнопки .

   • С помощью кнопки Добавить фильтр в условия добавляются существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр. В параметры вложенного фильтра можно перейти с помощью кнопки .

     Вложенный фильтр можно удалить с помощью кнопки .

Фильтр добавлен.

Перейдите к следующему шагу мастера установки.

Шаг 5. Агрегация событий

Это необязательный шаг мастера установки. На вкладке мастера установки Агрегация событий можно выбрать или создать правила агрегации, в параметрах которого будут определены условия для объединения однотипных событий. В коллектор можно добавить несколько правил агрегации.

Чтобы добавить в набор ресурсов коллектора существующее правило агрегации,

Нажмите на кнопку Добавить правило агрегации и в раскрывающемся списке выберите Правило агрегации.

Чтобы добавить в набор ресурсов коллектора новое правило агрегации:

1. Нажмите на кнопку Добавить правило агрегации и в раскрывающемся меню Правило агрегации выберите пункт Создать.
2. В поле Название введите название для создаваемого правила агрегации. Название должно содержать от 1 до 128 символов в кодировке Unicode.
3. В поле Предел событий укажите количество событий, которое должно быть получено, чтобы сработало правило агрегации и события были объединены. Значение по умолчанию: 100.
4. В поле Время ожидания событий укажите количество секунд, в течение которых коллектор получает события для объединения. По истечении этого срока правило агрегации срабатывает и создается новое агрегационное событие. Значение по умолчанию: 60.
5. В разделе Группирующие поля с помощью кнопки Добавить поле выберите поля, по которым будут определяться однотипные события. Вы можете выбрать следующие служебные поля: SourceAssetID, DestinationAssetID, DeviceAssetID, SourceAccountID, DestinationAccountID. Идентификаторы активов добавляются после нормализации события, поэтому по ним можно будет агрегировать события. Остальные служебные поля не используются в агрегации. Выбранные события можно удалять с помощью кнопок со значком крестика.
6. В разделе Уникальные поля с помощью кнопки Добавить поле можно выбрать поля, при наличии которых коллектор исключит событие из процесса агрегации даже при наличии полей, указанных в разделе Группирующие поля. Выбранные события можно удалять с помощью кнопок со значком крестика.
7. В разделе Поля суммы с помощью кнопки Добавить поле можно выбрать поля, значения которых будут просуммированы в процессе агрегации. Выбранные события можно удалять с помощью кнопок со значком крестика.
8. В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться этим ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

   Создание фильтра в ресурсах

   Чтобы создать фильтр:

   1. В раскрывающемся списке Фильтр выберите Создать.
   2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
   3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
   4. В блоке параметров Условия укажите условия, которым должны соответствовать события:
      1. Нажмите на кнопку Добавить условие.
      2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
      3. В раскрывающемся списке оператор выберите оператор.

         Операторы фильтров

         • = – левый операнд равен правому операнду.
         • < – левый операнд меньше правого операнда.
         • <= – левый операнд меньше или равен правому операнду.
         • > – левый операнд больше правого операнда.
         • >= – левый операнд больше или равен правому операнду.
         • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
         • contains – левый операнд содержит значения правого операнда.
         • startsWith – левый операнд начинается с одного из значений правого операнда.
         • endsWith – левый операнд заканчивается одним из значений правого операнда.
         • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
         • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

           Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

           Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

         • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

           Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

         • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
         • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
         • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
         • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
         • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
         • inContextTable – присутствует ли в указанной контекстной таблице запись.
         • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
      4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
      5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.

      Вы можете добавить несколько условий или группу условий.

   5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
   6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

Правило агрегации добавлено. Его можно удалить с помощью кнопки .

Перейдите к следующему шагу мастера установки.

Шаг 6. Обогащение событий

Это необязательный шаг мастера установки. На вкладке мастера установки Обогащение событий можно указать, какими данными и из каких источников следует дополнить обрабатываемые коллектором события. События можно обогащать данными, полученными с помощью правил обогащения или с помощью LDAP.

Обогащение с помощью правил обогащения

Правил обогащения может быть несколько. Их можно добавить с помощью кнопки Добавить обогащение или удалить с помощью кнопки . Можно использовать существующие правила обогащения или же создать правила непосредственно в мастере установки.

Чтобы добавить в набор ресурсов существующее правило обогащения:

1. Нажмите Добавить обогащение.

   Откроется блок параметров правил обогащения.

2. В раскрывающемся списке Правило обогащения выберите нужный ресурс.

Правило обогащения добавлено в набор ресурсов для коллектора.

Чтобы создать в наборе ресурсов новое правило обогащения:

1. Нажмите Добавить обогащение.

   Откроется блок параметров правил обогащения.

2. В раскрывающемся списке Правило обогащения выберите Создать.
3. В раскрывающемся списке Тип источника данных выберите, откуда будут поступать данные для обогащения, и заполните относящиеся к нему параметры:
   • константа

     Этот тип обогащения используется, если в поле события необходимо добавить константу. Доступные параметры типа обогащения описаны в таблице ниже.

     Доступные параметры типа обогащения

     Параметр	Описание
     Константа	Значение, которое требуется добавить в поле события. Максимальная длина значения: до 255 символов в кодировке Unicode. Если оставить поле пустым, существующее значение поля события будет удалено.
     Целевое поле	Поле события KUMA, в которое требуется поместить данные.

     Если вы используете функции обогащения событий для полей расширенной схемы с типом «Строка», «Число» или «Число с плавающей точкой» с помощью константы, в поле будет добавлена константа.

     Если вы используете функции обогащения событий для полей расширенной схемы с типом «Массив строк», «Массив чисел» или «Массив чисел с плавающей точкой» с помощью константы, константа будет добавлена к элементам массива.

   • словарь

     Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Словарь. Доступные параметры типа обогащения описаны в таблице ниже.

     Доступные параметры типа обогащения

     Параметр	Описание
     Название словаря	Словарь, из которого будут браться значения.
     Ключевые поля	Поля событий, значения которых будут использоваться для выбора записи словаря. Для добавления поля события нажмите на кнопку Добавить поле. Вы можете добавить несколько полей событий.

     Если вы используете обогащение событий, у которого в качестве параметра Тип источника данных выбрано значение словарь, а в параметре Ключевые поля обогащения указано поле-массив, при передаче массива в качестве ключа словаря массив будет сериализован в строку согласно правилам сериализации одного значения в формате TSV.

     Пример: в параметре Ключевые поля обогащения используется поле расширенной схемы SA.StringArrayOne. В поле расширенной схемы SA.StringArrayOne находятся значения "a", "b", "c". В качестве ключа в словарь будут переданы значения ['a','b','c'].

     Если в параметре Ключевые поля обогащения используется поле-массив расширенной схемы и обычное поле схемы событий, значения полей при обращении в словарь будут разделены символом «|».

     Пример: в параметре Ключевые поля обогащения используется поле расширенной схемы SA.StringArrayOne и строковое поле Code. В поле расширенной схемы SA.StringArrayOne находятся значения "a", "b", "c", а строковое поле Code содержит последовательность символов myCode. В качестве ключа в словарь будут переданы значения ['a','b','c']|myCode.

   • событие

     Этот тип обогащения используется, если в поле события необходимо записать значение другого поля события. Параметры этого типа обогащения:

     • В раскрывающемся списке Целевое поле выберите поле события KUMA, в которое следует поместить данные.
     • В раскрывающемся списке Исходное поле выберите поле события, значение которого будет записано в целевое поле.
     • В блоке параметров Преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA. Тип преобразования можно выбрать в раскрывающемся списке. С помощью кнопок Добавить преобразование и Удалить можно добавить или удалить преобразование. Порядок преобразований имеет значение.

       Доступные преобразования

       Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

       Доступные преобразования:

       • lower – используется для перевода всех символов значения в нижний регистр
       • upper – используется для перевода всех символов значения в верхний регистр
       • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
       • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
       • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
         • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
         • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
       • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
       • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
       • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
       • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
         • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
         • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
       • Конвертация закодированных строк в текст:
         • decodeHexString – используется для конвертации HEX-строки в текст.
         • decodeBase64String – используется для конвертации Base64-строки в текст.
         • decodeBase64URLString – используется для конвертации Base64url-строки в текст.

         При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.

         При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, такая строка будет обрезана и не будет раскодирована.

         Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, такая строка будет обрезана до размера этого поля события.

       Преобразования при использовании расширенной схемы событий

       Возможность использования преобразования зависит от типа используемого поля расширенной схемы событий:

       • для дополнительное поле с типом «Строка» доступны все типы преобразований.
       • для полей с типами «Число», «Число с плавающей точкой» доступны следующие виды преобразований: regexp, substring, replace, trim, append, prepend, replaceWithRegexp, decodeHexString, decodeBase64String, decodeBase64URLString.
       • для полей с типами «Массив строк», «Массив чисел» и «Массив чисел с плавающей точкой» доступны следующие виды преобразований: append, prepend.

   • шаблон

     Этот тип обогащения используется, если в поле события необходимо записать значение, полученное при обработке шаблонов Go. Мы рекомендуем сопоставлять значение и размер поля. Доступные параметры типа обогащения описаны в таблице ниже.

     Доступные параметры типа обогащения

     Параметр	Описание
     Шаблон	Шаблон Go. Имена полей событий передаются в формате {{.EventField}}, где EventField – это название поля события, значение которого должно быть передано в скрипт, например Атака на {{.DestinationAddress}} со стороны {{.SourceAddress}}.
     Целевое поле	Поле события KUMA, в которое требуется поместить данные.

     Если вы используете обогащение событий, у которого в качестве параметра Тип источника данных выбрано значение шаблон, целевым полем является поле с типом «Строка», а исходным полем является поле расширенной схемы событий, содержащее массив строк, в шаблоне может быть использован один из следующих примеров:

     • {{.SA.StringArrayOne}}
     • {{- range $index, $element := . SA.StringArrayOne -}}

       {{- if $index}}, {{end}}"{{$element}}"{{- end -}}

     Для преобразования в шаблоне данных поля массива в формат TSV необходимо использовать функцию toString, например:

     template {{toString .SA.StringArray}}

   • dns

     Этот тип обогащения используется для отправки запросов на DNS-сервер частной сети для преобразования IP-адресов в доменные имена или наоборот. Преобразование IP-адресов в DNS-имена происходит только для частных адресов: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 100.64.0.0/10.

     Доступные параметры:

     • URL – в этом поле можно указать URL DNS-сервера, которому вы хотите отправлять запросы. С помощью кнопки Добавить URL можно указать несколько URL.
     • Запросов в секунду – максимальное количество запросов к серверу в секунду. Значение по умолчанию: 1000.
     • Рабочие процессы – максимальное количество запросов в один момент времени. Значение по умолчанию: 1.
     • Количество задач – максимальное количество одновременно выполняемых запросов. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
     • Срок жизни кеша – время жизни значений, хранящихся в кеше. Значение по умолчанию: 60.
     • Кеш отключен – с помощью этого раскрывающегося списка можно включить или отключить кеширование. По умолчанию кеширование включено.
     • Требуется рекурсия - параметр доступен начиная с KUMA 3.4.1. С помощью переключателя можно включить отправку коллектором KUMA рекурсивных запросов к авторитативным DNS-серверам для выполнения обогащения. Значение по умолчанию: Выключено.
   • cybertrace

     Этот тип обогащения является устаревшим, вместо него рекомендуется использовать тип обогащения cybertrace-http.

     Этот тип обогащения используется для добавления в поля события сведений из потоков данных CyberTrace.

     Доступные параметры:

     • URL (обязательно) – в этом поле можно указать URL сервера CyberTrace, которому вы хотите отправлять запросы. Порт CyberTrace по умолчанию 9999.
     • Количество подключений – максимальное количество подключений к серверу CyberTrace, которые может одновременно установить KUMA. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
     • Запросов в секунду – максимальное количество запросов к серверу в секунду. Значение по умолчанию: 1000.
     • Время ожидания – время ожидания отклика от сервера CyberTrace в секундах. Значение по умолчанию: 30.
     • Максимальное кол-во событий в очереди обогащения – максимальное количество событий, сохраняемое в очереди для переотправки. Значение по умолчанию: 1000000000.
     • Сопоставление (обязательно) – этот блок параметров содержит таблицу сопоставления полей событий KUMA с типами индикаторов CyberTrace. В столбце Поле KUMA указаны названия полей событий KUMA, а в столбце Индикатор CyberTrace указаны типы индикаторов CyberTrace.

       Доступные типы индикаторов CyberTrace:

       • ip
       • url
       • hash

       В таблице сопоставления требуется указать как минимум одну строку. С помощью кнопки Добавить строку можно добавить строку, а с помощью кнопки – удалить.

   • cybertrace-http

     Это новый тип потокового обогащения событий в CyberTrace, который позволяет отправлять большое количество событий одним запросом на API-интерфейс CyberTrace. Мы рекомендуем применять в системах с большим потоком событий. Производительность cybertrace-http превосходит показатели прежнего типа cybertrace, который по-прежнему доступен в KUMA для обеспечения обратной совместимости.

     Ограничения:

     • Тип обогащения cybertrace-http неприменим для ретроспективного сканирования в KUMA.
     • В случае использования типа обогащения cybertrace-http обнаружения киберугроз не сохраняются в истории CyberTrace в окне Detections.

     Доступные параметры:

     • URL (обязательно) – в этом поле можно указать URL сервера CyberTrace, которому вы хотите отправлять запросы и порт, который использует API CyberTrace. Порт по умолчанию 443.
     • Секрет (обязательно) – раскрывающийся список для выбора секрета, в котором хранятся учетные данные для подключения.
     • Время ожидания – время ожидания отклика от сервера CyberTrace в секундах. Значение по умолчанию: 30.
     • Ключевые поля (обязательно) – список полей событий, используемых для обогащения событий данными из CyberTrace.
     • Максимальное кол-во событий в очереди обогащения – максимальное количество событий, сохраняемое в очереди для переотправки. Значение по умолчанию: 1000000000. По достижении 1 млн получаемых событий от сервера CyberTrace события перестают обогащаться, пока число получаемых событий не станет меньше 500 тыс.
   • часовой пояс

     Этот тип обогащения используется в коллекторах и корреляторах для присваивания событию определенного часового пояса. Сведения о часовом поясе могут пригодиться при поиске событий, случившихся в нетипичное время, например ночью.

     При выборе этого типа обогащения в раскрывающемся списке Часовой пояс необходимо выбрать требуемую временную зону.

     Убедитесь, что требуемый часовой пояс установлен на сервере сервиса, использующего обогащение. Например, это можно сделать с помощью команды timedatectl list-timezones, которая показывает все установленные на сервере часовые пояса. Подробнее об установке часовых поясов смотрите в документации используемой вами операционной системы.

     При обогащении события в поле события DeviceTimeZone записывается смещение времени выбранного часового пояса относительно всемирного координированного времени (UTC) в формате +-чч:мм. Например, если выбрать временную зону Asia/Yekaterinburg в поле DeviceTimeZone будет записано значение +05:00. Если в обогащаемом событии есть значение поля DeviceTimeZone, оно будет перезаписано.

     По умолчанию, если в обрабатываемом событии не указан часовой пояс и не настроены правила обогащения по часовому поясу, событию присваивается часовой пояс сервера, на котором установлен сервис (коллектор или коррелятор), обрабатывающий событие. При изменении времени сервера сервис необходимо перезапустить.

     Допустимые форматы времени при обогащении поля DeviceTimeZone

     При обработке в коллекторе поступающих "сырых" событий следующие форматы времени могут быть автоматически приведены к формату +-чч:мм:

     Формат времени в обрабатываемом событии	Пример
     +-чч:мм	-07:00
     +-ччмм	-0700
     +-чч	-07

     Если формат даты в поле DeviceTimeZone отличается от указанных выше, при обогащении события сведениями о часовом поясе в поле записывается часовой пояс серверного времени коллектора. Вы можете создать особые правила нормализации для нестандартных форматов времени.

   • геоданные

     Этот тип обогащения используется для добавления в поля событий сведений о географическом расположении IP-адресов. Подробнее о привязке IP-адресов к географическим данным.

     При выборе этого типа в блоке параметров Сопоставление геоданных с полями события необходимо указать, из какого поля события будет считан IP-адрес, а также выбрать требуемые атрибуты геоданных и определить поля событий, в которые геоданные будут записаны:

     1. В раскрывающемся списке Поле события с IP-адресом выберите поле события, из которого считывается IP-адрес. По этому IP-адресу будет произведен поиск соответствий по загруженным в KUMA геоданным.

        С помощью кнопки Добавить поле события с IP-адресом можно указать несколько полей события с IP-адресами, по которым требуется обогащение геоданными. Удалить добавленные таким образом поля событий можно с помощью кнопки Удалить поле события с IP-адресом.

        При выборе полей события SourceAddress, DestinationAddress и DeviceAddress становится доступна кнопка Применить сопоставление по умолчанию. С ее помощью можно добавить преднастроенные пары соответствий атрибутов геоданных и полей события.

     2. Для каждого поля события, откуда требуется считать IP-адрес, выберите тип геоданных и поле события, в которое следует записать геоданные.

        С помощью кнопки Добавить атрибут геоданных вы можете добавить пары полей Атрибут геоданных – Поле события для записи. Так вы можете настроить запись разных типов геоданных одного IP-адреса в разные поля события. Пары полей можно удалить с помощью значка .

        • В поле Атрибут геоданных выберите, какие географические сведения, соответствующие считанному IP-адресу, необходимо записать в событие. Доступные атрибуты геоданных: Страна, Регион, Город, Долгота, Широта.
        • В поле Поле события для записи выберите поле события, в которое необходимо записать выбранный атрибут геоданных.

        Вы можете записать одинаковые атрибуты геоданных в разные поля событий. Если вы настроите запись нескольких атрибутов геоданных в одно поле события, событие будет обогащено последним по очереди сопоставлением.

4. С помощью переключателя Отладка укажите, следует ли включить логирование операций сервиса. По умолчанию логирование выключено.
5. В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом правила обогащения. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

   Создание фильтра в ресурсах

   Чтобы создать фильтр:

   1. В раскрывающемся списке Фильтр выберите Создать.
   2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
   3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
   4. В блоке параметров Условия укажите условия, которым должны соответствовать события:
      1. Нажмите на кнопку Добавить условие.
      2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
      3. В раскрывающемся списке оператор выберите оператор.

         Операторы фильтров

         • = – левый операнд равен правому операнду.
         • < – левый операнд меньше правого операнда.
         • <= – левый операнд меньше или равен правому операнду.
         • > – левый операнд больше правого операнда.
         • >= – левый операнд больше или равен правому операнду.
         • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
         • contains – левый операнд содержит значения правого операнда.
         • startsWith – левый операнд начинается с одного из значений правого операнда.
         • endsWith – левый операнд заканчивается одним из значений правого операнда.
         • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
         • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

           Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

           Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

         • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

           Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

         • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
         • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
         • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
         • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
         • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
         • inContextTable – присутствует ли в указанной контекстной таблице запись.
         • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
      4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
      5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.

      Вы можете добавить несколько условий или группу условий.

   5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
   6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .

В набор ресурсов для коллектора добавлено новое правило обогащения.

Обогащение с помощью LDAP

Чтобы включить обогащение с помощью LDAP:

1. Нажмите Добавить сопоставление с учетными записями LDAP.

   Откроется блок параметров обогащения с помощью LDAP.

2. В блоке параметров Сопоставление с учетными записями LDAP с помощью кнопки Добавить домен укажите домен учетных записей. Доменов можно указать несколько.
3. В таблице Обогащение полей KUMA задайте правила сопоставления полей KUMA с атрибутами LDAP:
   • В столбце Поле KUMA укажите поле события KUMA, данные из которого следует сравнить с атрибутом LDAP.
   • В столбце LDAP-атрибут, укажите атрибут, с которым необходимо сравнить поле события KUMA. Раскрывающийся список содержит стандартные атрибуты и может быть дополнен пользовательскими атрибутами.

     Перед настройкой обогащения событий с помощью пользовательских атрибутов убедитесь, что пользовательские атрибуты настроены в AD.

     Чтобы обогащать события учетными записями с помощью пользовательских атрибутов:

     1. Добавьте Пользовательские атрибуты учетных записей AD в Параметрах подключения к LDAP.

        Невозможно добавить стандартные Импортируемые атрибуты из AD в качестве пользовательских. Например, если вы захотите добавить стандартный атрибут accountExpires в качестве пользовательского атрибута, при сохранении параметров подключения KUMA вернет ошибку.

        Из Active Directory можно запросить следующие атрибуты учетных записей:

        • accountExpires
        • badPasswordTime
        • cn
        • company
        • department
        • displayName
        • distinguishedName
        • division
        • employeeID
        • ipaUniqueID
        • l
        • mail
        • mailNickname
        • managedObjects
        • manager
        • memberOf (по этому атрибуту события можно искать при корреляции)
        • mobile
        • objectGUID (этот атрибут запрашивается из Active Directory всегда)
        • objectSid
        • physicalDeliveryOfficeName
        • sAMAccountName
        • sAMAccountType
        • sn
        • streetAddress
        • telephoneNumber
        • title
        • userAccountControl
        • userPrincipalName
        • whenChanged
        • whenCreated

        После того, как вы добавите пользовательские атрибуты в Параметрах подключения к LDAP, раскрывающийся список LDAP-атрибуты в коллекторе будет автоматически дополнен. Пользовательские атрибуты можно отличить по знаку вопроса рядом с именем атрибута. Если для нескольких доменов вы добавили один и тот же атрибут, в раскрывающемся списке атрибут будет указан один раз, а домены можно просмотреть, если навести курсор на знак вопроса. Названия доменов отображаются в виде ссылок: если вы нажмете на ссылку, домен автоматически добавится в Сопоставление с учетными записями LDAP, если прежде он не был добавлен.

        Если вы удалили пользовательский атрибут в Параметрах подключения к LDAP, удалите вручную строку с атрибутом из таблицы сопоставления в коллекторе. Информация об атрибутах учетных записей в KUMA обновляется каждый раз после того, как вы выполните импорт учетных записей.  

     2. Импортируйте учетные записи.
     3. В коллекторе в таблице Обогащение полей KUMA задайте правила сопоставления полей KUMA с атрибутами LDAP.
     4. Перезапустите коллектор.

        После перезапуска коллектора KUMA начнет обогащать события учётными записями.

         

   • В столбце Поле для записи данных укажите, в какое поле события KUMA следует поместить идентификатор пользовательской учетной записи, импортированной из LDAP, если сопоставление было успешно.

   С помощью кнопки Добавить строку в таблицу можно добавить строку, а с помощью кнопки – удалить. С помощью кнопки Применить сопоставление по умолчанию можно заполнить таблицу сопоставления стандартными значениями.

В блок ресурсов для коллектора добавлены правила обогащения события данными, полученными из LDAP.

При добавлении в существующий коллектор обогащения с помощью LDAP или изменении параметров обогащения требуется остановить и запустить сервис снова.

Перейдите к следующему шагу мастера установки.

Шаг 7. Маршрутизация

Это необязательный шаг мастера установки. На вкладке мастера установки Маршрутизация можно выбрать или создать точки назначения, в параметрах которых будут определено, куда следует перенаправлять обработанные коллектором события. Обычно события от коллектора перенаправляются в две точки: в коррелятор для анализа и поиска угроз; в хранилище для хранения, а также чтобы обработанные события можно было просматривать позднее. При необходимости события можно отправлять в другие места. Точек назначения может быть несколько.

Чтобы добавить в набор ресурсов коллектора существующую точку назначения:

1. В раскрывающемся списке Добавить точку назначения выберите тип точки назначения, которую вы хотите добавить:
   • Выберите Хранилище, если хотите настроить отправку обработанных событий в хранилище.
   • Выберите Коррелятор, если хотите настроить отправку обработанных событий в коррелятор.
   • Выберите Другое, если хотите отправлять события в другие места.

     К этому типу относятся также сервисы коррелятора и хранилища, созданные в предыдущих версиях программы.

   Открывается окно Добавить точку назначения, где можно указать параметры пересылки событий.

2. В раскрывающемся списке Точка назначения выберите нужную точку назначения.

   Название окна меняется на Изменить точку назначения, параметры выбранного ресурса отображаются в окне. Параметры точки назначения можно открыть для редактирования в новой вкладке браузера с помощью кнопки .

3. Нажмите Сохранить.

Выбранная точка назначения отображается на вкладке мастера установки. Точку назначения можно удалить из набора ресурсов, выбрав ее и в открывшемся окне нажав Удалить.

Чтобы добавить в набор ресурсов коллектора новую точку назначения:

1. В раскрывающемся списке Добавить точку назначения выберите тип точки назначения, которую вы хотите добавить:
   • Выберите Хранилище, если хотите настроить отправку обработанных событий в хранилище.
   • Выберите Коррелятор, если хотите настроить отправку обработанных событий в коррелятор.
   • Выберите Другое, если хотите отправлять события в другие места.

     К этому типу относятся также сервисы коррелятора и хранилища, созданные в предыдущих версиях программы.

   Открывается окно Добавить точку назначения, где можно указать параметры пересылки событий.

2. Укажите параметры на вкладке Основные параметры:
   • В раскрывающемся списке Точка назначения выберите Создать.
   • Введите в поле Название уникальное имя для точки назначения. Название должно содержать от 1 до 128 символов в кодировке Unicode.
   • С помощью переключателя Выключено, выберите, будут ли события отправляться в эту точку назначения. По умолчанию отправка событий включена.
   • Выберите Тип точки назначения:
     • Выберите storage, если хотите настроить отправку обработанных событий в хранилище.
     • Выберите correlator, если хотите настроить отправку обработанных событий в коррелятор.
     • Выберите nats-jetstream, tcp, http, kafka или file, если хотите настроить отправку событий в другие места.
   • Укажите URL, куда следует отправлять события, в формате hostname:<порт API>.

     Для всех типов, кроме nats-jetstream, file и diode с помощью кнопки URL можно указать несколько адресов отправки.

   • Для типов nats-jetstream и kafka в поле Топик укажите, в какой топик должны записываться данные. Топик должен содержать символы в кодировке Unicode.Топик для Kafka имеет ограничение на длину в 255 символов.
3. При необходимости укажите параметры на вкладке Дополнительные параметры. Доступные параметры зависят от выбранного типа точки назначения:
   • Сжатие – раскрывающийся список, в котором можно включить сжатие Snappy. По умолчанию сжатие Выключено.
   • Прокси-сервер – раскрывающийся список для выбора прокси-сервера.
   • Размер буфера – поле, в котором можно указать размер буфера (в байтах) для точки назначения. Значение по умолчанию: 1 МБ; максимальное: 64 МБ.
   • Время ожидания – поле, в котором можно указать время ожидания (в секундах) ответа другого сервиса или компонента. Значение по умолчанию: 30.
   • Размер дискового буфера – поле, в котором можно указать размер дискового буфера в байтах. По умолчанию размер равен 10 ГБ.
   • Идентификатор кластера – идентификатор кластера NATS.
   • Режим TLS – раскрывающийся список, в котором можно указать условия использование шифрования TLS:
     • Выключено (по умолчанию) – не использовать шифрование TLS.
     • Включено – использовать шифрование, но без верификации.
     • С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.

     При использовании TLS невозможно указать IP-адрес в качестве URL.

   • Политика выбора URL – раскрывающийся список, в котором можно выбрать способ определения, на какой URL следует отправлять события, если URL было указано несколько:
     • Любой – события отправляются в один из доступных URL до тех пор, пока этот URL принимает события. При разрыве связи (например, при отключении принимающего узла) для отправки событий будет выбран другой URL.
     • Сначала первый – события отправляются в первый URL из списка добавленных адресов. Если он становится недоступен, события отправляются в следующий по очереди доступный узел. Когда первый URL снова становится доступен, события снова начинаются отправляться в него.
     • Сбалансированный – пакеты с событиями будут равномерно распределены по доступным URL из списка. Поскольку пакеты отправляются или при переполнении буфера точки назначения, или при срабатывании таймера очистки буфера, эта политика выбора URL не гарантирует равное распределение событий по точкам назначения.
   • Разделитель – этот раскрывающийся список используется для указания символа, определяющего границу между событиями. По умолчанию используется \n.
   • Путь – путь к файлу, если выбран тип точки назначения file.
   • Интервал очистки буфера – это поле используется для установки времени (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 100.
   • Рабочие процессы – это поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
   • Вы можете установить проверки работоспособности, используя поля Путь проверки работоспособности и Ожидание проверки работоспособности. Вы также можете отключить проверку работоспособности, установив флажок Проверка работоспособности отключена.
   • Отладка – переключатель, с помощью которого можно указать, будет ли включено логирование ресурса. По умолчанию положение Выключено.
   • С помощью раскрывающегося списка Дисковый буфер можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер отключен.

     Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера.

     Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.

   • В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться этим ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

     Создание фильтра в ресурсах

     Чтобы создать фильтр:

     1. В раскрывающемся списке Фильтр выберите Создать.
     2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
     3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
     4. В блоке параметров Условия укажите условия, которым должны соответствовать события:
        1. Нажмите на кнопку Добавить условие.
        2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
        3. В раскрывающемся списке оператор выберите оператор.

           Операторы фильтров

           • = – левый операнд равен правому операнду.
           • < – левый операнд меньше правого операнда.
           • <= – левый операнд меньше или равен правому операнду.
           • > – левый операнд больше правого операнда.
           • >= – левый операнд больше или равен правому операнду.
           • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
           • contains – левый операнд содержит значения правого операнда.
           • startsWith – левый операнд начинается с одного из значений правого операнда.
           • endsWith – левый операнд заканчивается одним из значений правого операнда.
           • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
           • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

             Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

             Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

           • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

             Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

           • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
           • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
           • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
           • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
           • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
           • inContextTable – присутствует ли в указанной контекстной таблице запись.
           • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
        4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
        5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.

        Вы можете добавить несколько условий или группу условий.

     5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
     6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .
4. Нажмите Сохранить.

Созданная точка назначения отображается на вкладке мастера установки. Точку назначения можно удалить из набора ресурсов, выбрав ее и в открывшемся окне нажав Удалить.

Перейдите к следующему шагу мастера установки.

Шаг 8. Проверка параметров

Это обязательный и заключительный шаг мастера установки. На этом шаге в KUMA создается набор ресурсов для сервиса и на основе этого набора автоматически создаются сервисы:

• Набор ресурсов для коллектора отображается в разделе Ресурсы → Коллекторы. Его можно использовать для создания новых сервисов коллектора. При изменении этого набора ресурсов все сервисы, которые работают на его основе, будут использовать новые параметры, если сервисы перезапустить: для этого можно использовать кнопки Сохранить и перезапустить сервисы и Сохранить и обновить параметры сервисов.

  Набор ресурсов можно изменять, копировать, переносить из папки в папку, удалять, импортировать и экспортировать, как другие ресурсы.

• Сервисы отображаются в разделе Ресурсы → Активные сервисы. Созданные с помощью мастера установки сервисы выполняют функции внутри программы KUMA – для связи с внешними частями сетевой инфраструктуры необходимо установить аналогичные внешние сервисы на предназначенных для них серверах и устройствах. Например, внешний сервис коллектора следует установить на сервере, предназначенном для получения событий; внешние сервисы хранилища – на серверах с развернутой службой ClickHouse; внешние сервисы агентов – на тех устройствах Windows, где требуется получать и откуда необходимо пересылать события Windows.

Чтобы завершить мастер установки:

1. Нажмите Сохранить и создать сервис.

   На вкладке мастера установки Проверка параметров отображается таблица сервисов, созданных на основе набора ресурсов, выбранных в мастере установки. В нижней части окна отображаются примеры команд, с помощью которых необходимо установить внешние аналоги этих сервисов на предназначенные для них серверы и устройства.

   Например:

   /opt/kaspersky/kuma/kuma collector --core https://kuma-example:<порт, используемый для связи с Ядром KUMA> --id <идентификатор сервиса> --api.port <порт, используемый для связи с сервисом> --install

   Файл kuma можно найти внутри установщика в директории /kuma-ansible-installer/roles/kuma/files/.

   Порт для связи с Ядром KUMA, идентификатор сервиса и порт для связи с сервисом добавляются в команду автоматически. Также следует убедиться в сетевой связности системы KUMA и при необходимости открыть используемые ее компонентами порты.

2. Закройте мастер, нажав Сохранить коллектор.

Сервис коллектора создан в KUMA. Теперь сервис необходимо установить на сервере, предназначенном для получения событий.

Если в коллекторы был выбран коннектор типа wmi или wec, потребуется также установить автоматически созданные агенты KUMA.

Установка коллектора в сетевой инфраструктуре KUMA

Коллектор состоит из двух частей: одна часть создается в веб-интерфейсе KUMA, а другая устанавливается на сервере сетевой инфраструктуры, предназначенной для получения событий. В сетевой инфраструктуре устанавливается вторая часть коллектора.

Чтобы установить коллектор:

1. Войдите на сервер, на котором вы хотите установить сервис.
2. Выполните следующую команду:

   sudo /opt/kaspersky/kuma/kuma collector --core https://<FQDN сервера Ядра KUMA>:<порт, используемый Ядром KUMA для внутренних коммуникаций (по умолчанию используется порт 7210)> --id <идентификатор сервиса, скопированный из веб-интерфейса KUMA> --api.port <порт, используемый для связи с устанавливаемым компонентом>

   Пример: sudo /opt/kaspersky/kuma/kuma collector --core https://test.kuma.com:7210 --id XXXX --api.port YYYY

   Если в результате выполнения команды были выявлены ошибки, проверьте корректность параметров. Например, наличие требуемого уровня доступа, сетевой доступности между сервисом коллектора и Ядром, уникальность выбранного API-порта. После устранения ошибок продолжите установку коллектора.

   Если ошибки не выявлены, а статус коллектора в веб-интерфейсе KUMA изменился на зеленый, остановите выполнение команды и перейдите к следующему шагу.

   Команду можно скопировать на последнем шаге мастера установщика. В команде автоматически указывается адрес и порт сервера Ядра KUMA, идентификатор устанавливаемого коллектора, а также порт, который этот коллектор использует для связи.

   При развертывании нескольких сервисов KUMA на одном хосте в процессе установки необходимо указать уникальные порты для каждого компонента с помощью параметра --api.port <порт>. По умолчанию используется значение --api.port 7221.

   Перед установкой необходимо убедиться в сетевой связности компонентов KUMA.

3. Выполните команду повторно, добавив ключ --install:

   sudo /opt/kaspersky/kuma/kuma collector --core https://<FQDN сервера Ядра KUMA>:<порт, используемый Ядром KUMA для внутренних коммуникаций (по умолчанию используется порт 7210)> --id <идентификатор сервиса, скопированный из веб-интерфейса KUMA> --api.port <порт, используемый для связи с устанавливаемым компонентом> --install

   Пример: sudo /opt/kaspersky/kuma/kuma collector --core https://kuma.example.com:7210 --id XXXX --api.port YYYY --install

4. Добавьте порт коллектора KUMA в исключения брандмауэра.

   Для правильной работы программы убедитесь, что компоненты KUMA могут взаимодействовать с другими компонентами и программами по сети через протоколы и порты, указанные во время установки компонентов KUMA.

Коллектор установлен. С его помощью можно получать и передавать на обработку данные из источника события.

Проверка правильности установки коллектора

Проверить готовность коллектора к получению событий можно следующим образом:

1. В веб-интерфейсе KUMA откройте раздел Ресурсы → Активные сервисы.
2. Убедитесь, что у установленного вами коллектора зеленый статус.

Если статус коллектора отличается от зеленого, просмотрите журнал этого сервиса на машине, где он установлен, в директории /opt/kaspersky/kuma/collector/<идентификатор корректора>/log/collector. Ошибки записываются в журнал вне зависимости от того, включен или выключен режим отладки.

Если коллектор установлен правильно и вы уверены, что из источника событий приходят данные, то при поиске связанных с ним событий в таблице должны отображаться события.

Чтобы проверить наличие ошибок нормализации с помощью раздела События веб-интерфейса KUMA:

1. Убедитесь, что запущен сервис коллектора.
2. Убедитесь, что источник событий передает события в KUMA.
3. Убедитесь, что в разделе Ресурсы веб-интерфейса KUMA в раскрывающемся списке Хранить исходное событие ресурса Нормализатор выбрано значение При возникновении ошибок.
4. В разделе События в KUMA выполните поиск событий со следующими параметрами:
   • ServiceID = <идентификатор коллектора, который требуется проверить>
   • Raw != ""

Если при этом поиске будут обнаружены какие-либо события, это означает, что есть ошибки нормализации, и их необходимо исследовать.

Чтобы проверить наличие ошибок нормализации с помощью панели мониторинга Grafana:

1. Убедитесь, что запущен сервис коллектора.
2. Убедитесь, что источник событий передает события в KUMA.
3. Откройте раздел Метрики и перейдите по ссылке KUMA Collectors.
4. Проверьте, отображаются ли ошибки в разделе Errors (Ошибки) виджета Normalization (Нормализация).

Если в результате обнаружены ошибки нормализации, их необходимо исследовать.

В коллекторах типа WEC и WMI необходимо убедиться, что для подключения к агенту используется уникальный порт. Этот порт указывается в разделе Транспорт мастера установки коллектора.

Обеспечение бесперебойной работы коллекторов

Бесперебойное поступление событий от источника событий в KUMA является важным условием защиты сетевой инфраструктуры. Бесперебойность можно обеспечить автоматическим перенаправлением потока событий на большее число коллекторов:

• На стороне KUMA необходимо установить два или больше одинаковых коллекторов.
• На стороне источника событий необходимо настроить управление потоками событий между коллекторами с помощью сторонних средств управления нагрузкой серверов, например rsyslog или nginx.

При такой конфигурации коллекторов поступающие события не будут теряться, когда сервер коллектора по какой-либо причине недоступен.

Необходимо учитывать, что при переключении потока событий между коллекторами агрегация событий будет происходить на каждом коллекторе отдельно.

Если коллектор KUMA не удается запустить, а в его журнале выявлена ошибка "panic: runtime error: slice bounds out of range [8:0]":

1. Остановите коллектор.

   sudo systemctl stop kuma-collector-<идентификатор коллектора>

2. Удалите файлы с кешем DNS-обогащения.

   sudo rm -rf /opt/kaspersky/kuma/collector/<идентификатор коллектора>/cache/enrichment/DNS-*

3. Удалите файлы с кешем событий (дисковый буфер). Выполняйте команду, только если можно пожертвовать событиями, находящимися в дисковых буферах коллектора.

   sudo rm -rf /opt/kaspersky/kuma/collector/<идентификатор коллектора>/buffers/*

4. Запустите сервис коллектора.

   sudo systemctl start kuma-collector-<идентификатор коллектора>

Управление потоком событий с помощью rsyslog

Чтобы включить управление потоками событий на сервере источника событий с помощью rsyslog:

1. Создайте два или более одинаковых коллекторов, с помощью которых вы хотите обеспечить бесперебойный прием событий.
2. Установите на сервере источника событий rsyslog (см. документацию rsyslog).
3. Добавьте в конфигурационный файл /etc/rsyslog.conf правила перенаправления потока событий между коллекторами:

   *.* @@<FQDN основного сервера коллектора>:<порт, на который коллектор принимает события> $ActionExecOnlyWhenPreviousIsSuspended on & @@<FQDN резервного сервера коллектора>:<порт, на который коллектор принимает события> $ActionExecOnlyWhenPreviousIsSuspended off

   Пример конфигурационного файла

   Пример конфигурационного файла, где указан один основной коллектор и два резервных. Коллекторы настроены на принятие событий на порт TCP 5140.

   *.* @@kuma-collector-01.example.com:5140 $ActionExecOnlyWhenPreviousIsSuspended on & @@kuma-collector-02.example.com:5140 & @@kuma-collector-03.example.com:5140 $ActionExecOnlyWhenPreviousIsSuspended off

4. Перезапустите rsyslog, выполнив команду:

   systemctl restart rsyslog.

Управление потоками событий на сервере источника событий включено.

Управление потоком событий с помощью nginx

Для управления потоком событий средствами nginx необходимо создать и настроить nginx-сервер, который будет принимать события от источника событий, а затем перенаправлять их на коллекторы.

Чтобы включить управление потоками событий на сервере источника событий с помощью nginx:

1. Создайте два или более одинаковых коллекторов, с помощью которых вы хотите обеспечить бесперебойный прием событий.
2. Установите nginx на сервере, предназначенном для управления потоком событий.
   • Команда для установки в Oracle Linux 8.6:

     $sudo dnf install nginx

   • Команда для установки в Ubuntu 20.4:

     $sudo apt-get install nginx

     При установке из sources, необходимо собрать с параметром -with-stream:
     $sudo ./configure -with-stream -without-http_rewrite_module -without-http_gzip_module

3. На nginx-сервере в конфигурационный файл nginx.conf добавьте модуль stream с правилами перенаправления потока событий между коллекторами.

   Пример модуля stream

   Пример модуля, в котором поток событий распределяется между коллекторами kuma-collector-01.example.com и kuma-collector-02.example.com, которые принимают события по протоколу TCP на порт 5140 и по протоколу UDP на порт 5141. Для балансировки используется ngnix-сервер nginx.example.com.

   stream {  upstream syslog_tcp { server kuma-collector-1.example.com:5140; server kuma-collector-2.example.com:5140; } upstream syslog_udp { server kuma-collector-1.example.com:5141; server kuma-collector-2.example.com:5141; }  server { listen nginx.example.com:5140; proxy_pass syslog_tcp; } server { listen nginx.example.com:5141 udp; proxy_pass syslog_udp; proxy_responses 0; } }  worker_rlimit_nofile 1000000; events { worker_connections 20000; } # worker_rlimit_nofile – ограничение на максимальное число открытых файлов (RLIMIT_NOFILE) для рабочих процессов. Используется для увеличения ограничения без перезапуска главного процесса. # worker_connections – максимальное число соединений, которые одновременно может открыть рабочий процесс.

   При большом количестве активных сервисов и пользователей может понадобиться увеличить лимит открытых файлов в параметрах nginx.conf. Например:

   worker_rlimit_nofile 1000000;

   events {

   worker_connections 20000;

   }

   # worker_rlimit_nofile – ограничение на максимальное число открытых файлов (RLIMIT_NOFILE) для рабочих процессов. Используется для увеличения ограничения без перезапуска главного процесса.

   # worker_connections – максимальное число соединений, которые одновременно может открыть рабочий процесс.

4. Перезапустите nginx, выполнив команду:

   systemctl restart nginx

5. На сервере источника событий перенаправьте события на nginx-сервер.

Управление потоками событий на сервере источника событий включено.

Для тонкой настройки балансировки может потребоваться nginx Plus, однако некоторые методы балансировки, например Round Robin и Least Connections, доступны в базовой версии ngnix.

Подробнее о настройке nginx см. в документации nginx.

Предустановленные коллекторы

В поставку KUMA включены перечисленные в таблице ниже предустановленные коллекторы.

Предустановленные коллекторы

Создание агента

Агент KUMA состоит из двух частей: одна часть создается внутри веб-интерфейса KUMA, а вторая устанавливается на сервере или устройстве сетевой инфраструктуры.

Создание агента производится в несколько этапов:

1. Создание набора ресурсов агента в веб-интерфейсе KUMA
2. Создание сервиса агента в веб-интерфейсе KUMA
3. Установка серверной части агента на устройстве, с которого требуется передавать сообщения

Агент KUMA для устройств Windows может быть создан автоматически при создании коллектора с типом транспорта wmi или wec. Набор ресурсов и сервис таких агентов создаются в мастере установки коллектора, однако их все равно требуется установить на устройстве, с которого требуется передать сообщение.

На одном устройстве может быть установлено несколько агентов, при этом все агенты должны быть одной версии.

Если на устройстве, где вы планируете создать агент, уже есть установленный агент более старой версии, требуется сначала остановить установленный агент (удалить агент с устройства Windows или перезапустить сервис агента для Linux), а затем можно создавать новый агент. При этом если установлены агенты той же версии, что и планируется создать, остановка агентов не требуется.

При создании и запуске агента версии 3.0.1 и более поздних версий требуется принять условия Лицензионного соглашения.

Создание набора ресурсов для агента

Сервис агента в веб-интерфейсе KUMA создается на основе набора ресурсов для агента, в котором объединяются коннекторы и точки назначения.

Чтобы создать набор ресурсов для агента в веб-интерфейсе KUMA:

1. В веб-интерфейсе KUMA в разделе Ресурсы → Агенты нажмите Добавить агент.

   Откроется окно создания агента с активной вкладкой Общие параметры.

2. Заполните параметры на вкладке Общие параметры:
   • В поле Название агента введите уникальное имя создаваемого сервиса. Название должно содержать от 1 до 128 символов в кодировке Unicode.
   • В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать хранилище.
   • При необходимости переведите переключатель Отладка в активное положение, чтобы включить логирование операций сервиса.
   • В поле Описание можно добавить описание сервиса: до 256 символов в кодировке Unicode.
3. Создайте подключение для агента с помощью кнопки и переключитесь на добавленную вкладку Подключение <номер>.

   Вкладки можно удалять с помощью кнопки .

4. В блоке параметров Коннектор добавьте коннектор:
   • Если хотите выбрать существующий коннектор, выберите его в раскрывающемся списке.
   • Если хотите создать новый коннектор, выберите в раскрывающемся списке Создать и укажите следующие параметры:
     • В поле Название укажите имя коннектора. Название должно содержать от 1 до 128 символов в кодировке Unicode.
     • В раскрывающемся списке Тип выберите тип коннектора и укажите его параметры на вкладках Основные параметры и Дополнительные параметры. Набор доступных параметров зависит от выбранного типа коннектора:
       • tcp
       • udp
       • nats-jetstream
       • kafka
       • http
       • file
       • ftp
       • nfs
       • wmi
       • wec
       • snmp

       Типом агента считается тип использованного в нем коннектора. Исключением являются агенты с точкой назначения типа diode: такие агенты считаются diode-агентами.

       При использовании типа коннектора tcp или udp на этапе нормализации в поле событий DeviceAddress, если оно пустое, будут записаны IP-адреса устройств, с которых были получены события.

       Возможности по изменению уже созданных wec- или wmi-подключений в агентах, коллекторах и коннекторах ограничены. Тип подключения можно изменить с wec на wmi и обратно, однако типы wec или wmi не получится сменить на какой-либо другой тип подключения. При этом при изменении других типов подключений невозможно выбрать типы wec или wmi. Новые подключения можно создавать без ограничения по типам коннекторов.

   • В поле Описание можно добавить описание ресурса: до 4000 символов в кодировке Unicode.

   Коннектор добавлен в выбранное подключение набора ресурсов агента. Созданный коннектор доступен только в этом наборе ресурсов и не отображается в разделе веб-интерфейса Ресурсы → Коннекторы.

5. В блоке параметров Точки назначения добавьте точку назначения.
   • Если хотите выбрать существующую точку назначения, выберите ее в раскрывающемся списке.
   • Если хотите создать новую точку назначения, выберите в раскрывающемся списке Создать и укажите следующие параметры:
     • В поле Название укажите имя точки назначения. Название должно содержать от 1 до 128 символов в кодировке Unicode.
     • В раскрывающемся списке Тип выберите тип точки назначения и укажите ее параметры на вкладках Основные параметры и Дополнительные параметры. Набор доступных параметров зависит от выбранного типа точки назначения:
       • nats-jetstream – используется для коммуникации через NATS.
       • tcp – используется для связи по протоколу TCP.
       • http – используется для связи по протоколу HTTP.
       • diode – используется для передачи событий с помощью диода данных.
       • kafka – используется для коммуникаций с помощью kafka.
       • file – используется для записи в файл.
   • В поле Описание можно добавить описание ресурса: до 4000 символов в кодировке Unicode.

     Дополнительные параметры точки назначения агента (например, сжатие и режим TLS) должны совпадать с дополнительными параметрами точки назначения коллектора, с которым вы хотите связать агент.

   Точек назначения может быть несколько. Их можно добавить с помощью кнопки Добавить точку назначения и удалить с помощью кнопки .

6. Повторите шаги 3–5 для каждого подключения агента, которое вы хотите создать.
7. Нажмите Сохранить.

Набор ресурсов для агента создан и отображается в разделе Ресурсы → Агенты. Теперь можно создать сервис агента в KUMA.

Создание сервиса агента в веб-интерфейсе KUMA

Когда набор ресурсов для агента создан, можно перейти к созданию сервиса агента в KUMA.

Чтобы создать сервис агента в веб-интерфейсе KUMA:

1. В веб-интерфейсе KUMA в разделе Ресурсы → Активные сервисы нажмите Добавить сервис.
2. В открывшемся окне Выберите сервис выберите только что созданный набор ресурсов для агента и нажмите Создать сервис.

Сервис агента создан в веб-интерфейсе KUMA и отображается в разделе Ресурсы → Активные сервисы. Теперь сервисы агента необходимо установить на каждом устройстве, с которого вы хотите передавать данные в коллектор. При установке используется идентификатор сервиса.

Установка агента в сетевой инфраструктуре KUMA

Когда сервис агента создан в KUMA, можно перейти к установке агента на устройствах сетевой инфраструктуры, с которых вы хотите передавать данные в коллектор.

На одном устройстве может быть установлено несколько агентов, при этом все агенты должны быть одной версии.

Перед установкой убедитесь в сетевой связности системы и откройте используемые компонентами порты.

Установка агента KUMA на устройствах Linux

Агент KUMA, установленный на устройствах Linux, останавливается при закрытии терминала или при перезапуске сервера. Чтобы избежать запуска агентов вручную, мы рекомендуем устанавливать агент с помощью системы, которая автоматически запускает программы при перезапуске сервера, например, Supervisor. Чтобы автоматически запускать агенты, укажите в конфигурационном файле параметры автоматического запуска и автоматического перезапуска. Подробнее о настройке параметров см. официальную документацию систем автоматического запуска программ. Пример настройки параметров в Supervisor, который вы можете адаптировать для своих нужд:

[program:agent_<имя агента>] command=sudo /opt/kaspersky/kuma/kuma agent --core https://<FQDN сервера Ядра KUMA>:<порт, используемый Ядром KUMA

autostart=true

autorestart=true

Чтобы установить агент KUMA на устройство Linux:

1. Войдите на сервер, на котором вы хотите установить сервис.
2. Создайте следующие директории:
   • /opt/kaspersky/kuma/
   • /opt/kaspersky/agent/

   В этой инструкции директории приведены для удобства изложения, вы можете использовать пользовательские директории.

3. Поместите в директорию /opt/kaspersky/kuma/ файл kuma, расположенный внутри установщика в директории /kuma-ansible-installer/roles/kuma/files/.

   Убедитесь, что файл kuma имеет достаточные права для запуска.

4. Создайте пользователя kuma:

   sudo useradd --system kuma && usermod -s /usr/bin/false kuma

5. Выдайте пользователю kuma права на директорию /opt/kaspersky/kuma и все файлы внутри директории:

   sudo chown -R kuma:kuma /opt/kaspersky/kuma/

6. Выполните следующую команду:

   sudo /opt/kaspersky/kuma/kuma agent --core https://<FQDN сервера Ядра KUMA>:<порт, используемый Ядром KUMA для внутренних коммуникаций (по умолчанию используется порт 7210)> --id <идентификатор сервиса, скопированный из веб-интерфейса KUMA> --wd <путь к директории, где будут размещаться файлы устанавливаемого агента. Если не указывать этот флаг, файлы будут храниться в директории, где расположен файл kuma>

   Пример: sudo /opt/kaspersky/kuma/kuma agent --core https://kuma.example.com:7210 --id XXXX --wd /opt/kaspersky/kuma/agent/XXXX

Агент KUMA установлен на устройство Linux. Агент пересылает данные в KUMA: можно настроить коллектор для их приема.

Установка агента KUMA на устройствах Windows

Перед установкой агента KUMA на устройстве Windows администратору сервера необходимо создать на устройстве Windows учетную запись с правами EventLogReaders и Log on as a service. Эту же учетную запись необходимо использовать для запуска агента.
Если вы хотите запустить агент под локальной учетной записью, для запуска потребуются права администратора и Log on as a service. Если вы хотите выполнить удаленный сбор и только чтение журналов под доменной учетной записью, будет достаточно прав EventLogReaders.

Чтобы установить агент KUMA на устройство Windows:

1. Скопируйте файл kuma.exe в папку на устройстве Windows. Для установки рекомендуется использовать папку C:\Users\<имя пользователя>\Desktop\KUMA.

   Файл kuma.exe находится внутри установщика в директории /kuma-ansible-installer/roles/kuma/files/.

2. Запустите командную строку на устройстве Windows с правами администратора и найдите папку с файлом kuma.exe.
3. Выполните следующую команду:

   kuma agent --core https://<полное доменное имя сервера ядра KUMA>:<порт, используемый сервером ядра KUMA для внутренних коммуникаций (по умолчанию используется порт 7210)> --id <идентификатор сервиса агента, созданного в KUMA> --user <имя пользователя, под которым будет работать агент, включая домен> --install

   Пример:

   kuma agent --core https://kuma.example.com:7210 --id XXXXX --user domain\username --install

   Справочная информация об установщике доступна по команде kuma help agent.

4. Для запуска агента требуется подтверждение лицензии. В процессе установки вам будет предложено ознакомиться с текстом лицензии и у вас будет возможность принять соглашение или отказаться. Если этого не произошло автоматически, вы можете воспользоваться следующей командой, чтобы ознакомиться с текстом лицензии:

   kuma.exe license --show

   Если вы хотите принять лицензионное соглашение, выполните команду и нажмите y:

   kuma.exe license

5. Введите пароль для пользователя, под которым будет работать агент.

Создана папка C:\ProgramData\Kaspersky Lab\KUMA\agent\<идентификатор агента>, в нее установлен сервис агента KUMA. Агент пересылает события Windows в KUMA: можно настроить коллектор для их приема.

Когда сервис агента установлен, он запускается автоматически. Сервис также настроен на перезапуск в случае сбоев. Агент можно перезапустить из веб-интерфейса KUMA, но только когда сервис активен. В противном случае сервис требуется перезапустить вручную на машине Windows.

Удаление агента KUMA с устройств Windows

При настройке сервисов можно проверить конфигурацию на наличие ошибок до установки, запустив агент с помощью команды:

kuma agent --core https://<полное доменное имя сервера ядра KUMA>:<порт, используемый сервером ядра KUMA для внутренних коммуникаций (по умолчанию используется порт 7210)> --id <идентификатор сервиса агента, созданного в KUMA> --user <имя пользователя, под которым будет работать агент, включая домен>

Автоматически созданные агенты

При создании коллектора с коннекторами типа wec и wmi автоматически создаются агенты для приема событий Windows.

Автоматически созданные агенты имеют ряд особенностей:

• Автоматически созданные агенты могут иметь только одно подключение.
• Автоматически созданные агенты отображаются в разделе Ресурсы → Агенты, в конце их названия указаны слова auto created. Агенты можно просмотреть или удалить.
• Параметры автоматически созданных агентов указываются автоматически на основе параметров коллектора из разделов Подключение источников и Транспорт. Изменить параметры можно только в коллекторе, для которого был создан агент.
• В качестве описания автоматически созданного агента используется описание коллектора в разделе Подключение источников.
• Отладка автоматически созданного агента включается и выключается в разделе коллектора Подключение источников.
• При удалении коллектора с автоматически созданным агентом вам будет предложено удалить коллектор вместе с агентом или удалить только коллектор. При удалении только коллектора агент станет доступен для редактирования.
• При удалении автоматически созданных агентов тип коллектора меняется на http, а из поля URL коллектора удаляется адрес подключения.
• Если хотя бы одно название журнала Windows указано в коннекторе типа wec или wmi с ошибкой, агент не будет получать события из всех перечисленных в коннекторе журналов Windows. При этом статус агента будет зеленый. Попытки получить события будут повторяться каждые 60 секунд, сообщения об ошибке будут добавляться в журнал сервиса.

В интерфейсе KUMA автоматически созданные агенты появляются одновременно с созданием коллектора, однако их все равно требуется установить на устройстве, с которого требуется передать сообщение.

Обновление агентов

При обновлении версий KUMA требуется обновить и установленные на удаленных машинах агенты WMI и WEC.

Чтобы обновить агент, используйте учетную запись с правами администратора и выполните следующие шаги:

1. В веб-интерфейсе KUMA в разделе Ресурсы → Активные сервисы - Агенты выберите агент, который вы хотите обновить, и скопируйте его идентификатор.

   Идентификатор понадобится для последующего удаления агента и установки нового агента с тем же идентификатором.

2. В ОС Windows в разделе Службы откройте агент и нажмите Стоп.
3. В командном интерпретаторе перейдите в папку, где был установлен агент и выполните команду по удалению агента с сервера.

   kuma.exe agent --id <идентификатор сервиса агента, созданного в KUMA> --uninstall

4. Поместите в ту же папку новый агент.
5. В командном интерпретаторе перейдите в папку с новым агентом и из этой папки выполните команду установки, используя идентификатор агента из пункта 1.

   kuma agent --core https://<полное доменное имя сервера ядра KUMA>:<порт, используемый сервером ядра KUMA для внутренних коммуникаций (по умолчанию используется порт 7210)> --id <идентификатор сервиса агента, созданного в KUMA> --user <имя пользователя, под которым будет работать агент, включая домен> --install

6. При первой установке обновленного агента на устройстве требуется подтверждение лицензии. В процессе установки вам будет предложено ознакомиться с текстом лицензии и у вас будет возможность принять соглашение или отказаться. Если этого не произошло автоматически, вы можете воспользоваться следующей командой, чтобы ознакомиться с текстом лицензии:

   kuma.exe license --show

   Если вы хотите принять лицензионное соглашение, выполните команду и нажмите y:

   kuma.exe license

Агент обновлен.

Передача в KUMA событий из изолированных сегментов сети

Схема передачи данных

С помощью диодов данных можно передавать события из изолированных сегментов сети в KUMA. Передача данных организована следующим образом:

1. Установленный на изолированном сервере агент KUMA с точкой назначения diode принимает события и перемещает их в директорию, из которой события заберет диод данных.

   Агент накапливает события в буфере до его переполнения или в течение заданного пользователем срока после последней записи на диск. Затем события записываются в файл во временной директории агента. Файл перемещается в директорию, обрабатываемую диодом данных; в качестве его названия используется хеш-сумма (SHA-256) содержимого файла и время создания файла.

2. Диод данных перемещает файлы из директории изолированного сервера в директорию внешнего сервера.
3. Установленный на внешнем сервере коллектор KUMA с коннектором diode считывает и обрабатывает события из файлов той директории, в которой размещает файлы диод данных.

   После считывания из файла всех событий он автоматически удаляется. Перед считыванием событий происходит верификация содержимого файлов по хеш-сумме в названии файла. Если содержимое не проходит верификацию, файл удаляется.

В указанной выше схеме компоненты KUMA отвечают за перемещение событий в определенную директорию внутри изолированного сегмента и за прием событий из определенной директории во внешнем сегменте сети. Перемещение файлов с событиями из директории изолированного сегмента сети в директорию внешнего сегменте сети осуществляет диод данных.

Для каждого источника данных внутри изолированного сегмента сети необходимо создать свой агент и коллектор KUMA, а также настроить диод данных на работу с отдельными директориями.

Настройка компонентов KUMA

Настройка компонентов KUMA для передачи данных из изолированных сегментов сети состоит из следующих этапов:

1. Создание сервиса коллектора во внешнем сегменте сети.

   На этом этапе необходимо создать и установить коллектор для получения и обработки файлов, которые диод данных будет перемещать из изолированного сегмента сети. Создать коллектор и все требуемые для него ресурсы можно с помощью мастера установки коллектора.

   На шаге Транспорт требуется выбрать или создать коннектор типа diode. В коннекторе необходимо указать директорию, в которую диод данных будет перемещать файлы из изолированного сегмента сети.

   Пользователь kuma, под которым работает коллектор, должен иметь права на чтение, запись и удаление в директории, в которую диод данных перемещает данные из изолированного сегмента сети.

2. Создание набора ресурсов агента KUMA.

   На этом этапе необходимо создать набор ресурсов агента KUMA, который будет в изолированном сегменте сети получать события и подготавливать их для передачи диоду данных. Набор ресурсов diode-агента имеет следующие особенности:

   • Точка назначения в агенте должна иметь тип diode. В этом ресурсе необходимо указать директорию, из которой диод данных будет перемещать файлы во внешний сегмент сети.
   • Для diode-агента невозможно выбрать коннекторы типа sql или netflow.
   • В коннекторе diode-агента должен быть выключен режим TLS.
3. Скачивание конфигурационного файла агента в виде JSON-файла.
   1. Набор ресурсов агента с точкой назначения типа diode необходимо скачать в виде JSON-файла.
   2. Если в наборе ресурсов агента использовались ресурсы секретов, конфигурационный файл необходимо вручную дополнить данными секретов.
4. Установка сервиса агента KUMA в изолированном сегменте сети.

   На этом этапе необходимо установить агент в изолированном сегменте сети на основе конфигурационного файла агента, созданного на предыдущем этапе. Установка возможна на устройствах Linux и Windows.

Настройка диода данных

Диод данных необходимо настроить следующим образом:

• Данные необходимо передавать атомарно из директории изолированного сервера (куда их помещает агент KUMA) в директорию внешнего сервера (где их считывает коллектор KUMA).
• Переданные файлы необходимо удалять с изолированного сервера.

Сведения о настройке диода данных можно получить в документации используемого в вашей организации диода данных.

Особенности работы

При работе с изолированными сегментами сети не поддерживаются работа с SQL и NetFlow.

При использовании указанной выше схемы невозможно администрирование агента через веб-интерфейс KUMA, поскольку он располагается в изолированном сегменте сети. В списке активных сервисов KUMA такие агенты не отображаются.

Конфигурационный файл diode-агента

Созданный набор ресурсов агента с точкой назначения типа diode можно скачать в виде конфигурационного файла. Этот файл используется при установке агента в изолированном сегменте сети.

Чтобы скачать конфигурационный файл,

В веб-интерфейсе KUMA в разделе Ресурсы → Агенты выберите нужный набор ресурсов агента с точкой назначения diode и нажмите Скачать конфигурацию.

Конфигурация параметров агента скачивается в виде JSON-файла в соответствии с параметрами вашего браузера. Секреты, использованные в наборе ресурсов агента, скачиваются пустыми, их идентификаторы указаны в файле в разделе "secrets". Для использования файла конфигурации для установки агента в изолированном сегменте сети необходимо вручную дополнить файл конфигурации секретами (например, указать URL и пароли, используемые в коннекторе агента для получения событий).

Необходимо при помощи списка контроля доступа (ACL) настроить права доступа к файлу на сервере, где будет установлен агент. Чтение файла должно быть доступно пользователю, от имени которого будет запускаться diode-агент.

Ниже приводится пример конфигурационного файла diode-агента с коннектором типа kafka.

Описание полей секретов

Поля секрета

Установка Linux-агента в изолированном сегменте сети

Чтобы установить в изолированном сегменте сети агент KUMA на устройство Linux:

1. Поместите на Linux-сервер в изолированном сегменте сети, который будет использоваться для получения агентом событий и с которого диод данных будет перемещать файлы во внешний сегмент сети, следующие файлы:
   • Конфигурационный файл агента.

     Необходимо при помощи списка контроля доступа (ACL) настроить права доступа к конфигурационному файлу так, чтобы доступ на чтение файла был только у пользователя KUMA.

   • Исполняемый файл /opt/kaspersky/kuma/kuma (файл kuma можно найти внутри установщика в директории /kuma-ansible-installer/roles/kuma/files/).
2. Выполните следующую команду:

   sudo ./kuma agent --cfg <путь к конфигурационному файлу агента> --wd <путь к директории, где будут размещаться файлы устанавливаемого агента. Если не указывать этот флаг, файлы будут храниться в директории, где расположен файл kuma>

Сервис агента установлен и запущен на сервере в изолированном сегменте сети. Он получает события и передает их диоду данных для отправки во внешний сегмент сети.

Установка Windows-агента в изолированном сегменте сети

Перед установкой агента KUMA на устройстве Windows администратору сервера необходимо создать на устройстве Windows учетную запись с правами EventLogReaders и Log on as a service. Эту же учетную запись необходимо использовать для запуска агента.

Чтобы установить в изолированном сегменте сети агент KUMA на устройство Windows:

1. Поместите на Window-сервер в изолированном сегменте сети, который будет использоваться для получения агентом событий и с которого диод данных будет перемещать файлы во внешний сегмент сети, следующие файлы:
   • Конфигурационный файл агента.

     Необходимо при помощи списка контроля доступа (ACL) настроить права доступа к конфигурационному файлу так, чтобы доступ на чтение файла был только у пользователя, под которым будет работать агент.

   • Исполняемый файл kuma.exe. Файл можно найти внутри установщика в директории /kuma-ansible-installer/roles/kuma/files/.

   Рекомендуется использовать папку C:\Users\<имя пользователя>\Desktop\KUMA.

2. Запустите командную строку на устройстве Windows с правами администратора и найдите папку с файлом kuma.exe.
3. Выполните следующую команду:

   kuma.exe agent --cfg <путь к конфигурационному файлу агента> --user <имя пользователя, под которым будет работать агент, включая домен> --install

   Справочная информация об установщике доступна по команде:

   kuma.exe help agent

4. Введите пароль для пользователя, под которым будет работать агент.

Создана папка C:\Program Files\Kaspersky Lab\KUMA\agent\<Идентификатор Агента>, в нее установлен сервис агента KUMA. Агент перемещает события в папку для обработки диодом данных.

При установке агента конфигурационный файл агента перемещается в директорию C:\Program Files\Kaspersky Lab\KUMA\agent\<идентификатор агента, указанный в конфигурационном файле>. Файл kuma.exe перемещается в директорию C:\Program Files\Kaspersky Lab\KUMA.

При установке агента его конфигурационный файл не должен находиться в директории, в которую устанавливается агент.

Когда сервис агента установлен, он запускается автоматически. Сервис также настроен на перезапуск в случае сбоев.

Удаление агента KUMA с устройств Windows

При настройке сервисов можно проверить конфигурацию на наличие ошибок до установки, запустив агент с помощью команды:

kuma.exe agent --cfg <путь к конфигурационному файлу агента>

Передача в KUMA событий с машин Windows

Для передачи событий с машин Windows в KUMA используется связка агента и коллектора KUMA. Передача данных организована следующим образом:

1. Установленный на машине агент KUMA получает события Windows:
   • с помощью коннектора WEC: агент получает события, поступающие на хост по подписке (subscription), и журналы сервера.
   • с помощью коннектора WMI: агент подключается к удаленным серверам, указанным в конфигурации, и получает события.
2. Агент без предварительной обработки передает события коллектору KUMA, указанному в точке назначения.

   Можно настроить агент таким образом, чтобы разные журналы отправлялись в разные коллекторы.

3. Коллектор принимает события от агента, выполняет полный цикл обработки события и отправляет обработанные события в точку назначения.

Получение событий с агента WEC рекомендуется при использовании централизованного получения событий c хостов Windows с помощью технологии Windows Event Forwarding (WEF). Агент необходимо установить на сервер, который выполняет сбор событий, он будет выполнять роль Windows Event Collector (WEC). Мы не рекомендуем устанавливать агенты KUMA на каждый конечный хост, с которого планируется получать события.

Процесс настройки получения событий c использованием агента WEC подробно описан в приложении Настройка получения событий с устройств Windows с помощью Агента KUMA (WEC).

Подробнее о технологии Windows Event Forwarding см. в официальной документации Microsoft.

Получение событий с помощью агента WMI рекомендуется использовать в следующих случаях:

• Если отсутствует возможность использовать технологию WEF для реализации централизованного сбора событий, одновременно с этим запрещена установка стороннего ПО на сервере-источнике событий (например, агент KUMA).
• Если необходимо выполнить сбор событий с небольшого количества хостов - не более 500 хостов для одного агента KUMA.

Для подключения журналов Windows в качестве источника событий рекомендуется использовать мастер «Подключить источник». При использовании мастера в процессе создания коллектора с коннекторами типами WEC и WMI автоматически создаются агенты для приема событий Windows. Также ресурсы, необходимые для сбора событий Windows, можно создать вручную.

Создание и установка агента и коллектора для получения событий Windows происходит в несколько этапов:

1. Создание набора ресурсов агента.

   Коннектор агента:

   При создании агента на вкладке Подключение необходимо создать или выбрать коннектор типа WEC или WMI.

   Если хотя бы одно название журнала Windows указано в коннекторе типа WEC или WMI с ошибкой, или недоступен сервер WMI, агент будет получать события из всех перечисленных в коннекторе журналов Windows, кроме проблемного. При этом статус агента будет зеленый. Попытки получить события будут повторяться каждые 60 секунд, сообщения об ошибке будут добавляться в журнал сервиса.

   Точка назначения агента:

   Тип точки назначения агента зависит от используемого вами способа передачи данных: nats-jetstream, tcp, http, diode, kafka, file.

   В качестве разделителя в точке назначения необходимо использовать значение \0.

   Дополнительные параметры точки назначения агента (например, разделитель, сжатие и режим TLS) должны совпадать с дополнительными параметрами коннектора коллектора, с которым вы хотите связать агент.

2. Создание сервиса агента в веб-интерфейсе KUMA.
3. Установка агента KUMA на машине Windows, с которой вы хотите получать события Windows.

   Перед установкой убедитесь, что компоненты системы имеют доступ к сети и откройте необходимые сетевые порты:

   • Порт 7210, протокол TCP: от сервера с коллекторами к Ядру.
   • Порт 7210, протокол TCP: от сервера агента к Ядру.
   • Порт, настроенный при создании коннектора в поле URL: от сервера агента к серверу с коллектором.
4. Создание и установка коллектора KUMA.

   При создании набора ресурсов коллектора на шаге Транспорт необходимо создать или выбрать существующий коннектор, с помощью которого коллектор будет получать события от агента. Тип коннектора должен совпадать с типом точки назначения агента.

   Дополнительные параметры коннектора, такие как разделитель, сжатие и режим TLS, должны совпадать с дополнительными параметрами точки назначения агента, с которой вы хотите связать агент.