Аналитика

KUMA предоставляет обширную аналитику по данным, доступным программе из следующих источников:

• События в хранилище
• Алерты
• Активы
• Учетные записи, импортированные из Active Directory
• Сведения из коллекторов о количестве обработанных событий
• Метрики

Вы можете настроить и получать аналитику в разделах Панель мониторинга, Отчеты, Состояние источников веб-интерфейса KUMA. Для построения аналитики используются только данные из тенантов, к которым у пользователя есть доступ.

Формат даты зависит от языка локализации, выбранного в настройках программы. Возможные варианты формата даты:

• Английская локализация: ГГГГ-ММ-ДД.
• Русская локализация: ДД.ММ.ГГГГ.

Панель мониторинга

В разделе Панель мониторинга вы можете контролировать состояние безопасности сети вашей организации.

Панель мониторинга представляет собой набор виджетов, которые отображают аналитику данных безопасности сети. Вы можете просмотреть данные только по тем тенантам, к которым вы имеете доступ.

Набор виджетов, используемых на панели мониторинга, называется макетом. Вы можете создавать макеты вручную или воспользоваться преднастроенными макетами. Параметры виджетов в преднастроенных макетах можно редактировать при необходимости. По умолчанию на панели мониторинга отображается преднастроенный макет Alerts Overview.

Создавать, редактировать и удалять макеты могут только пользователи с ролями Главный администратор, Администратор тенанта, Аналитик второго уровня и Аналитик первого уровня. Пользователи с учетными записями всех ролей могут просматривать макеты и назначать макеты по умолчанию. Если макет назначен по умолчанию, этот макет отображается для учетной записи при каждом переходе в раздел Панель мониторинга. Выбранный макет по умолчанию сохраняется для текущей учетной записи пользователя.

Информация на панели мониторинга обновляется в соответствии с расписанием, заданным в параметрах макета. При необходимости вы можете обновить данные принудительно.

Для удобства представления данных на панели мониторинга вы можете включить режим ТВ. В этом случае вы перейдете в режим полноэкранного просмотра панели мониторинга в FullHD-разрешении. В режиме ТВ вы также можете настроить показ слайд-шоу для выбранных макетов.

Создание макета панели мониторинга

Чтобы создать макет:

1. Откройте веб-интерфейс KUMA и выберите раздел Панель мониторинга.
2. Откройте раскрывающийся список в правом верхнем углу окна Панель мониторинга и выберите Создать макет.

   Откроется окно Новый макет.

3. В раскрывающемся списке Тенанты выберите тенантов, которым будет принадлежать создаваемый макет и данными из которых будут наполняться виджеты макета.

   Выбор танантов в этом раскрывающемся списке не имеет значения, если вы хотите создать универсальный макет (см. ниже).

4. В раскрывающемся списке Период выберите период времени, по которому требуется аналитика:
   • 1 час
   • 1 день (это значение выбрано по умолчанию)
   • 7 дней
   • 30 дней
   • В течение периода – получать аналитику за выбранный период времени. Период времени устанавливается с помощью календаря, который отображается при выборе этого параметра.

     Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период День1, 00:00:00 – День 2, 00:00:00, а не День 1, 00:00:00 – День 1, 23:59:59.

5. В раскрывающемся списке Обновлять каждые выберите частоту обновления данных в виджетах макета:
   • 1 минута
   • 5 минут
   • 15 минут
   • 1 час (это значение выбрано по умолчанию)
   • 24 часа
6. В раскрывающемся списке Добавить виджет выберите требуемый виджет и настройте его параметры.

   В макет можно добавить более одного виджета.

   Виджеты также можно перетаскивать по окну и изменять их размер с помощью кнопки , которая появляется при наведении указателя мыши на виджет.

   Добавленные в макет виджеты можно редактировать или удалять, нажав на значок , а затем выбрав требуемое действие: Изменить или Удалить.

   • Добавление виджетов

     Чтобы добавить виджет:

     1. В раскрывающемся списке Добавить виджет выберите требуемый виджет.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

     2. Настройте параметры виджета и нажмите Добавить.
   • Редактирование виджетов

     Чтобы отредактировать виджет:

     1. Наведите указатель мыши на нужный виджет и нажмите на появляющийся значок шестеренки ().
     2. В раскрывающемся списке выберите значение Изменить.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

     3. Измените параметры виджета и нажмите Сохранить.
7. В поле Название макета введите уникальное имя макета. Должно содержать от 1 до 128 символов в кодировке Unicode.
8. При необходимости нажмите на значок справа от поля названия макета и установите флажки напротив дополнительных параметров макета:
   • Универсальный – если вы установите этот флажок, в виджетах макета будут отображаться данные из тенантов, которых вы выберите в разделе Выбрано тенантов, расположенном в меню слева. Это означает, что данные в виджетах макета будут меняться в зависимости от выбранных вами тенантов, при этом вам не придется редактировать параметры макета. Для универсальных макетов тенанты, выбранные в раскрывающемся списке Тенанты, не учитываются.

     Если флажок не установить, в виджетах макета будут отображаться данные из тенантов, выбранных в раскрывающемся списке Тенанты в параметрах макета. Если какие-либо из выбранных в макете тенантов вам недоступны, их данные не будут отображаться в виджетах макета.

     В универсальных макетах невозможно использовать виджет активные листы.

     Универсальные макеты могут создавать и редактировать только главные администраторы. Просматривать такие макеты могут все пользователи.

   • Отображать данные по КИИ – если вы установите этот флажок, в виджетах макета будут в том числе отображаться данные об активах, алертах и инцидентах, имеющих отношение к критической информационной инфраструктуре (КИИ). При этом такие макеты будут доступы для просмотра только пользователям, в параметрах которых установлен флажок Доступ к объектам КИИ.

     Если флажок не установить, в виджетах макета не будут отображаться данные об активах, алертах и инцидентах, относящихся к КИИ, даже если у пользователя есть доступ к объектам КИИ.

9. Нажмите Сохранить.

Новый макет создан и отображается в разделе Панель мониторинга веб-интерфейса KUMA.

Выбор макета панели мониторинга

Чтобы выбрать макет панели мониторинга:

1. Раскройте список в верхнем правом углу окна Панель мониторинга.
2. Выберите нужный макет.

Выбранный макет отобразится в разделе Панель мониторинга веб-интерфейса KUMA.

Выбор макета панели мониторинга в качестве макета по умолчанию

Чтобы выбрать макет, который будет отображаться на панели мониторинга по умолчанию:

1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
2. Раскройте список в верхнем правом углу окна Панель мониторинга.
3. Наведите указатель мыши на требуемый макет.
4. Нажмите на значок .

Выбранный макет будет отображаться на панели мониторинга по умолчанию.

Редактирование макета панели мониторинга

Чтобы отредактировать макет панели мониторинга:

1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
2. Раскройте список в верхнем правом углу окна.
3. Наведите указатель мыши на требуемый макет.
4. Нажмите на значок .

   Откроется окно Настройка макета.

5. Внесите необходимые изменения. Параметры, доступные для изменения, аналогичны параметрам, доступным при создании макета.
6. Нажмите на кнопку Сохранить.

Макет панели мониторинга будет отредактирован и отобразится в разделе Панель мониторинга веб-интерфейса KUMA.

Если макет был удален или присвоен другому тенанту, пока вы вносили в него изменения, при нажатии на кнопку Сохранить отобразится ошибка. Макет не будет сохранен. Обновите страницу веб-интерфейса KUMA, чтобы в раскрывающемся списке просмотреть перечень доступных макетов.

Удаление макета панели мониторинга

Чтобы удалить макет:

1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
2. Раскройте список в верхнем правом углу окна.
3. Наведите указатель мыши на требуемый макет.
4. Нажмите на значок и подтвердите действие.

Макет будет удален.

Включение и отключение режима ТВ

Мы рекомендуем для отображения аналитики в режиме ТВ создать отдельного пользователя с минимально необходимым набором прав.

Чтобы включить режим ТВ:

1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
2. В правом верхнем углу нажмите на кнопку .

   Откроется окно Параметры.

3. Переведите переключатель Режим ТВ в положение Включено.
4. Если вы хотите настроить показ макетов в режиме слайд-шоу, выполните следующие действия:
   1. Переведите переключатель Слайд-шоу в положение Включено.
   2. В поле Время ожидания укажите, через сколько секунд должно происходить переключение макетов.
   3. В раскрывающемся списке Очередь выберите макеты для просмотра. Если не выбран ни один макет, в режиме слайд-шоу будут по очереди отображаться все макеты, доступные пользователю.
   4. Если требуется, измените порядок показа макетов, перетаскивая их с помощью кнопки .
5. Нажмите на кнопку Сохранить.

Режим ТВ будет включен. Чтобы вернуться к работе с веб-интерфейсом KUMA, нужно отключить режим ТВ.

Чтобы отключить режим ТВ:

1. Откройте веб-интерфейс KUMA и выберите раздел Панель мониторинга.
2. В правом верхнем углу нажмите на кнопку .

   Откроется окно Параметры.

3. Переведите переключатель Режим ТВ в положение Выключено.
4. Нажмите на кнопку Сохранить.

Режим ТВ будет отключен. В левой части экрана отобразится панель с разделами веб-интерфейса KUMA.

При внесении изменений в макеты, выбранные для слайд-шоу, эти изменения будут автоматически отображаться в активных сессиях слайд-шоу.

Предустановленные макеты панели мониторинга

KUMA поставляется с набором предустановленных макетов. По умолчанию для предустановленных макетов указан период обновления Никогда. Вы можете редактировать эти макеты при необходимости.

Предустановленные макеты

*Панели мониторинга доступны начиная с KUMA 3.4.1. Виджеты будут корректно отображать информацию при использовании нормализатора [OOTB] KSMG 2.1+ syslog CEF.

Отчеты

В KUMA можно настроить регулярное формирование отчетов о процессах программы.

Отчеты формируются с помощью шаблонов отчетов, которые созданы и хранятся на вкладке Шаблоны раздела Отчеты.

Сформированные отчеты хранятся на вкладке Сформированные отчеты раздела Отчеты.

Для возможности сохранять сформированные отчеты в форматах HTML и PDF необходимо установить требуемые пакеты на устройстве с Ядром KUMA.

При развертывании KUMA в отказоустойчивом варианте временная зона сервера Ядра программы и время в браузере пользователя могут различаться. Это различие проявляется в расхождении времени, которое проставляется в отчетах, сформированных по расписанию, и данных, которые пользователь может экспортировать из виджетов. Чтобы избежать расхождения, рекомендуется настроить расписание формирования отчетов с учетом разницы временной зоны пользователей и временем UTC.

Шаблон отчета

Шаблоны отчетов используются для указания аналитических данных, которые следует включать в отчет, а также для настройки частоты создания отчетов. Пользователи с ролью Главного администратора, Администратора тенанта, Аналитика второго уровня и Аналитика первого уровня могут создавать, редактировать и удалять шаблоны отчетов. Отчеты, созданные с использованием шаблонов отчетов, отображаются на вкладке Сформированные отчеты.

Шаблоны отчетов доступны на вкладке Шаблоны раздела Отчеты, где отображается таблица существующих шаблонов. В таблице есть следующие столбцы:

• Название – имя шаблона отчетов.

  Вы можете отсортировать таблицу по этому столбцу, нажав заголовок и выбрав По возрастанию или По убыванию.

  Вы также можете искать шаблоны отчетов, используя поле Поиск, которое открывается по нажатию на заголовок столбца Название.

  При поиске шаблонов отчетов используются регулярные выражения.

• Расписание – периодичность, с которой отчеты должны формироваться по созданным шаблонам. Если расписание отчета не настроено, отображается значение выключено.
• Создал – имя пользователя, создавшего шаблон отчета.
• Последнее обновление – дата последнего обновления шаблона отчета.

  Вы можете отсортировать таблицу по этому столбцу, нажав заголовок и выбрав По возрастанию или По убыванию.

• Последний отчет – дата и время формирования последнего отчета по шаблону отчета.
• Отправить по электронной почте – в этом столбце отображается метка напротив шаблонов отчетов, для которых настроено уведомление пользователей по почте о сформированных отчетах.
• Тенант – название тенанта, которому принадлежит шаблон отчета.

Вы можете нажать имя шаблона отчета, чтобы открыть раскрывающийся список с доступными командами:

• Создать отчет – используйте эту команду, чтобы немедленно сформировать отчет. Созданные отчеты отображаются на вкладке Сформированные отчеты.
• Изменить расписание – используйте эту команду, чтобы настроить расписание для формирования отчетов и определить пользователей, которые должны получать уведомления по электронной почте о сформированных отчетах.
• Изменить шаблон отчета – используйте эту команду, чтобы настроить виджеты и период времени, за который должна быть извлечена аналитика.
• Дублировать шаблон отчета – используйте эту команду, чтобы создать копию существующего шаблона отчета.
• Удалить шаблон отчета – используйте эту команду, чтобы удалить шаблон отчета.

Создание шаблона отчета

Развернуть всё | Свернуть всё

Чтобы создать шаблон отчета:

1. Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Шаблоны.
2. Нажмите на кнопку Новый шаблон.

   Откроется окно Новый шаблон отчета.

3. В раскрывающемся списке Тенанты выберите один или несколько тенантов, которым будет принадлежать создаваемый макет.
4. В раскрывающемся списке Период выберите период времени, по которому требуется аналитика:
   • Сегодня (это значение выбрано по умолчанию)
   • На этой неделе
   • В этом месяце
   • В течение периода – получать аналитику за выбранный период времени.

     Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период День1, 00:00:00 – День 2, 00:00:00, а не День 1, 00:00:00 – День 1, 23:59:59.

   • Другой – получать аналитику за последние N дней/недель/месяцев/лет.
5. В поле Срок хранения укажите, на протяжении какого времени следует хранить сформированные по этому шаблону отчеты.
6. В поле Название шаблона введите уникальное название шаблона отчета. Должно содержать от 1 до 128 символов в кодировке Unicode.
7. В раскрывающемся списке Добавить виджет выберите требуемый виджет и настройте его параметры. Вы можете добавить несколько виджетов. Виджеты можно перетаскивать по окну и изменять их размер с помощью кнопки диагонали (), которая появляется при наведении указателя мыши на виджет.

   Для виджетов с типами графиков Круговая диаграмма, Столбчатая диаграмма, Линейная диаграмма, Счетчик и Календарная диаграмма существуют следующие ограничения:

   • В запросах SELECT можно использовать поля расширенной схемы событий с типами "Строка", "Число" и "Число с плавающей точкой".
   • В запросах WHERE можно использовать поля расширенной схемы событий со всеми типами ("Строка", "Число", "Число с плавающей точкой", "Массив строк", "Массив чисел" и "Массив чисел с плавающей точкой").

   Для виджетов с типом графика Таблица в запросах SELECT можно использовать поля расширенной схемы событий со всеми типами ("Строка", "Число", "Число с плавающей точкой", "Массив строк", "Массив чисел" и "Массив чисел с плавающей точкой").

   Вы можете выполнять следующие действия с виджетами:

   • Добавлять виджеты.

     Чтобы добавить виджет:

     1. В раскрывающемся списке Добавить виджет выберите требуемый виджет.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

     2. Настройте параметры виджета и нажмите Добавить.
   • Редактировать виджеты.

     Чтобы отредактировать виджет:

     1. Наведите указатель мыши на нужный виджет и нажмите на появляющийся значок шестеренки ().
     2. В раскрывающемся списке выберите значение Изменить.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

     3. Измените параметры виджета и нажмите Сохранить.

   Вы можете редактировать и удалять добавленные виджеты, наведя на них курсор мыши, нажав появившийся значок шестеренки (), после чего выбрав Изменить или Удалить.

8. При необходимости можно поменять логотип шаблона отчетов с помощью кнопки Загрузить логотип.

   Если нажать на кнопку Загрузить логотип, открывается окно загрузки, в котором можно указать файл изображения для логотипа. Изображение должно быть файлом .jpg, .png или .gif размером не более 3 МБ.

   Добавленный логотип будет отображаться в отчете вместо логотипа KUMA.

9. При необходимости установите флажок Отображать данные по КИИ, чтобы в виджетах макета в том числе отображались данные об активах, алертах и инцидентах, имеющих отношение к критической информационной инфраструктуре (КИИ). При этом такие макеты будут доступы для просмотра только пользователям, в параметрах которых установлен флажок Доступ к объектам КИИ.

   Если флажок не установить, в виджетах макета не будут отображаться данные об активах, алертах и инцидентах, относящихся к КИИ, даже если у пользователя есть доступ к объектам КИИ.

10. Нажмите Сохранить.

Новый шаблон отчета создан и отображается в вкладке Отчеты → Шаблоны веб-интерфейса KUMA. Вы можете сформировать этот отчет вручную. Если вы хотите, чтобы отчеты создавались автоматически, требуется настроить расписание.

Настройка расписания отчетов

Чтобы настроить расписание отчетов:

1. Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Шаблоны.
2. В таблице шаблонов отчета нажмите имя шаблона отчета и в раскрывающемся списке выберите Изменить расписание.

   Откроется окно Параметры отчета.

3. Если вы хотите, чтобы отчет формировался регулярно:
   1. Включите переключатель Расписание.

      В группе настроек Повторять каждый задайте периодичность создания отчетов.

      Периодичность формирования отчетов можно указать по дням, неделям, месяцам или годам. В зависимости от выбранного периода требуется задать время, день недели, число месяца или дату формирования отчета.

   2. В поле Время укажите время, когда должен быть сформирован отчет. Вы можете ввести значение вручную или с помощью значка часов.
4. Чтобы выбрать формат отчетов и указать адресатов для рассылки, настройте следующие параметры:
   1. В группе настроек Отправить нажмите Добавить.
   2. В открывшемся окне Добавление адресов электронной почты в разделе Группы пользователей нажмите Добавить группу.
   3. В появившемся поле укажите адрес электронной почты и нажмите Enter или щелкните вне поля ввода - адрес электронной почты будет добавлен. Можно добавить несколько адресов. Отчеты будут отправлены по указанным адресам каждый раз, когда вы сформируете отчет вручную или KUMA сформирует отчет автоматически по расписанию.

      Чтобы сформированные отчеты можно было отправлять по электронной почте, следует настроить SMTP-соединение.

      Если адресаты, которым отчет пришел на почту, являются пользователями KUMA, они смогут скачать отчет или просмотреть отчет по ссылкам из письма. Если адресаты не являются пользователями KUMA, переход по ссылкам будет доступен, но авторизоваться в KUMA адресаты не смогут, поэтому им будут доступны только вложения.

      Мы рекомендуем просматривать отчеты в формате HTML по ссылкам в веб-интерфейсе, поскольку при некоторых значениях разрешения экрана HTML-отчет из вложения может отображаться некорректно.

      Вы можете отправить письмо без вложений, тогда адресатам будут доступны отчеты только по ссылкам и только с авторизацией в KUMA, без ограничений по ролям или тенантам.

   4. В раскрывающемся списке выберите формат отчета для отправки. Доступные форматы: PDF, HTML,
      CSV, разделенный CSV

      

      Отчет в формате CSV содержит все виджеты в одном файле.

      Разделенный CSV позволяет выгрузить отдельные виджеты в отдельные файлы и объединить эти файлы в архив для дальнейшей рассылки по указанным адресам электронной почты.

      

      Отчет в формате CSV содержит все виджеты в одном файле.

      Разделенный CSV позволяет выгрузить отдельные виджеты в отдельные файлы и объединить эти файлы в архив для дальнейшей рассылки по указанным адресам электронной почты.

      

      Отчет в формате CSV содержит все виджеты в одном файле.

      Разделенный CSV позволяет выгрузить отдельные виджеты в отдельные файлы и объединить эти файлы в архив для дальнейшей рассылки по указанным адресам электронной почты.

      , Excel.
5. Нажмите Сохранить.

Расписание отчетов настроено.

Изменение шаблона отчета

Чтобы изменить шаблон отчета:

1. Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Шаблоны.
2. В таблице шаблонов отчета нажмите имя шаблона отчета и в раскрывающемся списке выберите Изменить шаблон отчета.

   Откроется окно Изменить шаблон отчета.

   Это окно также можно открыть на вкладке Отчеты → Сформированные отчеты, нажав имя существующего отчета и выбрав в раскрывающемся списке Изменить шаблон отчета.

3. Внесите необходимые изменения:
   • Измените список тенантов, которым принадлежит шаблон отчета.
   • Обновите период времени, за который вам требуется аналитика.
   • Добавьте виджеты

     Чтобы добавить виджет:

     1. В раскрывающемся списке Добавить виджет выберите требуемый виджет.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

     2. Настройте параметры виджета и нажмите Добавить.
   • Измените расположение виджетов, перетаскивая их.
   • Измените размер виджетов с помощью кнопки диагонали (), которая появляется при наведении указателя мыши на виджет.
   • Отредактируйте виджеты

     Чтобы отредактировать виджет:

     1. Наведите указатель мыши на нужный виджет и нажмите на появляющийся значок шестеренки ().
     2. В раскрывающемся списке выберите значение Изменить.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

     3. Измените параметры виджета и нажмите Сохранить.
   • Удалите виджеты, наведя на них указатель мыши, а затем нажав на появившийся значок шестеренки () и выбрав Удалить.
   • В поле справа от раскрывающегося списка Добавить виджет введите уникальное имя шаблона отчета. Должно содержать от 1 до 128 символов в кодировке Unicode.
   • Измените логотип отчета, загрузив его с помощью кнопки Загрузить логотип. Если в шаблоне уже есть логотип, его предварительно потребуется удалить.
   • Измените срок хранения отчетов, сформированных по этому шаблону.
   • При необходимости установите или снимите флажок Отображать данные по КИИ.
4. Нажмите Сохранить.

Шаблон отчета изменен и отображается на вкладке Отчеты → Шаблоны веб-интерфейса KUMA.

Копирование шаблона отчета

Чтобы создать копию шаблона отчета:

1. Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Шаблоны.
2. В таблице шаблонов отчета нажмите имя шаблона отчета и в раскрывающемся списке выберите Дублировать шаблон отчета.

   Откроется окно Новый шаблон отчета. Название виджета изменено на <Шаблон отчета> - копия.

3. Внесите необходимые изменения:
   • Измените список тенантов, которым принадлежит шаблон отчета.
   • Обновите период времени, за который вам требуется аналитика.
   • Добавьте виджеты

     Чтобы добавить виджет:

     1. В раскрывающемся списке Добавить виджет выберите требуемый виджет.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

     2. Настройте параметры виджета и нажмите Добавить.
   • Измените расположение виджетов, перетаскивая их.
   • Измените размер виджетов с помощью кнопки диагонали (), которая появляется при наведении указателя мыши на виджет.
   • Отредактируйте виджеты

     Чтобы отредактировать виджет:

     1. Наведите указатель мыши на нужный виджет и нажмите на появляющийся значок шестеренки ().
     2. В раскрывающемся списке выберите значение Изменить.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

     3. Измените параметры виджета и нажмите Сохранить.
   • Удалите виджеты, наведя на них указатель мыши, а затем нажав на появившийся значок шестеренки () и выбрав Удалить.
   • В поле справа от раскрывающегося списка Добавить виджет введите уникальное имя шаблона отчета. Должно содержать от 1 до 128 символов в кодировке Unicode.
   • Измените логотип отчета, загрузив его с помощью кнопки Загрузить логотип. Если в шаблоне уже есть логотип, его предварительно потребуется удалить.
4. Нажмите Сохранить.

Шаблон отчета создан и отображается на вкладке Отчеты → Шаблоны веб-интерфейс KUMA.

Удаление шаблона отчета

Чтобы удалить шаблон отчета:

1. Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Шаблоны.
2. В таблице шаблонов отчета нажмите имя шаблона отчета и в раскрывающемся списке выберите Удалить шаблон отчета.

   Откроется окно подтверждения.

3. Если вы хотите удалить только шаблон отчета, нажмите на кнопку Удалить.
4. Если вы хотите удалить шаблон отчета и все отчеты, сформированные с помощью этого шаблона, нажмите Удалить с отчетами.

Шаблон отчета удален.

Сформированные отчеты

Все отчеты формируются с помощью шаблонов отчетов. Сформированные отчеты доступны на вкладке Сформированные отчеты в разделе Отчеты и отображаются в таблице со следующими столбцами:

• Название – имя шаблона отчетов.

  Вы можете отсортировать таблицу по этому столбцу, нажав заголовок и выбрав По возрастанию или По убыванию.

• Период – период времени, за который была извлечена аналитика отчета.
• Последний отчет – дата и время создания отчета.

  Вы можете отсортировать таблицу по этому столбцу, нажав заголовок и выбрав По возрастанию или По убыванию.

• Тенант – название тенанта, которому принадлежит отчет.
• Пользователь – имя пользователя, который сформировал отчет вручную. Если отчет был сформирован по расписанию, значение будет пустым. Если отчет был сформирован в версии KUMA ниже 2.1, значение будет пустым.

Вы можете нажать на название отчета, чтобы открыть раскрывающийся список с доступными командами:

• Открыть отчет – используйте эту команду, чтобы открыть окно с данными отчета.
• Сохранить как – используйте эту команду, чтобы сохранить сформированный отчет в нужном формате. Доступные форматы: HTML, PDF, CSV, разделенный CSV, Excel. По умолчанию во всех форматах выводится 250 строк. Максимальное количество значений, которые могут отображаться в таблицах в форматах PDF и HTML: 500. Если вы хотите выводить в отчет более 500 строк, задайте в SQL-запросе желаемое значение параметра LIMIT и сохраните отчет в формате CSV.
• Создать отчет – используйте эту команду, чтобы немедленно сформировать отчет. Обновите окно браузера, чтобы увидеть вновь созданный отчет в таблице.
• Изменить шаблон отчета – используйте эту команду, чтобы настроить виджеты и период времени, за который должна быть извлечена аналитика.
• Удалить отчет – используйте эту команду, чтобы удалить отчет.

Просмотр отчетов

Чтобы просмотреть отчет:

1. Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Сформированные отчеты.
2. В таблице отчета нажмите имя сформированного отчета и в раскрывающемся списке выберите Открыть отчет.

   Откроется новая вкладка браузера с виджетами, отображающими аналитику отчетов. Если виджет отображает данные о событиях, алертах, инцидентах, активных листах и контекстных таблицах при нажатии на его заголовок открывается соответствующий раздел веб-интерфейса KUMA с активным фильтром и/или поисковым запросом, с помощью которых отображаются данные из виджета. К виджетам применяются ограничения по умолчанию.

   С помощью кнопки CSV данные, отображаемые на каждом виджете, можно скачать в формате CSV в кодировке UTF-8. Название скачиваемого файла имеет формат <название виджета>_<дата скачивания (ГГГГММДД)>_<время скачивания (ЧЧММСС)>.CSV.

   Если вы хотите просмотреть полные данные, выгрузите отчет в формате CSV с указанными параметрами из запроса.

3. Отчет можно сохранить в выбранном формате с помощью кнопки Сохранить как.

Создание отчетов

Вы можете создать отчет вручную или настроить расписание, чтобы отчеты создавались автоматически.

Чтобы создать отчет вручную:

1. Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Шаблоны.
2. В таблице шаблонов отчета нажмите имя шаблона отчета и в раскрывающемся списке выберите Создать отчет.

   Отчет также можно создать на вкладке Отчеты → Сформированные отчеты, нажав имя существующего отчета и выбрав в раскрывающемся списке Создать отчет.

Отчет создается и помещается на вкладку Отчеты → Сформированные отчеты.

Чтобы создавать отчеты автоматически, настройте расписание отчетов.

Сохранение отчетов

Чтобы сохранить отчет в нужном формате:

1. Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Сформированные отчеты.
2. В таблице отчета нажмите имя сформированного отчета и в раскрывающемся списке выберите Сохранить как, а затем выберите нужный формат: HTML, PDF, CSV, разделенный CSV, Excel.

   Отчет сохраняется в папку загрузки, настроенную в вашем браузере.

Отчет также можно сохранить в выбранном формате при просмотре.

Удаление отчетов

Чтобы удалить отчет:

1. Откройте веб-интерфейс KUMA и выберите раздел Отчеты → Сформированные отчеты.
2. В таблице отчета нажмите имя сформированного отчета и в раскрывающемся списке выберите Удалить отчет.

   Откроется окно подтверждения.

3. Нажмите ОК.

Виджеты

С помощью виджетов вы можете осуществлять мониторинг работы приложения. Виджеты организованы в группы, каждая из которых связана с типом аналитики, которую она предоставляет. В KUMA доступны следующие группы виджетов и виджеты:

• События – виджет для создания аналитики на основе событий.
• Активные листы – виджет для создания аналитики на основе активных листов корреляторов.
• Алерты – группа для аналитики алертов.

  В группу входят следующие виджеты:

  • Активные алерты – количество незакрытых алертов.
  • Активные алерты по тенантам – количество незакрытых алертов для каждого тенанта.
  • Алерты по тенантам – количество алертов всех статусов для каждого тенанта.
  • Неназначенные алерты – количество алертов со статусом Новый.
  • Алерты по исполнителю – количество алертов со статусом Назначен, сгруппированных по имени учетной записи.
  • Алерты по статусу – количество алертов со статусом Новый, Открыт, Назначен или Эскалирован, сгруппированных по статусу.
  • Алерты по уровню важности – количество незакрытых алертов, сгруппированных по уровню важности.
  • Алерты по правилу корреляции – количество незакрытых алертов, сгруппированных по правилам корреляции.
  • Последние алерты – таблица с информацией о последних 10 незакрытых алертах, принадлежащих выбранным в макете тенантам.
  • Распределение алертов – количество алертов, созданных в течение указанного для виджета периода.
• Активы – группа для аналитики активов из обработанных событий. В эту группу входят следующие виджеты:
  • Затронутые активы – таблица с информацией об уровне важности активов и количестве незакрытых алертов, с которыми они связаны.
  • Категории затронутых активов – категории активов, привязанных к незакрытым алертам.
  • Количество активов – количество активов, добавленных в KUMA.
  • Активы в инцидентах по тенантам – количество активов, связанных с незакрытыми инцидентами. Сгруппированы по тенантам.
  • Активы в алертах по тенантам – количество активов, связанных с незакрытыми алертами, Сгруппированы по тенантам.
• Инциденты – группа для аналитики инцидентов.

  В группу входят следующие виджеты:

  • Активные инциденты – количество незакрытых инцидентов.
  • Неназначенные инциденты – количество инцидентов со статусом Открыт.
  • Распределение инцидентов – количество инцидентов, созданных в течение указанного для виджета периода.
  • Инциденты по исполнителю – количество инцидентов со статусом Назначен, сгруппированных по имени учетной записи пользователя.
  • Инциденты по статусам – количество инцидентов, сгруппированных по статусу.
  • Инциденты по уровню важности – количество незакрытых инцидентов, сгруппированных по уровню важности.
  • Активные инциденты по тенантам – количество незакрытых инцидентов, сгруппированных по тенантам, доступным для учетной записи пользователя.
  • Все инциденты – количество инцидентов всех статусов.
  • Все инциденты по тенантам – количество инцидентов всех статусов, сгруппированных по тенантам.
  • Активы в инцидентах – количество активов, связанных с незакрытыми инцидентами.
  • Категории активов в инцидентах – категории активов, связанных с незакрытыми инцидентами.
  • Пользователи в инцидентах – пользователи, связанные с инцидентами.
  • Последние инциденты – таблица с информацией о последних 10 незакрытых инцидентах, принадлежащих выбранным в макете тенантам.
• Источники событий – группа для аналитики источников событий. В группу входят следующие виджеты:
  • Топ источников событий по количеству алертов – количество незакрытых алертов, сгруппированных по источникам событий.
  • Топ источников событий по условному рейтингу – количество событий, связанных с незакрытыми алертами. Сгруппированы по источникам событий.

    В ряде случаев количество алертов, созданных источниками, может быть искажено. Для получения точной статистики рекомендуется в правиле корреляции указать поле события Device Product в качестве уникального, а также включить хранение всех базовых событий в корреляционном событии. Правила корреляции с такими параметрами являются более ресурсоемкими.

• Пользователи – группа для аналитики о пользователях из обработанных событий. В группу входят следующие виджеты:
  • Пользователи в алертах – количество учетных записей, связанных с незакрытыми алертами.
  • Количество пользователей AD – количество учетных записей в Active Directory, полученных по LDAP в течение указанного для виджета периода.

В таблице событий, в области деталей событий, в окне алертов, а также в виджетах в качестве значений полей SourceAssetID, DestinationAssetID, DeviceAssetID, SourceAccountID, DestinationAccountID и ServiceID вместо идентификаторов отображаются названия активов, учетных записей или сервисов. При экспорте событий в файл идентификаторы сохраняются, однако в файл добавляются столбцы с названиями. Идентификаторы также отображаются при наведении указателя мыши на названия активов, учетных записей или сервисов.

Поиск по полям с идентификаторами возможен только с помощью идентификаторов.

Основные принципы работы с виджетами

Принцип отображения данных на виджете зависит от типа графика. В KUMA доступны следующие типы графиков:

• Круговая диаграмма ().
• Счетчик ().
• Таблица ().
• Столбчатая диаграмма ().
• Календарная диаграмма ().
• Линейная диаграмма.
• Сложенная столбчатая диаграмма.

Основные принципы работы со всеми виджетами

В левом верхнем углу виджетов отображается название виджета. По ссылке с названием виджета о событиях, алертах, инцидентах или активных листах вы можете перейти в соответствующий раздел веб-интерфейса KUMA.

Под названием виджета отображается список тенантов, для которых представлены данные.

В правом верхнем углу виджета указан период, за который отображаются данные на виджете (). Вы можете просмотреть даты периода и время последнего обновления, наведя указатель мыши на этот значок.

Слева от значка периода отображается кнопка CSV. Вы можете скачать данные, которые отображаются на виджете, в формате CSV (кодировка UTF-8). Название скачиваемого файла имеет формат <название виджета>_<дата скачивания (ГГГГММДД)>_<время скачивания (ЧЧММСС)>.CSV.

Данные на виджете отображаются за выбранный в параметрах виджета или макета период только для тенантов, которые были выбраны в параметрах виджета или макета.

Основные принципы работы с графиками типа "Круговая диаграмма"

Под списком тенантов отображается круговая диаграмма. Вы можете перейти в раздел веб-интерфейса KUMA с соответствующими данными, щелкнув левой кнопкой мыши по выбранному разделу диаграммы. Данные в разделе будут отсортированы в соответствии с фильтрами и/или поисковым запросом, указанным в виджете.

Под значком периода отображается количество событий, активных листов, активов, алертов или инцидентов, сгруппированных по выбранным критериям за период отображения данных на виджетах.

Основные принципы работы с графиками типа "Счетчик"

На графиках этого типа отображается сумма выбранных данных.

Основные принципы работы с графиками типа "Таблица"

На графиках этого типа данные отображаются в виде таблицы.

Основные принципы работы с графиками типа "Столбчатая диаграмма"

Под списком тенантов отображается столбчатая диаграмма. Вы можете перейти в раздел События веб-интерфейса KUMA, щелкнув левой кнопкой мыши по выбранному разделу диаграммы. Данные в разделе будут отсортированы в соответствии с фильтрами и/или поисковым запросом, указанным в виджете. Справа от диаграммы эти данные представлены в виде таблицы.

Основные принципы работы с графиками типа "Календарная диаграмма"

Под списком тенантов отображается календарная диаграмма. Вы можете перейти в раздел События веб-интерфейса KUMA с соответствующими данными, щелкнув левой кнопкой мыши по выбранному разделу диаграммы. Данные в разделе будут отсортированы в соответствии с фильтрами и/или поисковым запросом, указанным в виджете. Справа от диаграммы эти данные представлены в виде таблицы.

Основные принципы работы с графиками типа "Линейная диаграмма"

Под списком тенантов отображается линейная диаграмма. Вы можете перейти в раздел События веб-интерфейса KUMA с соответствующими данными, щелкнув левой кнопкой мыши по выбранному разделу диаграммы. Данные в разделе будут отсортированы в соответствии с фильтрами и/или поисковым запросом, указанным в виджете. Справа от диаграммы эти данные представлены в виде таблицы.

Особенности отображения данных в виджетах

Ограничение отображаемых данных

Для удобства восприятия информации в KUMA заданы ограничения на отображение данных в виджетах в зависимости от их типа:

• Круговая диаграмма – отображается не более 20 отсеков.
• Столбчатая диаграмма – отображается не более 40 столбцов.
• Таблица – отображается не более 500 записей.
• Календарная диаграмма – отображается не более 365 дней.

Данные, выходящие за указанные ограничения, отображаются в виджете в категории Остальное.

Все данные, по которым построена аналитика в виджете, можно скачать в формате CSV.

Суммирование данных

Формат отображения итоговой суммы данных на календарной, столбчатой и круговой диаграммах зависит от языка локализации:

• Английская локализация: порядки разделяются запятыми, дробная часть отделяется точкой.
• Русская локализация: порядки разделяются пробелами, дробная часть отделяется запятой.

Создание виджета

Вы можете создать виджет на макете панели мониторинга в процессе создания или редактирования макета.

Чтобы создать виджет:

1. Создайте макет или перейдите в режим редактирования выбранного макета.
2. Нажмите на кнопку Добавить виджет.
3. В раскрывшемся списке выберите тип виджета.

   Отобразится окно параметров виджета.

4. Задайте параметры виджета.
5. Если вы хотите просмотреть, как будут отображаться данные на виджете, нажмите на кнопку Предварительный просмотр.
6. Нажмите на кнопку Добавить.

Виджет отобразится на макете панели мониторинга.

Редактирование виджета

Чтобы изменить виджет:

1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
2. Раскройте список в верхнем правом углу окна.
3. Наведите указатель мыши на требуемый макет.
4. Нажмите на значок карандаша ().

   Откроется окно Настройка макета.

5. На виджете, который вы хотите изменить, нажмите на значок шестеренки ().
6. Выберите Изменить.

   Откроется окно параметров виджета.

7. Задайте параметры виджета.
8. Нажмите на кнопку Сохранить в окне параметров виджета.
9. Нажмите на кнопку Сохранить в окне Настройка макета.

Изменения виджета будут применены.

Удаление виджета

Чтобы удалить виджет:

1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
2. Раскройте список в верхнем правом углу окна.
3. Наведите указатель мыши на требуемый макет.
4. Нажмите на кнопку .

   Откроется окно Настройка макета.

5. На виджете, который вы хотите удалить, нажмите на кнопку .
6. Выберите Удалить.
7. В отобразившемся окне подтверждения нажмите на кнопку ОК.
8. Нажмите на кнопку Сохранить.

Виджет будет удален.

Параметры виджетов

Этот раздел содержит описание параметров всех доступных в KUMA виджетов.

Виджет "События"

Вы можете использовать виджет События для получения необходимой аналитики на основе SQL-запросов.

При создании этого виджета вам требуется указать значения для следующих параметров:

Вкладка :

• График – тип графика. Доступны следующие типы графиков:
  • Круговая диаграмма.
  • Столбчатая диаграмма.
  • Счетчик.
  • Линейная диаграмма.
  • Таблица.
  • Календарная диаграмма.

  Тенант – тенант, по которому отображаются данные на виджете. Вы можете выбрать несколько тенантов. По умолчанию данные отображаются по тенантам, которые вы выбрали в параметрах макета.

• Период – период, за который отображаются данные на виджете. Доступны следующие периоды:
  • Как на макете – отображаются данные за период, выбранный для макета. Значение по умолчанию.
  • 1 час – отображаются данные за предыдущий час.
  • 1 день – отображаются данные за предыдущий день.
  • 7 дней – отображаются данные за предыдущие 7 дней.
  • 30 дней – отображаются данные за предыдущие 30 дней.
  • В течение периода – отображаются данные за выбранный период времени. При выборе этого варианта в открывшемся календаре выберите дату начала и окончания периода и нажмите Применить фильтр. Формат даты и времени зависит от настроек вашей операционной системы. При необходимости вы можете изменить значения даты вручную.

    Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период <День 1>, 00:00:00 – <День 2>, 00:00:00, а не <День 1>, 00:00:00 – <День 1>, 23:59:59.

• Показывать данные за предыдущий период – включение отображения данных сразу за два периода: за текущий и за предыдущий.
• Хранилище – хранилище, в котором выполняется поиск событий.
• Поле SQL-запроса () – запрос для фильтрации и поиска событий вручную. Вы можете составить запрос в конструкторе запросов, нажав на кнопку .

  Как создать запрос в конструкторе запросов

  Чтобы создать запрос в конструкторе запросов:

  1. Укажите значения для следующих параметров:
     1. SELECT – поля событий, которые следует возвращать. Количество доступных полей зависит от выбранного типа графика.
        • В раскрывающемся списке слева выберите поля событий, данные по которым должны отображаться на виджете.
        • Среднее поле показывает, для чего выбранное поле используется в виджете: metric (метрики) или value (значение).

          Если вы выбрали тип графика Таблица, в средних полях нужно указать названия столбцов, используя символы ANSII-ASCII.

        • В раскрывающемся списке справа вы можете выбрать операцию, которую следует произвести над данными:
          • count – подсчет событий. Эта операция доступна только для поля события ID. Используется по умолчанию для линейных, круговых и столбчатых диаграмм, а также для счетчиков. Является единственно возможным вариантом для календарных диаграмм.
          • max – максимальное значение поля события из выборки событий.
          • min – минимальное значение поля события из выборки событий.
          • avg – среднее значение поля события из выборки событий.
          • sum – сумма значений полей событий из выборки событий.
     2. SOURCE – тип источника данных. Для выбора доступно только значение events (события).
     3. WHERE – условия фильтрации событий.
        • В раскрывающемся списке слева выберите поле события, которое вы хотите использовать для фильтрации.
        • В среднем раскрывающемся списке выберите нужный оператор. Доступные операторы зависят от типа значения выбранного поля события.
        • В раскрывающемся списке справа введите значение условия. В зависимости от выбранного типа поля вам потребуется ввести значение вручную, выбрать его в раскрывающемся списке или выбрать в календаре.

        Вы можете добавить условия поиска, нажав на кнопку Добавить условие или удалить их, нажав на кнопку .

        Вы можете добавить группы условий, нажав на кнопку Добавить группу. По умолчанию группы условий добавляются с оператором AND, но при необходимости вы можете изменить значение. Доступные значения: AND, OR, NOT. Группы условий удаляются с помощью кнопки Удалить группу.

     4. GROUP BY – поля событий или псевдонимы, по которым следует группировать возвращаемые данные. Этот параметр недоступен для графиков типа Счетчик.
     5. ORDER BY – столбцы, по которым следует сортировать возвращаемые данные. Этот параметр недоступен для графиков следующих типов: Календарная диаграмма и Счетчик.
        • В раскрывающемся списке слева выберите значение, которое будет использоваться для сортировки.
        • В раскрывающемся списке справа выберите порядок сортировки: ASC  – по возрастанию, DESC  – по убыванию.
        • Для графиков типа Таблица можно добавить условия сортировки с помощью кнопки Добавить столбец.
     6. LIMIT – максимальное количество точек данных для виджета. Этот параметр недоступен для графиков типа Календарная диаграмма и Счетчик.
  2. Нажмите на кнопку Применить.

  Пример условий поиска в конструкторе запросов

  

  Search condition parameters for the widget showing average bytes received per host

  Существуют следующие ограничения:

  • Псевдонимы metric и value в SQL-запросах недоступны для изменения для всех типов виджета с аналитикой по событиям, кроме таблиц.
  • Псевдонимы в виджетах типа Таблица могут содержать латинские и кириллические символы, а также пробелы. При использовании пробелов или кириллицы псевдоним необходимо выделять кавычками: "Псевдоним с пробелом", `Другой псевдоним`.
  • Не поддерживается использование SQL-запроса ARRAY JOIN.
  • При отображении данных за предыдущий период сортировка по параметру count(ID) может работать неправильно. Мы рекомендуем использовать сортировку по параметру metric. Например, SELECT count(ID) AS "metric", Name AS "value" FROM `events` GROUP BY Name ORDER BY metric ASC LIMIT 250.
  • В виджетах типа Счетчик для значений функции SELECT требуется указывать способ обработки данных: count, max, min, avg, sum.

Вкладка :

Вкладка отображается, если на вкладке в поле График вы выбрали одно из следующих значений: Столбчатая диаграмма, Линейная диаграмма, Календарная диаграмма.

• Минимальное значение Y и Максимальное значение Y – масштаб оси Y.
• Минимальное значение X и Максимальное значение X – масштаб оси X.

  На осях графиков могут отображаться отрицательные значения. Это связано с масштабированием графиков на виджете и может быть исправлено выставлением нуля в качестве минимальных значений графиков вместо Авто.

• Толщина линии – толщина линии на графике. Поле отображается для типа графика "Линейная диаграмма".
• Размер указателя – размер указателя на графике. Поле отображается для типа графика "Линейная диаграмма".

Вкладка :

• Название – название виджета.
• Описание – описание виджета.
• Цвет – цвет отображения информации:
  • по умолчанию – цвет шрифта, который используется в вашем браузере по умолчанию;
  • зеленый;
  • красный;
  • синий;
  • желтый.
• Горизонтальный – использование горизонтальной гистограммы вместо вертикальной.

  При включении этого параметра горизонтальная прокрутка при большом количестве данных не будет отображаться и вся имеющаяся информация будет отражена в заданном размере виджета. Если данных для отображения много, рекомендуется увеличить размер виджета.

• Итоговые значения – суммы значений.
• Легенда – легенда для аналитики. По умолчанию переключатель включен.

  Пустые значения в легенде – отображение параметров с нулевым значением в легенде для аналитики. По умолчанию переключатель выключен.

• Десятичные знаки – количество десятичных знаков, до которых отображаемое значение должно быть округлено.
• Длительность отрезков периода (доступно для графика типа Календарная диаграмма) – длительность отрезков, на которые требуется делить период.

Виджет "Активные листы"

Вы можете использовать виджет Активные листы для получения аналитики на основе SQL-запросов.

При создании этого виджета вам требуется указать значения для следующих параметров:

Вкладка :

• График – тип графика. Доступны следующие типы графиков:
  • Столбчатая диаграмма.
  • Круговая диаграмма.
  • Счетчик.
  • Таблица.

  Тенант – тенант, по которому отображаются данные на виджете. Вы можете выбрать несколько тенантов. По умолчанию данные отображаются по тенантам, которые вы выбрали в параметрах макета.

• Коррелятор – название коррелятора, содержащего активный лист, по которому вы хотите получать данные.
• Активный лист – название активного листа, по которому вы хотите получать данные.

  Один и тот же активный лист может использоваться в разных корреляторах. При этом для каждого коррелятора создается своя сущность активного листа. Таким образом, содержимое активных листов, используемых разными корреляторами, различается, даже если идентификатор и название активных листов одинаковые.

• Поле SQL-запроса – в этом поле вы можете ввести запрос для фильтрации и поиска данных активного листа вручную.

  Структура запроса аналогична той, которая используется при поиске событий.

  При создании запроса по активным листам вам нужно учитывать следующие особенности:

  • Для функции FROM требуется указать значение `records`.
  • Если вы хотите получать данные по полям, названия которых содержат пробелы и символы кириллицы, в запросе такие названия требуется выделять кавычками:
    • в функции SELECT псевдонимы следует выделять двойными или косыми кавычками: "псевдоним", `другой псевдоним`;
    • в функции ORDER BY псевдонимы следует выделять косыми кавычками: `другой псевдоним`;
    • значения полей событий выделяются прямыми кавычками: WHERE DeviceProduct = 'Microsoft';

    Название полей событий выделять кавычками не требуется.

    Если название поля активного листа начинается или заканчивается пробелами, в виджете эти пробелы не отображаются. Название поля не должно состоять только из пробелов.

    Если значения полей активного листа могут содержать пробелы в конце или в начале, поиск по ним рекомендуется осуществлять с помощью функции LIKE '%значение поля%'.

  • Вы можете использовать в запросе служебные поля _key (поле с ключами записей активного листа) и _count (сколько раз эта запись была добавлена в активный лист), а также пользовательские поля.
  • Псевдонимы metric и value в SQL-запросах недоступны для изменения для всех типов виджета с аналитикой по активным листам, кроме таблиц.
  • Если в SQL-запросе используется функция преобразования даты и времени (например, fromUnixTimestamp64Milli) и при этом обрабатываемое поле не содержит даты и времени, в виджете будет отображаться ошибка. Чтобы избежать этого, используйте функции, которые могут обрабатывать нулевое значение. Пример: SELECT _key, fromUnixTimestamp64Milli(toInt64OrNull(DateTime)) as Date FROM `records` LIMIT 250.
  • Если задать большие значения для функции LIMIT, это может привести к ошибкам в работе браузера.
  • Если в качестве типа графика вы выбрали Счетчик, необходимо для значений функции SELECT указывать способ обработки данных: count, max, min, avg, sum.
  • Вы можете получать в виджете названия тенантов, а не их идентификаторы.

    Если вы хотите, чтобы в виджетах по активным листам отображались названия тенантов, а не их идентификаторы, настройте в корреляционных правилах коррелятора функцию наполнения активного листа сведениями об использующем его тенанте. Процесс настройки состоит из следующих этапов:

    1. Экспорт списка тенантов.
    2. Создание словаря типа Таблица и импорт в него полученного ранее списка тенантов.
    3. Добавление в корреляционное правило локальной переменной с функцией dict для распознания имени тенанта по идентификатору.

       Пример:

       • Переменная: TenantName
       • Значение: dict('<Название ранее созданного словаря с тенантами>', TenantID)
    4. Добавление в корреляционное правило действия над активными листами, с помощью которого значение ранее созданной переменной будет с помощью функции Установить записываться в активный лист в формате Ключ–Значение. В качестве ключа следует задать поле активного листа (например, Тенант), а в поле значения обратиться к ранее созданной переменной (например, $TenantName).

    В результате срабатывания этого правила в активный лист будет помещаться название тенанта, опознанного функцией dict по идентификатору среди словаря тенантов. При создании виджетов по активным листам можно получить название тенанта, обратившись к названию поля активного листа (в примере выше это Тенант).

    Описанный метод можно применять и к другим полям событий с идентификаторами.

  Особенности использования псевдонимов в SQL-функциях: и SELECT допустимо использовать двойные и косые кавычки: ", `.

  Если в качестве типа графика вы выбрали Счетчик, псевдонимы могут содержать латинские и кириллические символы, а также пробелы. При использовании пробелов или кириллицы псевдоним необходимо выделять кавычками: "Псевдоним с пробелом", `Другой псевдоним`.

  При отображении данных за предыдущий период сортировка по параметру count(ID) может работать некорректно. Рекомендуется использовать сортировку по параметру metric. Например, SELECT count(ID) AS "metric", Name AS "value" FROM `events` GROUP BY Name ORDER BY metric ASC LIMIT 250.

  Примеры запросов для получения аналитики по активным листам: SELECT * FROM `records` WHERE "Источник событий" = 'Екатеринбург' LIMIT 250 Запрос, который возвращает ключ активного листа с названием поля "Источник событий" и значением этого поля "Екатеринбург". SELECT count(_key) AS metric, Status AS value FROM `records` GROUP BY value ORDER BY metric DESC LIMIT 250 Запрос для круговой диаграммы, который возвращает количество ключей активного листа (агрегация count по полю _key) и все варианты значений пользовательского поля Status. В виджете отображается круговая диаграмма с общим количеством записей активного листа, пропорционально разделенным на количество вариантов значений поля Status. SELECT Name, Status, _count AS Number FROM `records` WHERE Description ILIKE '%ftp%' ORDER BY Name DESC LIMIT 250 Запрос для таблицы, которая возвращает значения пользовательских полей Name и Status, а также служебного поля _count у тех записей активного листа, в которых значения пользовательского поля Description соответствует запросу ILIKE '%ftp%'. В виджете отображается таблица со столбцами Status, Name и Number.

Вкладка :

Вкладка отображается, если на вкладке в поле График вы выбрали значение Столбчатая диаграмма.

• Минимальное значение Y и Максимальное значение Y – масштаб оси Y.
• Минимальное значение X и Максимальное значение X – масштаб оси X.

  На осях графиков могут отображаться отрицательные значения. Это связано с масштабированием графиков на виджете и может быть исправлено выставлением нуля в качестве минимальных значений графиков вместо Авто.

Вкладка :

• Название – название виджета.
• Описание – описание виджета.
• Цвет – цвет отображения информации:
  • по умолчанию – цвет шрифта, который используется в вашем браузере по умолчанию;
  • зеленый;
  • красный;
  • синий;
  • желтый.
• Горизонтальный – использование горизонтальной гистограммы вместо вертикальной.

  При включении этого параметра вся имеющаяся информация будет отражена в заданном размере виджета. Если данных много, Вы можете увеличить размер виджета для их оптимального отображения.

• Итоговые значения – суммы значений.
• Легенда – легенда для аналитики. По умолчанию переключатель включен.

  Пустые значения в легенде – отображение параметров с нулевым значением в легенде для аналитики. По умолчанию переключатель выключен.

Виджет "Контекстные таблицы"

Вы можете использовать виджет Контекстные таблицы для получения аналитики на основе SQL-запросов.

При создании этого виджета вам требуется указать значения для следующих параметров:

Вкладка :

• График – тип графика. Доступны следующие типы графиков:
  • Столбчатая диаграмма.
  • Круговая диаграмма.
  • Счетчик.
  • Таблица.

  Тенант – тенант, по которому отображаются данные на виджете. Вы можете выбрать несколько тенантов. По умолчанию данные отображаются по тенантам, которые вы выбрали в параметрах макета.

• Коррелятор – название коррелятора, содержащего контекстную таблицу, по которой вы хотите получать данные.
• Контекстная таблица – название контекстной таблицы, по которой вы хотите получать данные.

  Одна и та же контекстная таблица может использоваться в разных корреляторах. При этом для каждого коррелятора создается своя сущность контекстной таблицы. Таким образом, содержимое контекстных таблиц, используемых разными корреляторами, различается, даже если идентификатор и название контекстных таблиц одинаковые.

• Поле SQL-запроса – в этом поле вы можете ввести запрос для фильтрации и поиска данных контекстной таблицы вручную. По умолчанию для каждого типа графика в поле указан запрос, который получает схему контекстной таблицы и ключ по ключевым полям.

  Структура запроса аналогична той, которая используется при поиске событий.

  При создании запроса по контекстным таблицам вам нужно учитывать следующие особенности:

  • Для функции FROM требуется указать значение `records`.
  • Вы можете получить данных только по полям, указанным в схеме контекстной таблицы.
  • Вы можете использовать поддерживаемые функции ClickHouse.
  • Если вы хотите получать данные по полям, названия которых содержат пробелы и символы кириллицы, в запросе такие названия требуется выделять кавычками:
    • в функции SELECT псевдонимы следует выделять двойными или косыми кавычками: "<псевдоним>", `<другой псевдоним>`;
    • в функции ORDER BY псевдонимы следует выделять косыми кавычками: `<другой псевдоним>`;
    • значения полей событий выделяются прямыми кавычками: WHERE DeviceProduct = 'Microsoft';

    Название полей событий выделять кавычками не требуется.

    Если название поля активного листа начинается или заканчивается пробелами, в виджете эти пробелы не отображаются. Название поля не должно состоять только из пробелов.

    Если значения полей активного листа могут содержать пробелы в конце или в начале, поиск по ним рекомендуется осуществлять с помощью функции LIKE '%<значение поля>%'.

  • Вы можете использовать в запросе служебное поле _count (сколько раз эта запись была добавлена в контекстную таблицу), а также пользовательские поля.
  • Псевдонимы metric и value в SQL-запросах недоступны для изменения для всех типов виджета с аналитикой по активным листам, кроме таблиц.
  • Если в SQL-запросе используется функция преобразования даты и времени (например, fromUnixTimestamp64Milli) и при этом обрабатываемое поле не содержит даты и времени, в виджете будет отображаться ошибка. Чтобы избежать этого, используйте функции, которые могут обрабатывать нулевое значение. Пример: SELECT _key, fromUnixTimestamp64Milli(toInt64OrNull(DateTime)) as Date FROM `records` LIMIT 250.
  • Если задать большие значения для функции LIMIT, это может привести к ошибкам в работе браузера.
  • Если в качестве типа графика вы выбрали Счетчик, необходимо для значений функции SELECT указывать способ обработки данных: count, max, min, avg, sum.
  • Вы можете получать в виджете названия тенантов, а не их идентификаторы.

    Если вы хотите, чтобы в виджетах по активным листам отображались названия тенантов, а не их идентификаторы, настройте в корреляционных правилах коррелятора функцию наполнения активного листа сведениями об использующем его тенанте. Процесс настройки состоит из следующих этапов:

    1. Экспорт списка тенантов.
    2. Создание словаря типа Таблица и импорт в него полученного ранее списка тенантов.
    3. Добавление в корреляционное правило локальной переменной с функцией dict для распознания имени тенанта по идентификатору.

       Пример:

       • Переменная: TenantName
       • Значение: dict('<Название ранее созданного словаря с тенантами>', TenantID)
    4. Добавление в корреляционное правило действия над активными листами, с помощью которого значение ранее созданной переменной будет с помощью функции Установить записываться в активный лист в формате Ключ–Значение. В качестве ключа следует задать поле активного листа (например, Тенант), а в поле значения обратиться к ранее созданной переменной (например, $TenantName).

    В результате срабатывания этого правила в активный лист будет помещаться название тенанта, опознанного функцией dict по идентификатору среди словаря тенантов. При создании виджетов по активным листам можно получить название тенанта, обратившись к названию поля активного листа (в примере выше это Тенант).

    Описанный метод можно применять и к другим полям событий с идентификаторами.

  Особенности использования псевдонимов в SQL-функциях и SELECT: допустимо использовать двойные и косые кавычки: ", `.
  При использовании пробелов или кириллицы псевдоним необходимо выделять кавычками: "<Псевдоним с пробелом>", значения следует выделять прямыми одинарными кавычками: '<Значение с пробелом>'.
  При отображении данных за предыдущий период сортировка по параметру count(ID) может работать неправильно. Рекомендуется использовать сортировку по параметру metric. Например, SELECT count(ID) AS "metric", Name AS "value" FROM `events` GROUP BY Name ORDER BY metric ASC LIMIT 250.

  Примеры запросов для получения аналитики по активным листам: SELECT * FROM `records` WHERE "Источник событий" = 'Екатеринбург' LIMIT 250 Запрос, который возвращает ключ активного листа с названием поля "Источник событий" и значением этого поля "Екатеринбург". SELECT count(_key) AS metric, Status AS value FROM `records` GROUP BY value ORDER BY metric DESC LIMIT 250 Запрос для круговой диаграммы, который возвращает количество ключей активного листа (агрегация count по полю _key) и все варианты значений пользовательского поля Status. В виджете отображается круговая диаграмма с общим количеством записей активного листа, пропорционально разделенным на количество вариантов значений поля Status. SELECT Name, Status, _count AS Number FROM `records` WHERE Description ILIKE '%ftp%' ORDER BY Name DESC LIMIT 250 Запрос для таблицы, которая возвращает значения пользовательских полей Name и Status, а также служебного поля _count у тех записей активного листа, в которых значения пользовательского поля Description соответствует запросу ILIKE '%ftp%'. В виджете отображается таблица со столбцами Status, Name и Number.

Вкладка :

Вкладка отображается, если на вкладке в поле График вы выбрали значение Столбчатая диаграмма.

• Минимальное значение Y и Максимальное значение Y – масштаб оси Y.
• Минимальное значение X и Максимальное значение X – масштаб оси X.
• На осях графиков могут отображаться отрицательные значения. Это связано с масштабированием графиков на виджете и может быть исправлено выставлением нуля в качестве минимальных значений графиков вместо Авто.

Вкладка :

• Название – название виджета.
• Описание – описание виджета.
• Цвет – цвет отображения информации:
  • по умолчанию – цвет шрифта, который используется в вашем браузере по умолчанию;
  • зеленый;
  • красный;
  • синий;
  • желтый.
• Горизонтальный – использование горизонтальной гистограммы вместо вертикальной.

  При включении этого параметра вся имеющаяся информация будет отражена в заданном размере виджета. Если данных много, вы можете увеличить размер виджета для оптимального отображения.

• Итоговые значения – суммы значений.
• Легенда – легенда для аналитики. По умолчанию переключатель включен.

  Пустые значения в легенде – отображение параметров с нулевым значением в легенде для аналитики. По умолчанию переключатель выключен.

Другие виджеты

В этом разделе описываются параметры всех виджетов, кроме виджетов События и Активные листы.

Набор параметров, доступных для виджета, зависит от типа графика, который отображается на виджете. В KUMA доступны следующие типы графиков:

• Круговая диаграмма ().
• Счетчик ().
• Таблица ().
• Столбчатая диаграмма ().
• Календарная диаграмма ().
• Линейная диаграмма.
• Сложенная столбчатая диаграмма.

Параметры для круговых диаграмм

• Название – название виджета.
• Описание – описание виджета.

  Тенант – тенант, по которому отображаются данные на виджете. Вы можете выбрать несколько тенантов. По умолчанию данные отображаются по тенантам, которые вы выбрали в параметрах макета.

• Период – период, за который отображаются данные на виджете. Доступны следующие периоды:
  • Как на макете – отображаются данные за период, выбранный для макета. Значение по умолчанию.
  • 1 час – отображаются данные за предыдущий час.
  • 1 день – отображаются данные за предыдущий день.
  • 7 дней – отображаются данные за предыдущие 7 дней.
  • 30 дней – отображаются данные за предыдущие 30 дней.
  • В течение периода – отображаются данные за выбранный период времени. При выборе этого варианта в открывшемся календаре выберите дату начала и окончания периода и нажмите Применить фильтр. Формат даты и времени зависит от настроек вашей операционной системы. При необходимости вы можете изменить значения даты вручную.

    Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период <День 1>, 00:00:00 – <День 2>, 00:00:00, а не <День 1>, 00:00:00 – <День 1>, 23:59:59.

• Итоговые значения – суммы значений.
• Легенда – легенда для аналитики. По умолчанию переключатель включен.

  Пустые значения в легенде – отображение параметров с нулевым значением в легенде для аналитики. По умолчанию переключатель выключен.

• Десятичные знаки – количество десятичных знаков, до которых отображаемое значение должно быть округлено.

Параметры для счетчиков

• Название – название виджета.
• Описание – описание виджета.

  Тенант – тенант, по которому отображаются данные на виджете. Вы можете выбрать несколько тенантов. По умолчанию данные отображаются по тенантам, которые вы выбрали в параметрах макета.

• Период – период, за который отображаются данные на виджете. Доступны следующие периоды:
  • Как на макете – отображаются данные за период, выбранный для макета. Значение по умолчанию.
  • 1 час – отображаются данные за предыдущий час.
  • 1 день – отображаются данные за предыдущий день.
  • 7 дней – отображаются данные за предыдущие 7 дней.
  • 30 дней – отображаются данные за предыдущие 30 дней.
  • В течение периода – отображаются данные за выбранный период времени. При выборе этого варианта в открывшемся календаре выберите дату начала и окончания периода и нажмите Применить фильтр. Формат даты и времени зависит от настроек вашей операционной системы. При необходимости вы можете изменить значения даты вручную.

    Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период <День 1>, 00:00:00 – <День 2>, 00:00:00, а не <День 1>, 00:00:00 – <День 1>, 23:59:59.

Параметры для таблиц

• Название – название виджета.
• Описание – описание виджета.

  Тенант – тенант, по которому отображаются данные на виджете. Вы можете выбрать несколько тенантов. По умолчанию данные отображаются по тенантам, которые вы выбрали в параметрах макета.

• Период – период, за который отображаются данные на виджете. Доступны следующие периоды:
  • Как на макете – отображаются данные за период, выбранный для макета. Значение по умолчанию.
  • 1 час – отображаются данные за предыдущий час.
  • 1 день – отображаются данные за предыдущий день.
  • 7 дней – отображаются данные за предыдущие 7 дней.
  • 30 дней – отображаются данные за предыдущие 30 дней.
  • В течение периода – отображаются данные за выбранный период времени. При выборе этого варианта в открывшемся календаре выберите дату начала и окончания периода и нажмите Применить фильтр. Формат даты и времени зависит от настроек вашей операционной системы. При необходимости вы можете изменить значения даты вручную.

    Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период <День 1>, 00:00:00 – <День 2>, 00:00:00, а не <День 1>, 00:00:00 – <День 1>, 23:59:59.

• Показывать данные за предыдущий период – включение отображения данных сразу текущий и предыдущий периоды.
• Цвет – цвет отображения информации:
  • по умолчанию – цвет шрифта, который используется в вашем браузере по умолчанию;
  • зеленый;
  • красный;
  • синий;
  • желтый.
• Десятичные знаки – количество десятичных знаков, до которых отображаемое значение должно быть округлено.

Параметры для столбчатых и календарных диаграмм

Вкладка :

• Минимальное значение Y и Максимальное значение Y – масштаб оси Y.
• Минимальное значение X и Максимальное значение X – масштаб оси X.

  На осях графиков могут отображаться отрицательные значения. Это связано с масштабированием графиков на виджете и может быть исправлено выставлением нуля в качестве минимальных значений графиков вместо Авто.

• Десятичные знаки – количество десятичных знаков, до которых отображаемое значение должно быть округлено.

Вкладка :

• Название – название виджета.
• Описание – описание виджета.

  Тенант – тенант, по которому отображаются данные на виджете. Вы можете выбрать несколько тенантов. По умолчанию данные отображаются по тенантам, которые вы выбрали в параметрах макета.

• Период – период, за который отображаются данные на виджете. Доступны следующие периоды:
  • Как на макете – отображаются данные за период, выбранный для макета. Значение по умолчанию.
  • 1 час – отображаются данные за предыдущий час.
  • 1 день – отображаются данные за предыдущий день.
  • 7 дней – отображаются данные за предыдущие 7 дней.
  • 30 дней – отображаются данные за предыдущие 30 дней.
  • В течение периода – отображаются данные за выбранный период времени. При выборе этого варианта в открывшемся календаре выберите дату начала и окончания периода и нажмите Применить фильтр. Формат даты и времени зависит от настроек вашей операционной системы. При необходимости вы можете изменить значения даты вручную.

    Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период <День 1>, 00:00:00 – <День 2>, 00:00:00, а не <День 1>, 00:00:00 – <День 1>, 23:59:59.

• Показывать данные за предыдущий период – включение отображения данных сразу за два периода: за текущий и за предыдущий.
• Цвет – цвет отображения информации:
  • по умолчанию – цвет шрифта, который используется в вашем браузере по умолчанию;
  • зеленый;
  • красный;
  • синий;
  • желтый.
• Горизонтальный – использование горизонтальной гистограммы вместо вертикальной. При включении этого параметра вся имеющаяся информация будет отражена в заданном размере виджета. Если данных много, вы можете увеличить размер виджета для их оптимального отображения.
• Итоговые значения – суммы значений.
• Легенда – легенда для аналитики. По умолчанию переключатель включен.

  Пустые значения в легенде – отображение параметров с нулевым значением в легенде для аналитики. По умолчанию переключатель выключен.

• Длительность отрезков периода (доступно для графика типа Календарная диаграмма) – длительность отрезков, на которые требуется делить период.

Отображение названий тенантов в виджетах типа "Активный лист"

Если вы хотите, чтобы в виджетах типа "Активные листы" отображались названия тенантов, а не их идентификаторы, настройте в корреляционных правилах коррелятора функцию наполнения активного листа сведениями об использующем его тенанте.

Процесс настройки состоит из следующих этапов:

1. Экспорт списка тенантов.
2. Создание словаря типа Таблица.
3. Импорт списка тенантов, полученного на шаге 1, в словарь, созданный на шаге 2 этой инструкции.
4. Добавление в корреляционное правило локальной переменной с функцией dict для распознания имени тенанта по идентификатору.

   Пример:

   • Переменная: TenantName.
   • Значение: dict('<Название ранее созданного словаря с тенантами>', TenantID).
5. Добавление в корреляционное правило действия Установить, с помощью которого значение ранее созданной переменной будет записываться в активный лист в формате <ключ> – <значение>. В качестве ключа следует задать поле активного листа (например, Тенант), а в поле значения указать переменную (например, $TenantName).

В результате срабатывания этого правила в активный лист будет помещаться название тенанта, опознанного функцией dict по идентификатору в словаре тенантов. При создании виджетов по активным листам в виджете вместо идентификатора тенанта будет отображаться название тенанта.

Работа с алертами

Алерты создаются при получении последовательности событий, запускающей правило корреляции. Подробнее об алертах вы можете посмотреть в этом разделе.

В разделе Алерты веб-интерфейса KUMA можно просматривать и обрабатывать алерты, зарегистрированные программой. Алерты можно фильтровать. По нажатию на название алерта открывается окно со сведениями о нем.

Формат даты алерта зависит от языка локализации, выбранного в настройках программы. Возможные варианты формата даты:

• Английская локализация: ГГГГ-ММ-ДД.
• Русская локализация: ДД.ММ.ГГГГ.

Жизненный цикл алертов

Ниже представлен жизненный цикл алерта:

1. KUMA создает алерт при срабатывании правила корреляции. Алерт именуется по породившему его правилу корреляции. Алерту присваивается статус Новый.

   Алерты в статусе Новый продолжают обновляться данными при срабатывании правил корреляции. Если статус алерта меняется на любой другой, алерт больше не обновляется новыми событиями и, если правило корреляции срабатывает снова, создается новый алерт.

2. Сотрудник службы безопасности назначает оператора для расследования алерта. Статус алерта меняется на Назначен.
3. Оператор выполняет одно из следующих действий:
   • Закрывает алерт как ложно положительный (статус алерта меняется на Закрыт).
   • Реагирует на угрозу и закрывает алерт (статус алерта меняется на Закрыт).
   • Создает на основе алерта инцидент (статус алерта меняется на В инцидент).

Переполнение алертов

Каждый алерт и привязанные к нему события не могут превышать размер 16 МБ. Когда этот предел достигнут:

• Новые события не смогут быть привязаны к алерту.
• В столбце Обнаружен у алерта отображается тег Переполнен. Такой же тег отображается в разделе Информация об алерте окна сведений об алерте.

Алерты, у которых есть предупреждения о переполнении, следует обрабатывать как можно скорее, поскольку новые события не добавляются к переполненным алертам. Вы можете отфильтровать все события, которые могли быть связаны с алертом после переполнения, по ссылке Смотреть все возможные связанные события.

Разделение алертов

С помощью правил сегментации поток однотипных корреляционных событий можно разделять, создавая более одного алерта.

Настройка таблицы алертов

В основной части раздела Алерты отображается таблица с информацией о зарегистрированных алертах.

В таблице алертов отображаются следующие столбцы:

• Уровень важности () – степень значимости потенциальной угрозы безопасности: критическая , высокая , средняя , низкая .
• Название – имя алерта.

  Если рядом с названием алерта отображается тег Переполнен, это означает, что размер алерта достиг или приближается к пределу и должен быть обработан как можно скорее.

• Статус – текущее состояние алерта:
  • Новый – новый, еще не обработанный алерт.
  • Назначен – алерт обработан и передан сотруднику службы безопасности для расследования или реагирования.
  • Закрыт – алерт закрыт. Алерт был ложный или угроза безопасности устранена.
  • Эскалирован – на основе этого алерта был создан инцидент.
• Назначен – имя сотрудника службы безопасности, которому алерт передан для расследования или реагирования.
• Инцидент – название инцидента, к которому привязан алерт.
• Первое появление – дата и время создания первого корреляционного события в последовательности событий, приведшего к созданию алерта.
• Последнее появление – дата и время создания последнего корреляционного события в последовательности событий, приведшего к созданию или обновлению алерта.
• Категории – категории активов с наибольшим уровнем важности, относящихся к алерту. Отображается не более трех категорий.
• Тенант – название тенанта, которому принадлежит алерт.
• КИИ – указание на то, относятся ли к алерту активы, являющиеся объектами КИИ. Столбец скрыт от пользователей, не имеющих прав доступа к объектам КИИ.

По нажатию на заголовки столбцов вы можете просмотреть инструменты для фильтрации алертов. При фильтрации алертов по какому-либо параметру соответствующий заголовок таблицы алертов подсвечивается желтым цветом.

По кнопке вы можете настроить отображаемые столбцы таблицы алертов.

В поле Поиск можно ввести регулярное выражение для поиска алертов по связанным с ними активам, пользователям, тенантам или корреляционным правилам. Параметры, по которым производится поиск:

• Активы: название, FQDN, IP-адрес.
• Учетные записи Active Directory: атрибуты displayName, SAMAccountName, UserPrincipalName.
• Корреляционные правила: название.
• Пользователи KUMA, которым назначены алерты: имя, логин, адрес электронной почты.
• Тенанты: название.

Фильтрация алертов

В KUMA в разделе Алерты можно делать выборки алертов с помощью инструментов фильтрации и сортировки.

Параметры фильтра можно сохранить. Существующие фильтры можно удалить.

Сохранение и выбор фильтра алертов

В KUMA можно сохранять изменения параметров таблицы алертов в виде фильтров. Фильтры сохраняются на сервере Ядра KUMA и доступны всем пользователям KUMA того тенанта, для которого они были созданы.

Чтобы сохранить текущие параметры фильтра:

1. В разделе KUMA Алерты откройте раскрывающийся список Фильтры.
2. Выберите Сохранить текущий фильтр.

   Появится поле для ввода названия нового фильтра и выбора тенанта, которому он будет принадлежать.

3. Введите название фильтра. Название должно быть уникальным для фильтров алертов, фильтров инцидентов и фильтров событий.
4. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать фильтр, и нажмите Сохранить.

Фильтр сохранен.

Чтобы выбрать ранее сохраненный фильтр:

1. В разделе KUMA Алерты откройте раскрывающийся список Фильтры.
2. Выберите нужный фильтр.

   Чтобы выбрать фильтр, который будет использоваться по умолчанию, поставьте в раскрывающемся списке Фильтры звездочку левее названия требуемого фильтра.

Фильтр выбран.

Чтобы сбросить текущие настройки фильтра,

откройте раскрывающийся список Фильтры и выберите Очистить фильтры.

Удаление фильтра алертов

Чтобы удалить ранее сохраненные фильтры:

1. В разделе KUMA Алерты откройте раскрывающийся список Фильтры.
2. Нажмите значок на фильтре, который требуется удалить.
3. Нажмите ОК.

Фильтр удален для всех пользователей KUMA.

Просмотр информации об алерте

Чтобы просмотреть информацию об алерте:

1. В окне веб-интерфейса программы выберите раздел Алерты.

   Отобразится таблица алертов.

2. Нажмите на название алерта, информацию о котором вы хотите просмотреть.

   Откроется окно с информацией об алерте.

В верхней части окна с информацией об алерте расположена панель инструментов, а также указаны уровень важности алерта и имя пользователя, которому назначен этот алерт. В этом окне можно обработать алерт: изменить его уровень важности, назначить его пользователю, закрыть, создать на его основе инцидент.

Раздел Информация об алерте

Этот раздел позволяет просмотреть основную информацию об алерте. Он содержит следующие данные:

• Уровень важности правила корреляции – уровень важности правила корреляции, в результате срабатывания которого создан алерт.
• Наивысшая важность категории активов – самый высокий уровень важности категории активов из тех, которые принадлежат связанным с этим алертом активам. Если с алертом связано несколько активов, отображается наибольшее значение.
• Привязан к инциденту – если алерт привязан к инциденту,то отображаются название и статус алерта. Если алерт не привязан к инциденту, поле не заполнено.
• Первое появление – дата и время создания первого корреляционного события в последовательности событий, приведшего к созданию алерта.
• Последнее появление – дата и время создания последнего корреляционного события в последовательности событий, приведшего к созданию или обновлению алерта.
• Идентификатор алерта – уникальный идентификатор алерта в KUMA.
• Тенант – название тенанта, которому принадлежит алерт.
• Правило корреляции – название правила корреляции, в результате срабатывания которого создан алерт. Название правила представлено в виде ссылки, по которой можно перейти к настройкам этого правила корреляции.
• Переполнен – тег, означающий, что размер алерта достиг или приближается к пределу объема в 16 МБ и алерт необходимо обработать. Новые события не добавляются к переполненным алертам, но по ссылке Смотреть все возможные связанные события можно отфильтровать все события, которые могли быть связаны с алертом при отсутствии переполнения.

  Быстрое переполнение алерта может означать, что неверно настроено соответствующее корреляционное правило, и это приводит к частым срабатываниям. Переполненные алерты следует обрабатывать как можно скорее, чтобы при необходимости откорректировать корреляционное правило.

Раздел Связанные события

Этот раздел содержит таблицу событий, относящихся к алерту. Если нажать на значок стрелки () рядом с правилом корреляции, отобразятся базовые события из этого правила корреляции. События можно сортировать по уровню важности и времени.

При выборе события в таблице открывается область деталей, содержащая информацию о выбранном событии. В области деталей также отображает кнопка Подробные сведения, при нажатии на которую открывается окно, содержащее информацию о корреляционном событии.

Ссылки Найти в событиях под корреляционными событиями и кнопка Найти в событиях справа от заголовка раздела используются для перехода к расследованию алерта.

С помощью кнопки Скачать события вы можете скачать информацию о связанных событиях в виде файла в формате CSV (в кодировке UTF-8). В файле доступны столбцы, заполненные хотя бы в одном связанном событии.

Некоторые редакторы CSV-файлов воспринимают значение разделителя (например, \n) в экспортируемом из KUMA CSV-файла как перенос строки, а не как разделитель. Может быть нарушено разделение файла на строки. Если вы столкнулись с подобным, то может потребоваться дополнительное редактирование CSV-файла, полученного из KUMA.

В таблице событий, в области деталей событий, в окне алертов, а также в виджетах в качестве значений полей SourceAssetID, DestinationAssetID, DeviceAssetID, SourceAccountID, DestinationAccountID и ServiceID вместо идентификаторов отображаются названия активов, учетных записей или сервисов. При экспорте событий в файл идентификаторы сохраняются, однако в файл добавляются столбцы с названиями. Идентификаторы также отображаются при наведении указателя мыши на названия активов, учетных записей или сервисов.

Поиск по полям с идентификаторами возможен только с помощью идентификаторов.

Раздел Связанные активы

Этот раздел содержит таблицу активов, относящихся к алерту. Информация об активах поступает из событий, связанных с алертом. С помощью поля Поиск по IP или FQDN можно искать нужные активы. Активы можно сортировать по столбцам Количество и Актив.

В этом разделе также отображаются активы, связанные с алертом. При нажатии на название актива открывается окно Информация об активе.

С помощью кнопки Скачать активы вы можете скачать информацию о связанных активах в виде файла в формате CSV (в кодировке UTF-8). В файле доступны столбцы: Количество, Название, IP-адрес, Полное доменное имя, Категории.

Раздел Связанные пользователи

Этот раздел содержит таблицу пользователей, относящихся к алерту. Информация о пользователях поступает из событий, связанных с алертом. С помощью поля Поиск пользователей можно искать нужных пользователей. Пользователей можно сортировать по столбцам Количество, Пользователь, User principal name (Основное имя пользователя) и Адрес электронной почты.

С помощью кнопки Скачать пользователей вы можете скачать информацию о связанных пользователях в виде файла в формате CSV (в кодировке UTF-8). В файле доступны столбцы: Количество, Пользователь, Имя участника-пользователя (UPN), Адрес электронной почты, Домен, Тенант.

Раздел Журнал изменений

Этот раздел содержит записи об изменениях, которые пользователи внесли в алерт. Изменения регистрируются автоматически, при этом есть возможность вручную добавлять комментарии. Комментарии можно сортировать по столбцу Время.

При необходимости в поле Комментарий вы можете внести комментарий к алерту и нажать Добавить, чтобы сохранить его.

Изменение название алертов

Чтобы изменить название алерта:

1. В окне веб-интерфейса KUMA выберите раздел Алерты.

   Отобразится таблица алертов.

2. Нажмите на название алерта, информацию о котором вы хотите просмотреть.

   Откроется окно с информацией об алерте.

3. В верхней части окна нажмите на значок и в открывшемся поле введите новое название алерта. Подтвердите название, нажав ENTER или щелкнув вне поля ввода.

Название алерта изменено.

Обработка алертов

Вы можете изменить уровень важности алерта, назначить алерт пользователю, закрыть алерт или создать на основе алерта инцидент.

Чтобы обработать алерт:

1. Выберите необходимые алерты одним из следующих способов:
   • В разделе Алерты веб-интерфейса KUMA нажмите на алерт, сведения о котором вы хотите просмотреть.

     Откроется окно алерта, в верхней его части расположена панель инструментов.

   • В разделе Алерты веб-интерфейса KUMA установите флажок рядом с требуемым алертом. Можно выбрать более одного алерта.

     Алерты со статусом Закрыт не могут быть выбраны для обработки.

     В нижней части окна отобразится панель инструментов.

2. Измените уровень важности алерта с помощью раскрывающегося списка Уровень важности:
   • Низкий.
   • Средний.
   • Высокий.
   • Критический.

   Уровень важности алерта принимает выбранное значение.

3. Назначьте алерт пользователю с помощью раскрывающегося списка Назначить.

   Вы можете назначить алерт себе, выбрав Мне.

   Статус алерта изменится на Назначен, а в раскрывающемся списке Назначить отобразится имя выбранного пользователя.

4. В разделе Связанные пользователи выберите пользователя и настройте параметры реагирования через Active Directory.
   1. После выбора связанного пользователя в открывшемся окне Информация об учетной записи нажмите Реагирование через Active Directory.
   2. В раскрывающемся списке Команда Active Directory выберите одно из следующих значений:
      • Добавить учетную запись в группу

        Группа Active Directory, из которой или в которую необходимо переместить учетную запись.
        В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе.
        Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru.
        В рамках одной операции можно указать только одну группу.

      • Удалить учетную запись из группы

        Группа Active Directory, из которой или в которую необходимо переместить учетную запись.
        В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе.
        Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru.
        В рамках одной операции можно указать только одну группу.

      • Сбросить пароль учетной записи
      • Блокировать учетную запись
   3. Нажмите Применить.
5. При необходимости создайте на основе алерта инцидент:
   1. Нажмите Создать инцидент.

      Откроется окно создания инцидента. В качестве названия инцидента используется название алерта.

   2. Измените нужны параметры инцидента и нажмите Сохранить.

   Инцидент создан, статус алерта изменен на Эскалирован. Алерт можно отвязать от инцидента, выбрав его и нажав Отвязать.

6. Закройте алерт:
   1. Нажмите Закрыть алерт.

      Откроется окно подтверждения.

   2. Укажите причину закрытия алерта:
      • Отработан. Это означает, что были приняты необходимые меры по устранению угрозы безопасности.
      • Неверные данные. Это означает, что алерт был ложным, а полученные события не указывают на угрозу безопасности.
      • Неверное правило корреляции. Это означает, что алерт был ложным, а полученные события не указывают на угрозу безопасности. Возможно, требуется коррекция правила корреляции.
   3. Нажмите ОК.

   Статус алерта изменен на Закрыт. Алерты с таким статусом не обновляются новыми корреляционными событиями и отображаются в таблице алертов, только если в раскрывающемся списке Статус установлен флажок Закрыт. Изменить статус закрытого алерта или назначить его другому пользователю невозможно.

Расследование алерта

Расследование алерта используется, когда вам нужно получить дополнительную информацию об угрозе, из-за которой был создан алерт: реальна ли угроза, откуда она исходит, на какие элементы сетевой среды она влияет, как следует бороться с угрозой. Анализ событий, связанных с корреляционными событиями, которые в свою очередь породили алерт, может помочь вам определить курс действий.

Для обеспечения удобства расследования алертов убедитесь, что на всех устройствах, связанных с жизненным циклом обработки событий (источники событий, серверы KUMA, клиентские хосты) время синхронизируется при помощи серверов Network Time Protocol (NTP).

В KUMA режим расследования алерта включается, когда вы нажимаете ссылку Найти в событиях в окне алерта или в окне корреляционного события. В режиме расследования алерта отображается таблица событий с фильтрами, автоматически настроенными на поиск событий из алерта или корреляционного события. Фильтры также соответствуют времени продолжительности алерта или времени регистрации корреляционного события. Вы можете изменить эти фильтры, чтобы найти другие события и узнать больше о процессах, связанных с угрозой.

В режиме расследования алерта становится доступным дополнительный раскрывающийся список :

• Все события – просмотр всех событий.
• События алерта (выбрано по умолчанию) – просмотр только событий, связанных с алертом.

  При фильтрации событий, связанным с алертом, действуют ограничения на сложность поисковых SQL-запросов.

Вы можете вручную привязать к алертам событие любого типа, кроме корреляционного. К алерту можно привязать только не привязанные к нему события.

В режиме расследования алерта можно создавать и сохранять конфигурации фильтров событий. При использовании этого фильтра в обычном режиме просмотра событий будут отображены все события, соответствующие критериям фильтра, независимо от того, привязаны ли они к алерту, выбранному для расследования алерта.

Чтобы привязать событие к алерту:

1. В разделе Алерты веб-интерфейса KUMA нажмите алерт, к которому вы хотите привязать событие.

   Откроется окно алерта.

2. В разделе Связанные события нажмите на кнопку Найти в событиях.

   Откроется таблица событий с включенными фильтрами даты и времени, соответствующим дате и времени регистрации привязанных к алерту событий. В столбцах отображаются параметры, используемые правилом корреляции для создания алерта. В таблице событий также отображается столбец Привязка к алерту, в котором отмечаются события, привязанные к алерту.

3. В раскрывающемся списке выберите значение Все события.
4. При необходимости измените фильтры, чтобы найти событие, которое требуется привязать к алерту.
5. Выберите нужное событие и нажмите на кнопку Привязать к алерту в нижней части области деталей события.

Событие будет привязано к алерту. Вы можете отвязать это событие от алерта, нажав в области деталей Отвязать от алерта.

Когда событие привязывается или отвязывается от алерта, в окне алерта в разделе Журнал изменений добавляется запись об этом действии. По ссылке в этой записи вы можете открыть область деталей и отвязать или привязать событие к алерту, нажав на соответствующую кнопку.

Срок хранения алертов и инцидентов

По умолчанию алерты и инциденты хранятся в KUMA в течение года, но этот срок можно изменить, исправив параметры запуска программы в файле /usr/lib/systemd/system/kuma-core.service на сервере Ядра KUMA.

Чтобы изменить срок хранения алертов и инцидентов:

1. Войдите в ОС сервера, на котором установлено Ядро KUMA.
2. В файле /usr/lib/systemd/system/kuma-core.service измените следующую строку, подставив нужное количество дней:

   ExecStart=/opt/kaspersky/kuma/kuma core --alerts.retention <количество дней, в течение которых требуется хранить алерты и инциденты> --external :7220 --internal :7210 --mongo mongodb://localhost:27017

3. Перезапустите KUMA, выполнив последовательно следующие команды:
   1. systemctl daemon-reload
   2. systemctl restart kuma-core

Срок хранения алертов и инцидентов изменен.

Уведомления об алертах

При создании и назначении алертов по электронной почте рассылаются стандартные уведомления KUMA. Вы можете настроить рассылку уведомлений о создании алерта на основе пользовательского шаблона электронной почты.

Чтобы настроить рассылку уведомлений о создании алерта на основе пользовательского шаблона:

1. Откройте раздел Параметры → Алерты → Правила уведомлений веб-интерфейса KUMA.
2. Выберите тенант, для которого вы хотите создать правило уведомления:
   • Если у тенанта уже есть правила уведомлений, выберите его в таблице.
   • Если у тенанта нет правил уведомлений, нажмите Добавить тенант и в раскрывающемся списке Тенант выберите нужный тенант.
3. В блоке параметров Правила уведомлений нажмите Добавить и укажите параметры правила уведомлений:
   • Название (обязательно) – в этом поле укажите название правила уведомления.
   • Адреса получателей (обязательно) – в этом блоке параметров с помощью кнопки Адрес электронной почты можно добавить адреса электронной почты, на которые необходимо отправлять уведомления о создании алертов. Адреса добавляются по одному.

     Кириллические домены не поддерживаются. Например, уведомление по адресу login@домен.рф отправлено не будет.

   • Правила корреляции (обязательно) – в этом блоке параметров необходимо выбрать одно или несколько правил корреляции, при срабатывании которых будут отправляться уведомления.

     В окне в виде древовидной структуры отображаются правила корреляции из общего и выбранного пользователем тенанта. Для выбора правила необходимо установить флажок рядом с ним. Можно установить флажок рядом с папкой: в таком случае будут выбраны все правила корреляции в этой папке и ее подпапках.

   • Шаблон (обязательно) – в этом блоке параметров необходимо выбрать шаблон электронной почты, по которому будут создаваться рассылаемые уведомления. Для выбора шаблона нажмите на значок , в открывшемся окне выберите требуемый шаблон и нажмите Сохранить.

     Шаблон можно создать, нажав на значок плюса, или отредактировать выбранный шаблон, нажав на значок карандаша.

   • Выключено – установив этот флажок вы можете выключить правило уведомления.
4. Нажмите Сохранить.

Правило уведомления создано. Когда по выбранным правилам корреляции будет создаваться алерт, на указанные адреса электронной почты будут отправляться уведомления, созданные на основе пользовательских шаблонов электронной почты. Стандартные уведомления KUMA о том же событии на указанные адреса отправлены не будут.

Чтобы выключить правила уведомлений для тенанта:

1. Откройте раздел Параметры → Алерты → Правила уведомлений веб-интерфейса KUMA и выберите тенант, правила уведомлений которого вы хотите выключить.
2. Установите флажок Выключено.
3. Нажмите Сохранить.

Правила уведомлений выбранного тенанта выключены.

Для выключенных правил уведомлений не проверяется корректность указанных параметров, при этом включить уведомления для тенанта при наличии некорректных правил невозможно. Если вы при выключенных правилах уведомлений для тенанта создаете или редактируете отдельные правила уведомлений, перед включением правил уведомлений для тенанта рекомендуется: 1) выключить все отдельные правила уведомлений; 2) включить правила уведомлений для тенанта; 3) включить отдельные правила уведомлений по одному.

Работа с инцидентами

В разделе Инциденты веб-интерфейса KUMA можно создавать, просматривать и обрабатывать инциденты. При необходимости вы также можете фильтровать инциденты. При нажатии на название инцидента открывается окно со сведениями о нем.

Инциденты можно экспортировать в НКЦКИ.

Срок хранения инцидентов составляет один год, однако этот параметр можно изменить.

Формат даты инцидента зависит от языка локализации, выбранного в настройках программы. Возможные варианты формата даты:

• Английская локализация: ГГГГ-ММ-ДД.
• Русская локализация: ДД.ММ.ГГГГ.

О таблице инцидентов

В основной части раздела Инциденты отображается таблица с информацией о зарегистрированных инцидентах. При необходимости вы можете изменить набор столбцов и порядок их отображения в таблице.

Как настроить таблицу инцидентов

Доступные столбцы таблицы инцидентов:

• Название – название инцидента. Инциденты, поступившие от НКЦКИ, содержат в названии префикс ALRT*.
• Длительность инцидента – время, на протяжении которого происходил инцидент (время между первым и последним событием, относящимся к инциденту).
• Назначен – имя сотрудника службы безопасности, которому инцидент передан для расследования или реагирования.
• Создан – дата и время создания инцидента. С помощью этого столбца инциденты можно фильтровать по времени их создания.
  • Доступны преднастроенные периоды: Сегодня, Вчера, На этой неделе, На прошлой неделе.
  • При необходимости можно задать произвольный период с помощью календаря, который открывается при выборе пунктов До даты, После даты, В течение периода.
• Тенант – название тенанта, которому принадлежит инцидент.
• Статус – текущее состояние инцидента:
  • Открыт – новый, еще не обработанный инцидент.
  • Назначен – инцидент обработан и передан сотруднику службы безопасности для расследования или реагирования.
  • Закрыт – инцидент закрыт, угроза безопасности устранена.
• Количество алертов – количество алертов, входящих в инцидент. Учитываются только алерты тех тенантов, к которым у вас есть доступ.
• Уровень важности – степень значимости потенциальной угрозы безопасности: Критический , Высокий , Средний , Низкий .
• Категории затронутых активов – категории активов с наибольшим уровнем важности, относящихся к алерту. Отображается не более трех категорий.
• Последнее обновление – дата и время последнего изменения, сделанного в инциденте.
• Первое событие и Последнее событие – дата и время первого и последнего события в инциденте.
• Категория инцидента и Тип инцидента – категория и тип угрозы, присвоенные инциденту.
• Экспорт в НКЦКИ – статус экспорта данных об инциденте в НКЦКИ:
  • Не экспортировался – данные не передавались в НКЦКИ.
  • Ошибка экспорта – попытка передать данные в НКЦКИ завершилась ошибкой, данные не переданы.
  • Экспортирован – данные об инциденте успешно переданы в НКЦКИ.
• Ветвь – данные о том, в каком узле был создан инцидент. По умолчанию отображаются инциденты вашего узла. Этот столбец отображается только при включенном режиме иерархии.
• КИИ – указание на то, относятся ли к инциденту активы, являющиеся объектами КИИ. Столбец скрыт от пользователей, не имеющих прав доступа к объектам КИИ.

В поле Поиск можно ввести регулярное выражение для поиска инцидентов по связанным с ними активами, пользователям, тенантам или корреляционным правилам. Параметры, по которым производится поиск:

• Активы: название, FQDN, IP-адрес.
• Учетные записи Active Directory: атрибуты displayName, SAMAccountName, UserPrincipalName.
• Корреляционные правила: название.
• Пользователи KUMA, которым назначены алерты: имя, логин, адрес электронной почты.
• Тенанты: название.

При фильтрации инцидентов по какому-либо параметру соответствующий столбец в таблице инцидентов подсвечивается желтым цветом.

Сохранение и выбор конфигураций фильтра инцидентов

В KUMA можно сохранять изменения параметров таблицы инцидентов в виде фильтров. Конфигурации фильтров сохраняются на сервере Ядра KUMA и доступны всем пользователям KUMA того тенанта, для которого они были созданы.

Чтобы сохранить текущие параметры конфигурации фильтра:

1. В разделе KUMA Инциденты откройте раскрывающийся список Выбрать фильтр.
2. Выберите Сохранить текущий фильтр.

   Откроется окно для ввода названия нового фильтра и выбора тенанта, которому он будет принадлежать.

3. Введите название конфигурации фильтра. Название должно быть уникальным для фильтров алертов, фильтров инцидентов и фильтров событий.
4. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать фильтр, и нажмите Сохранить.

Конфигурация фильтра сохранена.

Чтобы выбрать ранее сохраненную конфигурацию фильтра:

1. В разделе KUMA Инциденты откройте раскрывающийся список Выбрать фильтр.
2. Выберите нужную конфигурацию.

Конфигурация фильтра активна.

Вы можете выбрать фильтр, который будет использоваться по умолчанию, поставив в раскрывающемся списке Фильтры звездочку левее названия требуемой конфигурации фильтра.

Чтобы сбросить текущие настройки фильтра,

откройте раскрывающийся список Фильтры и выберите Очистить фильтр.

Удаление конфигураций фильтра инцидентов

Чтобы удалить ранее сохраненную конфигурацию фильтра:

1. В разделе KUMA Инциденты откройте раскрывающийся список Фильтры.
2. Нажмите значок рядом с фильтром, который требуется удалить.
3. Нажмите ОК.

Конфигурация фильтра удалена для всех пользователей KUMA.

Просмотр информации об инциденте

Чтобы просмотреть информацию об инциденте:

1. В окне веб-интерфейса программы выберите раздел Инциденты.
2. Выберите инцидент, информацию о котором вы хотите просмотреть.

Откроется окно с информацией об инциденте.

Некоторые параметры инцидентов доступны для редактирования. Инциденты, автоматически созданные в KUMA по результатам уведомления от НКЦКИ, содержат префикс ALRT*.

В верхней части окна информации об инциденте расположена панель инструментов и указано имя пользователя, которому назначен инцидент, а также указаны разделы окна в виде закладок, при нажатии на которые можно перемещаться к нужному разделу. В этом окне вы можете обработать инцидент: назначить его пользователю, объединить его с другим инцидентом или закрыть.

Раздел Описание содержит следующие данные:

• Создан – дата и время создания инцидента.
• Название – название инцидента.

  Название инцидента можно изменить, введя в поле новое название и нажав Сохранить. Название должно содержать от 1 до 128 символов в кодировке Unicode.

• Тенант – название тенанта, которому принадлежит инцидент.

  Тенанта можно изменить, выбрав необходимый тенант в раскрывающемся списке и нажав Сохранить.

• Статус – текущее состояние инцидента:
  • Открыт – новый, еще не обработанный инцидент.
  • Назначен – инцидент обработан и передан сотруднику службы безопасности для расследования или реагирования.
  • Закрыт – инцидент закрыт, угроза безопасности устранена.
• Уровень важности – значимость угрозы, которую представляет инцидент. Возможные значения:
  • Критический.
  • Высокий.
  • Средний.
  • Низкий.

  Уровень важности можно изменить, выбрав нужное значение в раскрывающемся списке и нажав Сохранить.

• Категории затронутых активов – категории, к которым принадлежат связанные с инцидентом активы.
• Появление первого события и Появление последнего события – дата и время первого и последнего события в инциденте.
• Тип инцидента и Категория инцидента – тип и категория угрозы, присвоенная инциденту. Значения можно изменить, выбрав в раскрывающемся списке нужное и нажав Сохранить.
• Экспорт в НКЦКИ – сведения о том, экспортировался ли этот инцидент в НКЦКИ.
• Описание – описание инцидента.

  Описание можно изменить, введя в поле новый текст и нажав Сохранить. Описание должно содержать не более 256 символов в кодировке Unicode.

• Связанные тенанты – тенанты, относящиеся к связанным с инцидентом алертам, активам и пользователям.
• Доступные тенанты – тенанты, алерты которых можно привязывать к инциденту автоматически.

  Список доступных тенантов можно изменить, установив в раскрывающемся списке флажки напротив нужных тенантов и нажав Сохранить.

Раздел Связанные алерты содержит таблицу алертов, относящихся к инциденту. При нажатии на название алерта открывается окно с подробными данными об этом алерте.

Разделы Связанные активы и Связанные пользователи содержат таблицы с данными об активах и пользователях, относящихся к инциденту. Эта информация поступает из алертов, связанных с инцидентом.

Таблицы в разделах Связанные алерты, Связанные активы и Связанные пользователи можно дополнить данными, нажав в нужном разделе на кнопку Привязать и выбрав в открывшемся окне объект, который следует привязать к инциденту. При необходимости вы можете отвязать объекты от инцидента. Для этого вам требуется выбрать необходимые объекты, нажать Отвязать в разделе, к которому они относятся, и сохранить изменения. Если объекты добавлены в инцидент автоматически, их нельзя отвязать, пока не отвязан алерт, в котором они упоминаются. Состав полей в таблицах этих разделов можно изменить, нажав в нужном разделе на кнопку шестеренки (). По данным в таблицах этих разделов можно вести поиск с помощью полей Поиск.

Раздел Журнал изменений содержит записи об изменениях, которые вы и пользователи вносили в инцидент. Изменения регистрируются автоматически, при этом есть возможность вручную добавлять комментарии.

В разделе Интеграция с НКЦКИ можно отслеживать статус инцидента в НКЦКИ. Кроме того, в этом разделе можно экспортировать данные об инциденте в НКЦКИ, пересылать в НКЦКИ файлы, а также обмениваться со специалистами НКЦКИ сообщениями.

Если в параметры инцидента на стороне НКЦКИ были внесены изменения, в окне инцидента в KUMA будет отображаться соответствующее уведомление. При этом для параметров, по которым есть расхождения, в окне будут отображаться варианты значений и из KUMA, и из НКЦКИ.

Создание инцидента

Чтобы создать инцидент:

1. Откройте веб-интерфейс KUMA и выберите раздел Инциденты.
2. Нажмите Создать инцидент.

   Откроется окно создания инцидента.

3. Заполните обязательные параметры инцидента:
   • В поле Название введите название инцидента. Название должно содержать от 1 до 128 символов в кодировке Unicode.
   • В раскрывающемся списке Тенант выберите тенант, которому принадлежит создаваемый инцидент.
4. При необходимости укажите другие параметры инцидента:
   • В раскрывающемся списке Уровень важности выберите степень угрозы, которую представляет инцидент. Доступные значения: Низкий, Средний, Высокий, Критический.
   • В полях Появление первого события и Появление последнего события укажите временной диапазон, в котором были получены события, относящиеся к инциденту.
   • В раскрывающихся списках Категория инцидента и Тип инцидента выберите категорию и тип инцидента. Доступные типы инцидента зависят от выбранной категории.
   • Добавьте Описание инцидента. Описание должно содержать не более 256 символов в кодировке Unicode.
   • В раскрывающемся списке Доступные тенанты выберите тенанты, алерты которых можно будет привязывать к инциденту автоматически.
   • В разделе Связанные алерты добавьте алерты, относящиеся к инциденту.

     Привязка алертов к инцидентам

     Чтобы привязать алерт к инциденту:

     1. В разделе Связанные алерты окна инцидента нажмите Привязать.

        Откроется окно со списком непривязанных к инцидентам обнаружений.

     2. Выберите требуемые алерты.

        Алерты можно искать по пользователям, активам, тенантам и корреляционным правилам с помощью регулярных выражений PCRE.

     3. Нажмите Привязать.

     Алерты связаны с инцидентом и отображаются в разделе Связанные алерты.

     Чтобы отвязать алерты от инцидента:

     1. Выберите нужные алерты в разделе Связанные алерты и нажмите на кнопку Отвязать.
     2. Нажмите Сохранить.

     Алерты отвязаны от инцидента. Также алерт можно отвязать от инцидента в окне алерта с помощью кнопки Отвязать.

   • В разделе Связанные активы добавьте активы, относящиеся к инциденту.

     Привязка активов к инцидентам

     Чтобы привязать актив к инциденту:

     1. В разделе Связанные активы окна инцидента нажмите Привязать.

        Откроется окно со списком активов.

     2. Выберите нужные активы.

        Активы можно искать с помощью поля Поиск.

     3. Нажмите Привязать.

     Активы связаны с инцидентом и отображаются в разделе Связанные активы.

     Чтобы отвязать активы от инцидента:

     1. Выберите нужные активы в разделе Связанные активы и нажмите на кнопку Отвязать.
     2. Нажмите Сохранить.

     Активы отвязаны от инцидента.

   • В разделе Связанные пользователи добавьте пользователей, относящихся к инциденту.

     Привязка пользователей к инцидентам

     Чтобы привязать пользователя к инциденту:

     1. В разделе Связанные пользователи окна инцидента нажмите Привязать.

        Откроется окно со списком пользователей.

     2. Выберите нужных пользователей.

        Пользователей можно искать с помощью поля Поиск.

     3. Нажмите Привязать.

     Пользователи связаны с инцидентом и отображаются в разделе Связанные пользователи.

     Чтобы отвязать пользователей от инцидента:

     1. Выберите нужных пользователей в разделе Связанные пользователи и нажмите на кнопку Отвязать.
     2. Нажмите Сохранить.

     Пользователи отвязаны от инцидента.

   • Добавьте Комментарий к инциденту.
5. Нажмите Сохранить.

Инцидент создан.

Обработка инцидентов

Вы можете назначить инцидент пользователю, объединить инциденты или закрыть инцидент.

Чтобы обработать инцидент:

1. Выберите необходимые инциденты одним из следующих способов:
   • В разделе Инциденты веб-интерфейса KUMA нажмите на инцидент, который нужно обработать.

     Откроется окно инцидента, в его верхней части расположена панель инструментов.

   • В разделе Инциденты веб-интерфейса KUMA установите флажок рядом с требуемыми инцидентами.

     В нижней части окна отобразится панель инструментов.

2. В раскрывающемся списке Назначить выберите пользователя, которому вы хотите назначить инцидент.

   Вы можете назначить инцидент себе, выбрав Мне.

   Инциденту будет присвоен статус Назначен, а в раскрывающемся списке Назначить отобразится имя выбранного пользователя.

3. В разделе Связанные пользователи выберите пользователя и настройте параметры реагирования через Active Directory.
   1. После выбора связанного пользователя в открывшемся окне Информация об учетной записи нажмите Реагирование через Active Directory.
   2. В раскрывающемся списке Команда Active Directory выберите одно из следующих значений:
      • Добавить учетную запись в группу

        Группа Active Directory, из которой или в которую необходимо переместить учетную запись.
        В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе.
        Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru.
        В рамках одной операции можно указать только одну группу.

      • Удалить учетную запись из группы

        Группа Active Directory, из которой или в которую необходимо переместить учетную запись.
        В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе.
        Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru.
        В рамках одной операции можно указать только одну группу.

      • Сбросить пароль учетной записи
      • Блокировать учетную запись
   3. Нажмите Применить.
4. При необходимости измените параметры инцидента.
5. После расследования закройте инцидент:
   1. Нажмите Закрыть.

      Откроется окно подтверждения.

   2. Укажите причину закрытия инцидента:
      • одобрен. Это означает, что были приняты необходимые меры по устранению угрозы безопасности.
      • не одобрен. Это означает, что инцидент был ложным, а полученные события не указывают на угрозу безопасности.
   3. Нажмите Закрыть.

   Инциденту будет присвоен статус Закрыт. Инциденты с таким статусом невозможно редактировать, и они отображаются в таблице инцидентов, только если при фильтрации таблицы в раскрывающемся списке Статус установлен флажок Закрыт. Изменить статус закрытого инцидента или назначить его другому пользователю невозможно, однако его можно объединить с другим инцидентом.

6. При необходимости объедините выбранные инциденты с другим инцидентом:
   1. Нажмите Объединить и в открывшемся окне выберите инцидент, в который следует поместить все данные из выбранных инцидентов.
   2. Подтвердите выбор, нажав Объединить.

   Инциденты будут объединены.

Инцидент обработан.

Изменение инцидентов

Чтобы изменить параметры инцидента:

1. В разделе Инциденты веб-интерфейса KUMA нажмите на инцидент, параметры которого нужно изменить.

   Откроется окно инцидента.

2. Измените нужные параметры. Для редактирования доступны все параметры инцидента, которые можно задать при его создании.
3. Нажмите Сохранить.

Инцидент будет изменен.

Автоматическая привязка алертов к инцидентам

В KUMA можно настроить автоматическую привязку создаваемых алертов к уже существующим инцидентам, если у алертов и инцидентов есть пересечения по относящимся к ним активам или пользователям. Если настройка включена, то при создании алерта программа выполняет поиск инцидентов за указанный период, к которым относятся активы или пользователи из алерта. Кроме того, программа проверяет, чтобы созданный алерт относился к тенантам, указанным в инцидентах в качестве параметра Доступные тенанты. Если удовлетворяющий условиям инцидент найден, программа связывает созданный алерт и найденный инцидент.

Чтобы настроить автоматическую привязку алертов к инцидентам:

1. Откройте раздел веб-интерфейса KUMA Параметры → Инциденты → Автоматическая привязка алертов к инцидентам.
2. Установите флажок Включить в блоках параметров Привязка при пересечении по активам и/или Привязка при пересечении по пользователям, в зависимости от того, какие связи необходимо искать между инцидентами и алертами.
3. Задайте Срок давности создания инцидента для параметров, по которым необходимо искать связи. Создаваемые алерты будут сравниваться с инцидентами не старше указанного срока.

Автоматическая привязка алертов к инцидентам настроена.

Чтобы выключить автоматическую привязку алертов к инцидентам,

в разделе веб-интерфейса KUMA Параметры → Инциденты → Автоматическая привязка алертов к инцидентам установите флажок Выключено.

Категории и типы инцидентов

Для удобства работы вы можете присваивать категории и типы. Если инциденту присвоена категория НКЦКИ, его можно экспортировать в НКЦКИ.

Категории и типы инцидентов, которые можно экспортировать в НКЦКИ

Категории инцидентов можно просмотреть или изменить в разделе Параметры → Инциденты → Типы инцидентов, где они отображаются в виде таблицы. При нажатии на заголовки столбцов можно менять параметры сортировки таблицы. Таблица содержит следующие столбцы:

• Категория инцидента – общий признак инцидента или компьютерной атаки. Таблицу можно фильтровать по значениям этого столбца.
• Тип инцидента – класс инцидента или компьютерной атаки.
• Категория для НКЦКИ – соответствие типа инцидента номенклатуре НКЦКИ. Невозможно экспортировать в НКЦКИ инциденты, которым присвоены пользовательские типы и категории. Таблицу можно фильтровать по значениям этого столбца.
• Уязвимость – указывает ли тип инцидента на уязвимость.
• Создан – дата создания типа инцидента.
• Изменен – дата изменения типа инцидента.

Чтобы добавить тип инцидента:

1. В разделе веб-интерфейса KUMA Параметры → Инциденты → Типы инцидентов нажмите Добавить.

   Откроется окно создания типа инцидента.

2. Заполните поля Тип и Категория.
3. Если создаваемый тип инцидента соответствует номенклатуре НКЦКИ, установите флажок Категория для НКЦКИ.
4. Если тип инцидента указывает на уязвимость, установите флажок Уязвимость.
5. Нажмите Сохранить.

Тип инцидента создан.

Взаимодействие с НКЦКИ

В KUMA в рамках взаимодействия с Национальным координационным центром по компьютерным инцидентам (далее "НКЦКИ") можно выполнять следующие действия:

• экспортировать в НКЦКИ инциденты;
• при запросе НКЦКИ дополнять экспортированный инцидент данными;
• отправлять в НКЦКИ файлы;
• обмениваться сообщениями со специалистами НКЦКИ;
• просматривать изменения в параметрах экспортированных инцидентов, сделанных в НКЦКИ;
• обрабатывать инциденты, автоматически созданные KUMA по результатам уведомления от НКЦКИ, с префиксом ALRT* .

Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.

Условия взаимодействия с НКЦКИ

Для взаимодействия с НКЦКИ должны выполняться следующие условия:

• лицензия программы включает модуль GosSOPKA;
• настроена интеграция с НКЦКИ;
• в параметрах пользователей, в обязанности которых входит взаимодействие с НКЦКИ, установлен флажок Может взаимодействовать с НКЦКИ.

Этапы взаимодействия с НКЦКИ

В KUMA экспорт и обработка инцидентов, экспортированных в НКЦКИ, проходит через следующие этапы:

1. Создание инцидента и проверка его на соответствие требованиям НКЦКИ

   Вы можете создать инцидент или получить его из дочернего узла KUMA. Перед отправкой данных в НКЦКИ необходимо убедиться, что категория инцидента соответствует требованиям НКЦКИ

2. Экспорт инцидента в НКЦКИ

   При успешном экспорте инцидента в НКЦКИ его параметр Экспорт в НКЦКИ принимает значение Экспортирован. В нижней части окна инцидента становится доступен раздел с чатом с сотрудниками НКЦКИ.

   В НКЦКИ полученному от вас инциденту присваивается регистрационный номер и статус. Эти сведения отображаются в окне инцидента в разделе Интеграция с НКЦКИ и в автоматических сообщениях чата.

   Если в НКЦКИ предоставлены все необходимые данные, инциденту присваивается статус Проверка НКЦКИ. Параметры инцидента в таком статусе доступны для изменения, однако обновленные сведения невозможно передать из KUMA в НКЦКИ. Вы можете просмотреть разницу между данными об инциденте в KUMA и в НКЦКИ.

3. Дополнение данных об инциденте

   Если сотрудникам НКЦКИ не хватает сведений для обработки инцидента, они могут присвоить ему статус Требуется дополнение. В KUMA этот статус отображается в окне инцидента в разделе Интеграция с НКЦКИ. Пользователи уведомляются об изменении статуса.

   К инцидентам с таким статусом можно прикрепить файл.

   Дополнение данных завершается повторным экспортом инцидента в НКЦКИ, при котором необходимо дополнить или изменить ранее отправленные сведения. Из родительского узла KUMA невозможно вносить изменения в инциденты дочерних узлов – это необходимо сделать сотрудникам дочернего узла KUMA.

   При успешном дополнении инцидента данными ему присваивается статус Проверка НКЦКИ.

4. Завершение обработки инцидента

   Когда сотрудники НКЦКИ обработают инцидент, в НКЦКИ ему будет присвоен статус Принято решение. В KUMA этот статус отображается в окне инцидента в разделе Интеграция с НКЦКИ.

   При получении этого статуса инцидент в KUMA автоматически закрывается. Взаимодействие с НКЦКИ по данному инциденту через KUMA становится невозможным.

Особенности экспорта в НКЦКИ из иерархической структуры KUMA

Если в вашей организации развернуто несколько узлов KUMA, которые объединены в иерархическую структуру, вы можете из родительских узлов KUMA передавать в НКЦКИ инциденты, полученные из дочерних узлов KUMA. Для этого должны выполняться следующие условия:

• В родительском и дочернем узле KUMA настроена интеграция с НКЦКИ. При этом для родительского узла параметры URL и Токен в разделе Параметры → НКЦКИ являются обязательными, а для дочернего – нет.
• В обоих узлах не отключена интеграция с НКЦКИ.

При такой настройке взаимодействие с НКЦКИ осуществляется только на уровне узла, экспортировавшего инцидент в НКЦКИ.

Из родительского узла KUMA невозможно изменить параметры инцидента, полученного из дочернего узла KUMA. Если для экспорта в НКЦКИ не хватает каких-то данных, инцидент необходимо изменить на дочернем узле KUMA, а затем уже экспортировать его в НКЦКИ из родительского узла KUMA.

Экспорт данных в НКЦКИ

Невозможно экспортировать в НКЦКИ закрытые в KUMA инциденты, если на момент закрытия в этих инцидентах не было заполнено поле Описание.

Чтобы экспортировать инцидент в НКЦКИ:

1. В разделе Инциденты веб-интерфейса KUMA откройте инцидент, который вы хотите экспортировать.
2. Нажмите в нижней части окна на кнопку Экспорт в НКЦКИ.
3. Если вы не указали категорию и тип инцидента, укажите эти сведения в открывшемся окне и нажмите на кнопку Экспорт в НКЦКИ.

   Откроется окно с параметрами экспорта.

4. Укажите параметры на вкладке Основные окна Экспорт в НКЦКИ:
   • Категория инцидента и Тип инцидента – укажите тип и категорию инцидента. В НКЦКИ можно экспортировать только инциденты определенных категорий и типов.
   • TLP (обязательно) – присвойте инциденту маркер протокола Traffic Light, определяющий характер сведений об инциденте. По умолчанию используется значение RED. Доступные значения:
     • WHITE – раскрытие не ограничено;
     • GREEN – раскрытие только для сообщества;
     • AMBER – раскрытие только для организаций;
     • RED – раскрытие только для круга лиц.
   • Название информационной системы (обязательно) – укажите название информационного ресурса, в котором произошел инцидент. В поле можно ввести до 500 000 символов.
   • Категория КИИ системы (обязательно) – укажите категорию критической информационной структуры (КИИ) вашей организации. Если у вашей организации нет категории КИИ, выберите пункт Информационный ресурс не является объектом КИИ.
   • Сфера деятельности компании (обязательно) – укажите сферу деятельности вашей организации. По умолчанию используется значение, указанное в параметрах интеграции с НКЦКИ.
   • Местоположение (обязательно) – выберите в раскрывающемся списке местоположение вашей организации.
   • Затронутая система имеет подключение к интернету – установите этот флажок, если активы, относящиеся к инциденту, имеют подключение к интернету. По умолчанию этот флажок снят.

     Если этот флажок установлен, в окне становится доступна для заполнения вкладка Технические сведения, на которой отображаются сведения об относящихся к инциденту активах. Подробнее см. ниже.

   • Сведения о продукте (обязательно) – эта таблица становится доступна, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.

     С помощью кнопки Добавить элемент можно добавить в таблицу строку. В столбце Название требуется указать название программы (например, MS Office), а в столбце Версия – версию программы (например, 2.4).

   • Идентификатор уязвимости – при необходимости укажите идентификатор обнаруженной уязвимости. Например, CVE-2020-1231.

     Это поле становится доступно, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.

   • Наименование и версия уязвимого продукта – при необходимости укажите наименование и версию уязвимого продукта. Например, Операционные системы Microsoft и их компоненты.

     Это поле становится доступно, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.

5. При необходимости укажите параметры на вкладке Дополнительно окна Экспорт в НКЦКИ.

   Набор параметров на вкладке зависит от выбранных категории и типа инцидента:

   • Средство обнаружения инцидента – укажите название продукта, с помощью которого был зарегистрирован инцидент. Например, KUMA 1.5.
   • Требуется привлечение сил ГосСОПКА – установите этот флажок, если вам требуется помощь сотрудников ГосСОПКА.
   • Время завершения инцидента – укажите дату и время восстановления штатного режима работы контролируемого информационного ресурса (объекта КИИ) после компьютерного инцидента, окончания компьютерной атаки или устранения уязвимости.
   • Влияние на доступность – оцените степень последствий инцидента для доступности системы:
     • Высокое
     • Низкое
     • Отсутствует
   • Влияние на целостность – оцените степень последствий инцидента для целостности системы:
     • Высокое
     • Низкое
     • Отсутствует
   • Влияние на конфиденциальность – оцените степень последствий инцидента для конфиденциальности информации:
     • Высокое
     • Низкое
     • Отсутствует
   • Иные последствия – укажите иные значимые последствия инцидента.
   • Город – укажите город, в котором находится ваша организация.
6. Если к инциденту прикреплены активы, можно указать их параметры на вкладке Технические данные.

   Эта вкладка становится активной, только если вы установили флажок Затронутая система имеет подключение к интернету.

   При необходимости изменить или дополнить сведения, ранее указанные на вкладке Технические данные, это следует делать в вашем личном кабинете ГосСОПКА, даже если сотрудники НКЦКИ запросили у вас дополнительные сведения и у вас есть возможность изменить экспортированный инцидент.

   Категории указываемых активов должны соответствовать категории затронутой КИИ системы.

7. Нажмите Экспорт.
8. Подтвердите экспорт.

Сведения об инциденте переданы в НКЦКИ, параметр инцидента Экспорт в НКЦКИ меняется на Экспортирован. В НКЦКИ полученному от вас инциденту присваивается регистрационный номер и статус. Эти сведения отображаются в окне инцидента в разделе Интеграция с НКЦКИ.

Изменить данные в экспортированном инциденте возможно, только если сотрудники НКЦКИ запросили у вас дополнительные сведения. Если дополнительные сведения запрошены не были, но вам требуется внести изменения в экспортированный инцидент, это следует делать в вашем личном кабинете ГосСОПКА.

После успешного экспорта инцидента в нижней части экрана отображается кнопка Сравнение инцидента KUMA с данными в НКЦКИ, при нажатии на которую открывается окно, где подсвечиваются различия в данных в инциденте между KUMA и НКЦКИ.

Дополнение данных об инциденте по запросу

Если сотрудникам НКЦКИ потребуются дополнительные сведения об инциденте, они могут их у вас запросить. В этом случае в окне инцидента в разделе Интеграция с НКЦКИ статус инцидента меняется на Требуется дополнение. При этом следующие пользователи KUMA получают по электронной почте уведомления об изменении статуса: пользователь, которому назначен инцидент, и пользователь, экспортировавший инцидент в НКЦКИ.

Если инциденту в НКЦКИ присвоен статус Требуется дополнение, в KUMA для этого инцидента становятся доступны следующие действия:

• Загрузка в НКЦКИ файлов.
• Повторный экспорт данных об инциденте в НКЦКИ с изменением или дополнением ранее указанных сведений. Выполнение этого действия завершает дополнение инцидента данными.

Отправка файлов в НКЦКИ

Если инцидент имеет статус НКЦКИ Требуется дополнение, вы можете приложить к нему файл. Файл будет доступен как в НКЦКИ, так и в веб-интерфейсе KUMA.

При иерархическом развертывании KUMA загружать файлы в НКЦКИ можно только из родительского узла KUMA. При этом в дочерних узлах KUMA видны журнальные записи о загрузке файла.

В журнале изменений инцидента добавляются сообщения о загрузке в НКЦКИ файлов пользователями KUMA. Сообщения о добавлении файлов со стороны НКЦКИ в журнал не заносятся.

Чтобы приложить файл к инциденту:

1. В разделе Инциденты веб-интерфейса KUMA откройте инцидент, к которому вы хотите приложить файл. Инцидент должен иметь статус НКЦКИ Требуется дополнение.
2. В разделе окна инцидента Интеграция с НКЦКИ выберите вкладку Файл и нажмите на кнопку Отправить файл в НКЦКИ.

   Откроется окно выбора файла.

3. Выберите нужный файл размером не более 50 МБ и подтвердите выбор.

Файл приложен к инциденту. Файл доступен и для сотрудников НКЦКИ, и для пользователей KUMA.

Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.

Отправка в НКЦКИ инцидентов, связанных с утечкой персональных данных

В KUMA 2.1.х отсутствует отдельный раздел с параметрами инцидентов для передачи в НКЦКИ сведений об утечке персональных данных. Поскольку такие инциденты возникают и есть необходимость передавать сведения в НКЦКИ, воспользуйтесь следующим решением.

Чтобы передать инциденты, связанные с утечкой персональных данных:

1. В веб-интерфейсе KUMA в разделе Инциденты при создании инцидента, связанного с утечкой персональных данных, в поле Категория инцидента выберите Уведомление о компьютерном инциденте.
2. В поле Тип инцидента выберите один из вариантов, подразумевающих предоставление сведений об утечке персональных данных:
   • Заражение ВПО.
   • Компрометация учетной записи.
   • Несанкционированное разглашение информации.
   • Успешная эксплуатация уязвимости.
   • Событие не связано с компьютерной атакой.
3. В поле Описание укажите "Инцидент связан с утечкой персональных данных. Прошу установить статус "Требуется дополнение"".
4. Нажмите Сохранить.
5. Выполните экспорт инцидента в НКЦКИ.

После того, как сотрудники НКЦКИ установят статус "Требуется дополнение" и вернут инцидент для дальнейшего редактирования, в личном кабинете НКЦКИ вы сможете дополнить информацию в разделе Сведения об утечке персональных данных.

Обмен сообщениями с сотрудниками НКЦКИ

После успешного экспорта инцидента в НКЦКИ в нижней части окна инцидента становится доступен чат с сотрудниками НКЦКИ. Обмениваться сообщениями можно с момента успешного экспорта инцидента до его закрытия в НКЦКИ.

Окно чата с историей сообщений и полем для ввода новых сообщений доступно в разделе окна инцидента Интеграция с НКЦКИ на вкладке Чат.

Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.

Допустимые категории и типы инцидентов НКЦКИ

В таблице ниже перечислены категории и типы инцидентов, которые можно экспортировать в НКЦКИ:

Уведомления об изменении статуса инцидента в НКЦКИ

При некоторых изменениях статуса или данных инцидента в НКЦКИ пользователи KUMA получают следующие уведомления по электронной почте:

• Уведомление о получении сообщения от НКЦКИ.
• Уведомление о запросе дополнительных данных.
• Уведомление об изменении данных инцидента в НКЦКИ.
• Уведомление об автоматическом закрытии инцидента.

Уведомления получают следующие пользователи:

• Пользователь, которому был назначен инцидент.
• Пользователь, который экспортировал инцидент в НКЦКИ.

Ретроспективная проверка

В обычном режиме коррелятор работает только с событиями, поступающими от коллекторов в реальном времени. Ретроспективная проверка позволяет применить корреляционные правила к историческим событиям, если вы хотите отладить корреляционные правила или проанализировать исторические данные.

Чтобы проверить работу правила, не обязательно воспроизводить инцидент в реальном времени – можно запускать правило в режиме Ретроспективная проверка на исторических событиях, среди которых есть интересующий инцидент.

С помощью поискового запроса вы можете определить список исторических событий, для которых будет выполнена ретроспективная проверка, задать период поиска и указать хранилище, в котором следует искать события. Можно настроить задачу таким образом, чтобы во время ретроспективной проверки событий создавались алерты и применялись правила реагирования.

При ретроспективной проверке события не обогащаются данными из CyberTrace и Kaspersky Threat Intelligence Portal.

Активные листы при ретроспективной проверке обновляются.

Ретроспективную проверку невозможно проводить на выборках событий, полученных с помощью SQL-запросов с группировкой данных и арифметическими выражениями.

Чтобы включить ретроспективную проверку:

1. В разделе События веб-интерфейса KUMA получите необходимую выборку событий:
   • Выберите хранилище.
   • Настройте поисковое выражение с помощью конструктора или поискового запроса.
   • Задайте необходимый временной период.
2. В раскрывающемся списке выберите Ретроспективная проверка.

   Откроется окно ретроспективной проверки.

3. В раскрывающемся списке Коррелятор выберите сервис коррелятора, в который будут загружены выбранные события.
4. В раскрывающемся списке Правила корреляции выберите правила корреляции, с помощью которых необходимо обработать выбранные события. Если на этом шаге не выбрано ни одного правила, проверка будет выполнена с применением всех правил корреляции.
5. Если вы хотите, чтобы в процессе обработки событий срабатывали правила реагирования, включите переключатель Выполнить правила реагирования.
6. Если вы хотите, чтобы в процессе обработки событий создавались алерты, включите переключатель Создать алерты.
7. Нажмите на кнопку Создать задачу.

В разделе Диспетчер задач создана задача ретроспективной проверки.

Чтобы просмотреть результаты проверки, в разделе Диспетчер задач веб-интерфейса KUMA нажмите на созданную вами задачу и в раскрывающемся списке выберите Перейти к событиям.

Открывается новая вкладка браузера с таблицей событий, обработанных в ходе ретроспективной проверки, а также агрегированными и корреляционными событиями, созданными во время обработки. Корреляционные события, созданные ретроспективной проверкой, имеют дополнительное поле ReplayID, в котором хранится уникальный идентификатор выполнения ретроспективной проверки. Аналитик может повторно запустить ретроспективный поиск из контекстного меню задачи. У новых корреляционных событий будет другой ReplayID.

В зависимости от настроек вашего браузера может потребоваться ваше подтверждение на открытие новой вкладки с результатами ретроспективной проверки. Подробнее см. в документации вашего браузера.