Содержание
- Активные листы
- Просмотр таблицы активных листов
- Добавление активного листа
- Просмотр параметров активного листа
- Изменение параметров активного листа
- Дублирование параметров активного листа
- Удаление активного листа
- Просмотр записей в активном листе
- Поиск записей в активном листе
- Добавление записи в активный лист
- Дублирование записей в активном листе
- Изменение записи в активном листе
- Удаление записей в активном листе
- Импорт данных в активный лист
- Экспорт данных из активного листа
- Предустановленные активные листы
Активные листы
Активный лист – это контейнер для данных, которые используются корреляторами KUMA при анализе событий по правилам корреляции.
Например, если у вас есть список IP-адресов с плохой репутацией, вы можете:
- Создать корреляционное правило типа operational и добавить в активный лист эти IP-адреса.
- Создать корреляционное правило типа standard и указать активный лист в качестве условия фильтрации.
- Создать коррелятор с этим правилом.
В этом случае KUMA выберет все события, которые содержат IP-адреса, внесенные в активный лист, и создаст корреляционное событие.
Вы можете наполнять активные листы автоматически с помощью корреляционных правил типа simple или импортировать файл с данными для активного листа.
Вы можете добавлять, копировать и удалять активные листы.
Активные листы можно использовать в следующих сервисах и функциях KUMA:
Один и тот же активный лист может использоваться в разных корреляторах. При этом для каждого коррелятора создается своя сущность активного листа. Таким образом, содержимое активных листов, используемых разными корреляторами, различается, даже если идентификатор и название активных листов одинаковые.
В активный лист добавляются данные только по правилам корреляции, добавленным в коррелятор.
Вы можете добавлять, изменять, дублировать, удалять и экспортировать записи в активном листе коррелятора.
В процессе корреляции при удалении записей из активных листов в корреляторах создаются служебные события. Эти события существуют только в корреляторах, они не перенаправляются в другие точки назначения. Правила корреляции можно настроить на отслеживание этих событий, чтобы с их помощью распознавать угрозы. Поля служебных событий удаления записи из активного листа описаны ниже.
Поле события |
Значение или комментарий |
|
Идентификатор события |
|
Время удаления записи, срок жизни которой истек |
|
|
|
|
|
|
|
Идентификатор коррелятора |
|
Название коррелятора |
|
Идентификатор активного листа |
|
Ключ записи, чей срок жизни истек. |
|
Увеличенное на единицу количество обновлений удаленной записи |
Просмотр таблицы активных листов
Чтобы просмотреть таблицу активных листов коррелятора:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Сервисы нажмите на кнопку Активные сервисы.
- Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
- Нажмите на кнопку Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
Таблица содержит следующие данные:
- Название – имя активного листа.
- Записи – количество записей в активном листе.
- Размер на диске – размер активного листа.
- Каталог – путь к активному листу на сервере коррелятора KUMA.
Добавление активного листа
Чтобы добавить активный лист:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Ресурсы нажмите на кнопку Активные листы.
- Нажмите на кнопку Добавить активный лист.
- Выполните следующие действия:
- В поле Название введите имя активного листа.
- В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
- В поле Срок жизни укажите время, в течение которого в активном листе будет храниться добавленная в него запись.
По истечении указанного времени запись удаляется. Время указывается в секундах.
Значение по умолчанию: 0. Если в поле указано значение 0, запись хранится 36000 дней (около 100 лет).
- В поле Описание введите любую дополнительную информацию.
Вы можете использовать до 4000 символов в кодировке Unicode.
Поле необязательно для заполнения.
- Нажмите на кнопку Сохранить.
Активный лист будет добавлен.
В началоПросмотр параметров активного листа
Чтобы просмотреть параметры активного листа:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Ресурсы нажмите на кнопку Активные листы.
- В столбце Название выберите активный лист, параметры которого вы хотите просмотреть.
Откроется окно с параметрами активного листа. В нем отображается следующая информация:
- Идентификатор – идентификатор активного листа.
- Название – уникальное имя ресурса.
- Тенант – название тенанта, которому принадлежит ресурс.
- Срок жизни – время, в течение которого в активном листе будет храниться добавленная в него запись. Указывается в секундах.
- Описание – любая дополнительная информация о ресурсе.
Изменение параметров активного листа
Чтобы изменить параметры активного листа:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Ресурсы нажмите на кнопку Активные листы.
- В столбце Название выберите активный лист, параметры которого вы хотите изменить.
- Укажите значения для следующих параметров:
- Название – уникальное имя ресурса.
- Срок жизни – время, в течение которого в активном листе будет храниться добавленная в него запись. Указывается в секундах.
Если в поле указано значение 0, запись хранится бессрочно.
- Описание – любая дополнительная информация о ресурсе.
Поля Идентификатор и Тенант недоступны для редактирования.
Дублирование параметров активного листа
Чтобы скопировать активный лист:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Ресурсы нажмите на кнопку Активные листы.
- Установите флажок рядом с активным листом, который вы хотите скопировать.
- Нажмите на кнопку Дублировать.
- Укажите нужные вам параметры.
- Нажмите на кнопку Сохранить.
Активный лист будет скопирован.
В началоУдаление активного листа
Чтобы удалить активный лист:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Ресурсы нажмите на кнопку Активные листы.
- Установите флажки рядом с активными листами, которые вы хотите удалить.
Если вы хотите удалить все листы, установите флажок рядом со столбцом Название.
Должен быть установлен хотя бы один флажок.
- Нажмите на кнопку Удалить.
- Нажмите на кнопку Ок.
Активные листы будут удалены.
В началоПросмотр записей в активном листе
Чтобы просмотреть список записей в активном листе:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Сервисы нажмите на кнопку Активные сервисы.
- Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
- Нажмите на кнопку Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
- В столбце Название выберите нужный вам активный лист.
Откроется таблица записей для выбранного листа.
Таблица содержит следующие данные:
- Ключ – значение ключа записи.
- Повторы записи – общее количество упоминаний записи в событиях и загрузок идентичных записей при импорте активных листов в KUMA.
- Срок действия – дата и время, когда запись должна быть удалена.
Если при создании активного листа в поле Срок жизни было указано значение 0, записи этого активного листа хранятся 36000 дней (около 100 лет).
- Создано – время создания активного листа.
- Последнее обновление – время последнего обновления активного листа.
Поиск записей в активном листе
Чтобы найти запись в активном листе:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Сервисы нажмите на кнопку Активные сервисы.
- Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
- Нажмите на кнопку Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
- В столбце Название выберите нужный вам активный лист.
Откроется окно со списком записей для выбранного листа.
- В поле Поиск введите значение ключа записи или несколько знаков из ее ключа.
В таблице записей активного листа отобразятся только те записи, в ключе которых есть введенные символы.
В началоДобавление записи в активный лист
Чтобы добавить запись в активный лист:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Сервисы нажмите на кнопку Активные сервисы.
- Установите флажок напротив нужного коррелятора.
- Нажмите на кнопку Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
- В столбце Название выберите нужный вам активный лист.
Откроется окно со списком записей для выбранного листа.
- Нажмите на кнопку Добавить.
Откроется окно Создать новую запись.
- Укажите значения для следующих параметров:
- В поле Ключ введите имя записи.
Вы можете указать несколько значений, используя символ "|".
Поле Ключ не может быть пустым. Если поле остается пустым, при попытке сохранить изменения KUMA возвращает ошибку.
- В поле Значение укажите значение для полей в столбце Поле.
KUMA берет названия полей из корреляционных правил, к которым привязан активный лист. Эти названия недоступны для редактирования. Вы можете удалить эти поля при необходимости.
- Если вы хотите добавить дополнительное значение, нажмите на кнопку Добавить элемент.
- В столбце Поле укажите название поля.
Название должно соответствовать следующим требованиям:
- название уникально;
- не содержит табуляцию;
- не содержит специальные символы, кроме символа нижнего подчеркивания;
- максимальное количество символов – 128.
Название не может начинаться с символа нижнего подчеркивания и содержать только цифры.
- В столбце Значение укажите значение для этого поля.
Оно должно соответствовать следующим требованиям:
- не содержит табуляцию;
- не содержит специальные символы, кроме символа нижнего подчеркивания;
- максимальное количество символов – 1024.
Поле необязательно для заполнения.
- В поле Ключ введите имя записи.
- Нажмите на кнопку Сохранить.
Запись будет добавлена. После сохранения записи в активном листе будут отсортированы в алфавитном порядке.
В началоДублирование записей в активном листе
Чтобы дублировать запись в активном листе:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Сервисы нажмите на кнопку Активные сервисы.
- Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
- Нажмите на кнопку Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
- В столбце Название выберите нужный вам активный лист.
Откроется окно со списком записей для выбранного листа.
- Установите флажок для записи, которую вы хотите скопировать.
- Нажмите на кнопку Дублировать.
- Укажите нужные вам параметры.
Поле Ключ не может быть пустым. Если поле остается пустым, при попытке сохранить изменения KUMA возвращает ошибку.
Редактирование названий полей в столбце Поле для записей, добавленных в активный лист ранее, недоступно. Вы можете менять названия только для записей, добавленных в момент редактирования. Название не может начинаться с символа нижнего подчеркивания и содержать только цифры.
- Нажмите на кнопку Сохранить.
Запись будет скопирована. После сохранения записи в активном листе будут отсортированы в алфавитном порядке.
В началоИзменение записи в активном листе
Чтобы изменить запись в активном листе:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Сервисы нажмите на кнопку Активные сервисы.
- Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
- Нажмите на кнопку Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
- В столбце Название выберите нужный вам активный лист.
Откроется окно со списком записей для выбранного листа.
- Нажмите на название записи в столбце Ключ.
- Укажите требуемые значения.
- Нажмите на кнопку Сохранить.
Запись будет изменена. После сохранения записи в активном листе будут выстроены в алфавитном порядке.
Ограничения, действующие при редактировании записи:
- Название записи недоступно для редактирования. Вы можете изменить его, выполнив импорт аналогичных данных с другим названием.
- Редактирование названий полей в столбце Поле для записей, добавленных в активный лист ранее, недоступно. Вы можете менять названия только для записей, добавленных в момент редактирования. Название не может начинаться с символа нижнего подчеркивания и содержать только цифры.
- Значения в столбце Значение должны соответствовать следующим требованиям:
- не содержит буквы русского алфавита;
- не содержит пробелы и табуляцию;
- не содержит специальные символы, кроме символа нижнего подчеркивания;
- максимальное количество символов – 128.
Удаление записей в активном листе
Чтобы удалить записи из активного листа:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Сервисы нажмите на кнопку Активные сервисы.
- Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
- Нажмите на кнопку Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
- В столбце Название выберите нужный вам активный лист.
Откроется окно со списком записей для выбранного листа.
- Установите флажки для записей, которые вы хотите удалить.
Если вы хотите удалить все записи, установите флажок рядом с названием столбца Ключ.
Должен быть установлен хотя бы один флажок.
- Нажмите на кнопку Удалить.
- Нажмите на кнопку Ок.
Записи будут удалены.
В началоИмпорт данных в активный лист
Чтобы импортировать данные в активный лист:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Сервисы нажмите на кнопку Активные сервисы.
- Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
- Нажмите на кнопку Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
- Наведите курсор мыши на строку с требуемым активным листом.
- Нажмите на
слева от названия активного листа. - Выберите Импортировать.
Откроется окно импорта активного листа.
- В поле Файл выберите файл, который требуется импортировать.
- В раскрывающемся списке Формат выберите формат файла:
- csv.
- tsv.
- internal.
- В поле Ключевое поле введите название столбца с ключами записей активного листа.
- Нажмите на кнопку Импортировать.
Данные из файла будут импортированы в активный лист. Записи, внесенные в лист ранее, сохраняются.
При импорте данные из файла не проходят проверку на допустимые символы. Если вы будете использовать эти данные в виджетах, при наличии недопустимых символов в данных виджеты будут отображаться некорректно.
В началоЭкспорт данных из активного листа
Чтобы экспортировать активный лист:
- В веб-интерфейсе KUMA выберите раздел Ресурсы.
- В разделе Сервисы нажмите на кнопку Активные сервисы.
- Установите флажок напротив коррелятора, для которого вы хотите просмотреть активный лист.
- Нажмите на кнопку Смотреть активные листы.
Отобразится таблица Активные листы коррелятора.
- Наведите курсор мыши на строку с требуемым активным листом.
- Нажмите на слева от нужного активного листа.
- Нажмите на кнопку Экспортировать.
Активный лист будет загружен в формате JSON с использованием настроек вашего браузера. Название загруженного файла соответствует названию активного листа.
В началоПредустановленные активные листы
В поставку KUMA включены перечисленные в таблице ниже активные листы.
Предустановленные активные листы
Название активного листа |
Описание |
[OOTB][AD] End-users tech support accounts |
Активный список используется в качестве фильтра при работе корреляционного правила [OOTB][AD] Successful authentication with same user account on multiple hosts. В активный список могут быть добавлены учётные записи сотрудников технической поддержки. Записи не удаляются из активного списка. |
[OOTB][AD] List of sensitive groups |
Активный список используется в качестве фильтра при работе корреляционного правила [OOTB][AD] Membership of sensitive group was modified. В активный список могут быть добавлены критичные доменные группы, членство в которых необходимо отслеживать. Записи не удаляются из активного списка. |
[OOTB][Linux] CompromisedHosts |
Активный список наполняется правилом [OOTB] Successful Bruteforce потенциально скомпрометированными хостами под управлением ОС Linux. Записи удаляются из списка через 24 часа после внесения. |