В этом разделе описаны параметры исполняемого файла KUMA /opt/kaspersky/kuma/kuma, с помощью которого можно вручную запустить или установить компоненты KUMA. Это может пригодиться в случае, если вам нужно увидеть выходные данные в консоли операционной системы сервера.

Параметры команд

Команды	Описание
`tools`	Запуск инструментов управления KUMA.
`collector`	Установка, запуск или удаление сервиса коллектора.
`core`	Установка, запуск или удаление сервиса Ядра.
`correlator`	Установка, запуск или удаление сервиса коррелятора.
`agent`	Установка, запуск или удаление сервиса агента.
`help`	Получение информации о доступных командах и параметрах.
`license`	Получение информации о лицензии.
`storage`	Запуск или установка Хранилища.
`version`	Получение информации о версии программы.

Флаги:

-h, --h используются для получения справочной информации о командах файла kuma. Например: kuma <компонент> --help.

Примеры:

kuma version – получение информации о версии установщика KUMA.
kuma core -h – получение справки по команде core установщика KUMA.
kuma collector --core <адрес сервера, где должен получить свои параметры коллектор> --id <идентификатор устанавливаемого сервиса> --api.port <порт> используется для запуска установки сервиса коллектора.

В начало

Проверка целостности файлов KUMA

Целостность компонентов KUMA проверяется с помощью набора скриптов, основанных на инструменте integrity_checker, расположенных в директории /opt/kaspersky/kuma/integrity/bin. При проверке целостности используются xml-файлы манифестов из директории /opt/kaspersky/kuma/integrity/manifest/*, защищенные криптографической подписью "Лаборатории Касперского".

Для запуска инструмента проверки целостности необходима учетная запись с правами не ниже прав учетной записи kuma.

Проверка целостности выполняется раздельно для компонентов KUMA и должна выполняться раздельно на серверах с соответствующими компонентами. При проверке целостности также проверяется целостность используемого xml-файла.

Мы рекомендуем проверять целостность компонентов KUMA на этапе запуска приложения и по расписанию. Результаты проверки следует фиксировать в журнале системного аудита. Для самотестирования приложения вы можете использовать скрипт self_test.py, который выполняет ряд проверок, помимо проверки целостности. Вы можете запросить скрипт в Службе технической поддержки.

Вы можете проверять целостность компонентов KUMA в автоматическом режиме. Для проверки целостности на этапе запуска приложения вы можете добавить запуск скриптов Bash, приведенных в инструкции, в скрипт systemd. Проверку целостности по расписанию можно настроить с помощью сторонних приложений и утилит, например с помощью утилиты Cron. Обратите внимание: так как KUMA – это распределенное, многокомпонентное решение и расположение компонентов на хостах определяется на этапе установки, настройка автоматической проверки целостности компонентов не может быть прописана в дистрибутиве решения и должна производиться на этапе развертывания.

Чтобы проверить целостность файлов компонентов:

Перейдите в директорию, содержащую набор скриптов с помощью команды:
cd /opt/kaspersky/kuma/integrity/bin
Выполните одну из команд , в зависимости от того, целостность какого компонента KUMA вы хотите проверить:
- ./check_all.sh – компоненты Ядра KUMA и хранилища;
- ./check_core.sh – компоненты Ядра KUMA;
- ./check_collector.sh – компоненты коллектора KUMA;
- ./check_correlator.sh – компоненты коррелятора KUMA;
- ./check_storage.sh – компоненты хранилища;
- ./check_kuma_exe.sh <полный путь к файлу kuma.exe без указания имени файла> – агент KUMA для Windows. Стандартное расположение исполняемого файла агента на устройстве Windows: C:\Program Files\Kaspersky Lab\KUMA\.

Целостность файлов компонентов проверена.

Результат проверки каждого компонента отображается в следующем формате:

Блок Summary описывает количество проверенных объектов со статусом проверки: целостность не подтверждена/объект пропущен/целостность подтверждена:
- Manifests – количество обработанных файлов манифеста.
- Files – количество обработанных файлов KUMA.
- Directories – при проверке целостности KUMA не используется.
- Registries – при проверке целостности KUMA не используется.
- Registry values – при проверке целостности KUMA не используется.
Результат проверки целостности компонента:
- SUCCEEDED – целостность подтверждена.
- FAILED – целостность нарушена.

В начало

Модель данных нормализованного события

В этом разделе вы можете найти модель данных нормализованного события KUMA. Все события, которые обрабатываются корреляторами KUMA с целью обнаружения алертов, должны соответствовать этой модели. Максимальный размер события, обрабатываемого коллектором KUMA: 4 МБ.

События, несовместимые с этой моделью данных, необходимо преобразовывать в этот формат (нормализовать) с помощью коллекторов.

Модель данных нормализованного события


Название поля	Тип данных		Размер поля	Описание
Назначение данных полей определено в названии поля. Поля доступны для изменения.
ApplicationProtocol	Строка	31 символ		Название протокола прикладного уровня. Например, HTTPS, SSH, Telnet.
BytesIn	Число		От -9223372036854775808 до 9223372036854775807	Количество полученных байт.
BytesOut	Число		От -9223372036854775808 до 9223372036854775807	Количество отправленных байт.
DestinationAddress	Строка		45 символов	IPv4 или IPv6-адрес актива, с которым будет выполнено действие. Например, 0.0.0.0 или xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
DestinationCity	Строка		1023 символа	Город, соответствующий IP-адресу из поля DestinationAddress.
DestinationCountry	Строка		1023 символа	Страна, соответствующая IP-адресу из поля DestinationAddress.
DestinationDnsDomain	Строка		255 символов	DNS-часть полного доменного имени точки назначения.
DestinationHostName	Строка		1023 символа	Название хоста точки назначения. FQDN точки назначения, если доступно.
DestinationLatitude	Число с плавающей точкой		От +/- 1.7E-308 до 1.7E+308	Долгота, соответствующая IP-адресу из поля DestinationAddress.
DestinationLongitude	Число с плавающей точкой		От +/- 1.7E-308 до 1.7E+308	Широта, соответствующая IP-адресу из поля DestinationAddress.
DestinationMacAddress	Строка		17 символов	MAC-адрес точки назначения. Например, aa:bb:cc:dd:ee:00
DestinationNtDomain	Строка		255 символов	Windows Domain Name точки назначения.
DestinationPort	Число		От -9223372036854775808 до 9223372036854775807	Номер порта точки назначения.
DestinationProcessID	Число		От -9223372036854775808 до 9223372036854775807	Идентификатор системного процесса, зарегистрированный на точке назначения.
DestinationProcessName	Строка		1023 символа	Название системного процесса, зарегистрированного на точке назначения. Например, sshd, telnet.
DestinationRegion	Строка		1023 символа	Регион, соответствующий IP-адресу из поля DestinationAddress.
DestinationServiceName	Строка		1023 символа	Название сервиса или службы на стороне точки назначения. Например, sshd.
DestinationTranslatedAddress	Строка		45 символов	IPv4 или IPv6-адрес точки назначения после трансляции. Например. 0.0.0.0 или xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
DestinationTranslatedPort	Число		От -9223372036854775808 до 9223372036854775807	Номер порта на точке назначения после трансляции.
DestinationUserID	Строка		1023 символа	Идентификатор пользователя точки назначения.
DestinationUserName	Строка		1023 символа	Имя пользователя точки назначения.
DestinationUserPrivileges	Строка		1023 символа	Названия ролей, которые идентифицируют пользовательские привилегии точки назначения. Например, User, Guest, Administrator и т.п.
DeviceAction	Строка		63 символа	Действие, которое было предпринято источником события. Например, blocked, detected.
DeviceAddress	Строка		45 символов	IPv4 или IPv6-адрес устройства, с которого было получено событие. Например, 0.0.0.0 или xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
DeviceCity	Строка		1023 символа	Город, соответствующий IP-адресу из поля DeviceAddress.
DeviceCountry	Строка		1023 символа	Страна, соответствующая IP-адресу из поля DeviceAddress.
DeviceDnsDomain	Строка		255 символов	DNS-часть полного доменного имени устройства, с которого было получено событие.
DeviceEventClassID	Строка		1023 символа	Идентификатор типа события, присвоенный источником события.
DeviceExternalID	Строка		255 символов	Идентификатор устройства или продукта, присвоеный источником события.
DeviceFacility	Строка		1023 символа	Значение параметра facility, установленное источником события.
DeviceHostName	Строка		100 символов	Имя устройства, с которого было получено событие. FQDN устройства, если доступно.
DeviceInboundinterface	Строка		128 символов	Название интерфейса входящего соединения.
DeviceLatitude	Число с плавающей точкой		От +/- 1.7E-308 до 1.7E+308	Долгота, соответствующая IP-адресу из поля DeviceAddress.
DeviceLongitude	Число с плавающей точкой		От +/- 1.7E-308 до 1.7E+308	Широта, соответствующая IP-адресу из поля DeviceAddress
DeviceMacAddress	Строка		17 символов	MAC-адрес устройства, с которого было получено событие. Например, aa:bb:cc:dd:ee:00
DeviceNtDomain	Строка		255 символов	Windows Domain Name устройства.
DeviceOutboundinterface	Строка		128 символов	Название интерфейса исходящего соединения.
DevicePayloadID	Строка		128 символов	Уникальный идентификатор полезной нагрузки (Payload), который ассоциирован с raw-событием.
DeviceProcessID	Число		От -9223372036854775808 до 9223372036854775807	Идентификатор системного процесса на устройстве, которое сгенерировало событие.
DeviceProcessName	Строка		1023 символа	Название процесса.
DeviceProduct	Строка		63 символа	Название продукта, сформировавшего событие. DeviceVendor, DeviceProduct и DeviceVersion однозначно идентифицируют источник журнала.
DeviceReceiptTime	Число		От -9223372036854775808 до 9223372036854775807	Время получения события устройством.
DeviceRegion	Строка		1023 символа	Регион, соответствующий IP-адресу из поля DeviceAddress.
DeviceTimeZone	Строка		255 символов	Временная зона устройства, на котором было создано событие.
DeviceTranslatedAddress	Строка		45 символов	Ретранслированный IPv4 или IPv6-адрес устройства, с которого поступило событие. Например, 0.0.0.0 или xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
DeviceVendor	Строка		63 символа	Название производителя источника события. DeviceVendor, DeviceProduct и DeviceVersion однозначно идентифицируют источник журнала.
DeviceVersion	Строка		31 символ	Версия продукта источника события. DeviceVendor, DeviceProduct и DeviceVersion однозначно идентифицируют источник журнала.
EndTime	Число		От -9223372036854775808 до 9223372036854775807	Дата и время (timestamp) завершения события.
EventOutcome	Строка		63 символа	Результат выполнения операции. Например, success, failure.
ExternalID	Строка		40 символов	Поле в которое может быть сохранён идентификатор.
FileCreateTime	Число		От -9223372036854775808 до 9223372036854775807	Время создания файла.
FileHash	Строка		255 символов	Хэш-сумма файла. Пример: CA737F1014A48F4C0B6DD43CB177B0AFD9E5169367544C494011E3317DBF9A509CB1E5DC1E85A941BBEE3D7F2AFBC9B1
FileID	Строка		1023 символа	Значение идентификатора файла.
FileModificationTime	Число		От -9223372036854775808 до 9223372036854775807	Время последнего изменения файла.
FileName	Строка		1023 символа	Имя файла, без указания пути к файлу.
FilePath	Строка		1023 символа	Путь к файлу, включая имя файла.
FilePermission	Строка		1023 символа	Список разрешений файла.
FileSize	Число		От -9223372036854775808 до 9223372036854775807	Размер файла.
FileType	Строка		1023 символа	Тип файла.
Message	Строка		1023 символа	Краткое описание события.
Name	Строка		512 символов	Название события.
OldFileCreateTime	Число		От -9223372036854775808 до 9223372036854775807	Время создания OLD-файла из события. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя.
OldFileHash	Строка		255 символов	Хэш-сумма OLD-файла. Пример: CA737F1014A48F4C0B6DD43CB177B0AFD9E5169367544C494011E3317DBF9A509CB1E5DC1E85A941BBEE3D7F2AFBC9B1
OldFileID	Строка		1023 символа	Идентификатор OLD-файла.
OldFileModificationTime	Число		От -9223372036854775808 до 9223372036854775807	Время последнего изменения OLD-файла.
OldFileName	Строка		1023 символа	Имя OLD-файла (без пути).
OldFilePath	Строка		1023 символа	Путь к OLD-файлу, включая имя файла.
OldFilePermission	Строка		1023 символа	Список разрешений OLD-файла.
OldFileSize	Число		От -9223372036854775808 до 9223372036854775807	Размер OLD-файла.
OldFileType	Строка		1023 символа	Тип OLD-файла.
Reason	Строка		1023 символа	Информация о причине возникновения события.
RequestClientApplication	Строка		1023 символа	Значение параметра "user-agent" http-запроса.
RequestContext	Строка		2048 символа	Описание контекста http-запроса.
RequestCookies	Строка		1023 символа	Cookies, связанные с http-запросом.
RequestMethod	Строка		1023 символа	Метод, который использовался при выполнении http-запроса.
RequestUrl	Строка		1023 символа	Запрошенный URL.
Severity	Строка		1023 символа	Приоритет. Это может быть поле Severity или поле Level исходного события.
SourceAddress	Строка		45 символов	IPv4 или IPv6-адрес источника. Пример формата: 0.0.0.0 или xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
SourceCity	Строка		1023 символа	Город, соответствующий IP-адресу из поля SourceAddress.
SourceCountry	Строка		1023 символа	Страна, соответствующая IP-адресу из поля SourceAddress.
SourceDnsDomain	Строка		255 символов	DNS-часть полного доменного имени источника.
SourceHostName	Строка		1023 символа	Доменное имя Windows-устройства источника события.
SourceLatitude	Число с плавающей точкой		От +/- 1.7E-308 до 1.7E+308	Долгота, соответствующая IP-адресу из поля SourceAddress.
SourceLongitude	Число с плавающей точкой		От +/- 1.7E-308 до 1.7E+308	Широта, соответствующая IP-адресу из поля SourceAddress.
SourceMacAddress	Строка		17 символов	MAC-адрес источника. Пример формата: aa:bb:cc:dd:ee:00
SourceNtDomain	Строка		255 символов	Windows Domain Name источника.
SourcePort	Число		От -9223372036854775808 до 9223372036854775807	Номер порта источника.
SourceProcessID	Число		От -9223372036854775808 до 9223372036854775807	Идентификатор системного процесса.
SourceProcessName	Строка		1023 символа	Название системного процесса на источнике. Например, sshd, telnet и т.п.
SourceRegion	Строка		1023 символа	Регион, соответствующий IP-адресу из поля SourceAddress.
SourceServiceName	Строка		1023 символа	Название сервиса или службы на стороне источника. Например, sshd.
SourceTranslatedAddress	Строка		45 символов	IPv4 или IPv6-адрес источника после трансляции. Пример формата: 0.0.0.0 или xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
SourceTranslatedPort	Число		От -9223372036854775808 до 9223372036854775807	Номер порта на источнике после трансляции.
SourceUserID	Строка		1023 символа	Идентификатор пользователя источника.
SourceUserName	Строка		1023 символа	Имя пользователя источника.
SourceUserPrivileges	Строка		1023 символа	Названия ролей, которые идентифицируют пользовательские привилегии источника. Например, User, Guest, Administrator и т.п.
StartTime	Число		От -9223372036854775808 до 9223372036854775807	Дата и время (timestamp) в которые, началась активность, связанная с событием.
Tactic	Строка		128 символов	Название тактики из матрицы MITRE ATT&CK.
Technique	Строка		128 символов	Название техники из матрицы MITRE ATT&CK.
TransportProtocol	Строка		31 символ	Название протокола Транспортного уровня сетевой модели OSI (TCP, UDP и т.п.).
Type	Число		От -9223372036854775808 до 9223372036854775807	Тип события: 1 – базовое, 2 - агрегированное, 3 - корреляционное, 4 - аудит, 5 - мониторинг.
Поля, назначение которых может быть определено пользователем. Поля доступны для изменения.
DeviceCustomDate1	Число, timestamp		От -9223372036854775808 до 9223372036854775807	Поле для маппинга значения даты и времени (timestamp). Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя.
DeviceCustomDate1Label	Строка		1023 символа	Поле для описания назначения поля DeviceCustomDate1.
DeviceCustomDate2	Число, timestamp		От -9223372036854775808 до 9223372036854775807	Поле для маппинга значения даты и времени (timestamp). Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя.
DeviceCustomDate2Label	Строка		1023 символа	Поле для описания назначения поля DeviceCustomDate2.
DeviceCustomFloatingPoint1	Число с плавающей точкой		От +/- 1.7E-308 до 1.7E+308	Поле для маппинга чисел с плавающей точкой.
DeviceCustomFloatingPoint1Label	Строка		1023 символа	Поле для описания назначения поля DeviceCustomFloatingPoint1.
DeviceCustomFloatingPoint2	Число с плавающей точкой		От +/- 1.7E-308 до 1.7E+308	Поле для маппинга чисел с плавающей точкой.
DeviceCustomFloatingPoint2Label	Строка		1023 символа	Поле для описания назначения поля DeviceCustomFloatingPoint2.
DeviceCustomFloatingPoint3	Число с плавающей точкой		От +/- 1.7E-308 до 1.7E+308	Поле для маппинга чисел с плавающей точкой.
DeviceCustomFloatingPoint3Label	Строка		1023 символа	Поле для описания назначения поля DeviceCustomFloatingPoint3.
DeviceCustomFloatingPoint4	Число с плавающей точкой		От +/- 1.7E-308 до 1.7E+308	Поле для маппинга чисел с плавающей точкой.
DeviceCustomFloatingPoint4Label	Строка		1023 символа	Поле для описания назначения поля DeviceCustomFloatingPoint4.
DeviceCustomIPv6Address1	Строка		45 символов	Поле для маппинга значения IPv6 address. Пример формата: y:y:y:y:y:y:y:y
DeviceCustomIPv6Address1Label	Строка		1023 символа	Поле для описания назначения поля DeviceCustomIPv6Address1.
DeviceCustomIPv6Address2	Строка		45 символов	Поле для маппинга значения IPv6 address. Пример формата: y:y:y:y:y:y:y:y
DeviceCustomIPv6Address2Label	Строка		1023 символа	Поле для описания назначения поля DeviceCustomIPv6Address2.
DeviceCustomIPv6Address3	Строка		45 символов	Поле для маппинга значения IPv6 address. Пример формата: y:y:y:y:y:y:y:y
DeviceCustomIPv6Address3Label	Строка		1023 символа	Поле для описания назначения поля DeviceCustomIPv6Address3.
DeviceCustomIPv6Address4	Строка		45 символов	Поле для маппинга значения IPv6 address. Например, y:y:y:y:y:y:y:y
DeviceCustomIPv6Address4Label	Строка		1023 символа	Поле для описания назначения поля DeviceCustomIPv6Address4.
DeviceCustomNumber1	Число		От -9223372036854775808 до 9223372036854775807	Поле для маппинга целочисленного значения.
DeviceCustomNumber1Label	Строка		1023 символа	Поле для описания назначения поля DeviceCustomNumber1.
DeviceCustomNumber2	Число		От -9223372036854775808 до 9223372036854775807	Поле для маппинга целочисленного значения.
DeviceCustomNumber2Label	Строка		1023 символа	Поле для описания назначения поля DeviceCustomNumber2.
DeviceCustomNumber3	Число		От -9223372036854775808 до 9223372036854775807	Поле для маппинга целочисленного значения.
DeviceCustomNumber3Label	Строка		1023 символа	Поле для описания назначения поля DeviceCustomNumber3.
DeviceCustomString1	Строка		4000 символов	Поле для маппинга строкового значения.
DeviceCustomString1Label	Строка		1023 символа	Поле для описания назначения поля DeviceCustomString1.
DeviceCustomString2	Строка		4000 символов	Поле для маппинга строкового значения.
DeviceCustomString2Label	Строка		1023 символа	Поле для описания назначения поля DeviceCustomString2.
DeviceCustomString3	Строка		4000 символов	Поле для маппинга строкового значения.
DeviceCustomString3Label	Строка		1023 символа	Поле для описания назначения поля DeviceCustomString3.
DeviceCustomString4	Строка		4000 символов	Поле для маппинга строкового значения.
DeviceCustomString4Label	Строка		1023 символа	Поле для описания назначения поля DeviceCustomString4.
DeviceCustomString5	Строка		4000 символов	Поле для маппинга строкового значения.
DeviceCustomString5Label	Строка		1023 символа	Поле для описания назначения поля DeviceCustomString5.
DeviceCustomString6	Строка		4000 символов	Поле для маппинга строкового значения.
DeviceCustomString6Label	Строка		1023 символа	Поле для описания назначения поля DeviceCustomString6.
DeviceDirection	Число		От -9223372036854775808 до 9223372036854775807	Поле для описания направления соединения события. "0" - входящее соединение, "1" - исходящее соединение.
DeviceEventCategory	Строка		1023 символа	Категория события, присвоенная устройством, направившим событие в SIEM.
FlexDate1	Число, timestamp		От -9223372036854775808 до 9223372036854775807	Поле для маппинга значения даты и времени (timestamp). Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя.
FlexDate1Label	Строка		128 символов	Поле для описания назначения поля FlexDate1Label.
FlexNumber1	Число		От -9223372036854775808 до 9223372036854775807	Поле для маппинга целочисленного значения.
FlexNumber1Label	Строка		128 символов	Поле для описания назначения поля FlexNumber1Label.
FlexNumber2	Число		От -9223372036854775808 до 9223372036854775807	Поле для маппинга целочисленного значения.
FlexNumber2Label	Строка		128 символов	Поле для описания назначения поля FlexNumber2Label.
FlexString1	Строка		1023 символа	Поле для маппинга строкового значения.
FlexString1Label	Строка		128 символов	Поле для описания назначения поля FlexString1Label.
FlexString2	Строка		1023 символа	Поле для маппинга строкового значения.
FlexString2Label	Строка		128 символов	Поле для описания назначения поля FlexString2Label.
Служебные поля. Недоступны для редактирования.
AffectedAssets	Вложенная структура [Affected]		-	Вложенная структура, из которой можно обратиться к связанным с алертом активам и учетным записям, а также узнать, сколько раз они фигурируют в событиях алерта.
AggregationRuleID	Строка		-	Идентификатор аггрегационного правила.
AggregationRuleName	Строка		-	Название агрегационного правила, которое обработало событие.
BaseEventCount	Число		-	Для агрегированного базового события — количество базовых событий, которые были обработаны аггрегационным правилом. Для корреляционного события — это количество базовых событий, которые были обработаны корреляционным правилом, которое создало корреляционное событие.
BaseEvents	Вложенный список [Event]		-	Вложенная структура со списком базовых событий. Поле может быть заполнено у корреляционных событий.
Code	Строка		-	В базовом событии это код возврата процесса, функции или операции из источника.
CorrelationRuleID	Строка		-	ID корреляционного правила.
CorrelationRuleName	Строка		-	Название корреляционного правила, в результате срабатывания которого было создано корреляционное событие. Заполняется только для корреляционных событий.
DestinationAccountID	Строка		-	Поле хранит идентификатор пользователя.
DestinationAssetID	Строка		-	Поле хранит идентификатор актива точки назначения.
DeviceAssetID	Строка		-	Поле хранит идентификатор актива, направившего событие в SIEM.
Extra	Вложенный словарь [строка:строка]		-	Поле, в которое во время нормализации сырого события можно поместить те его поля, для которых не настроено сопоставление с полями события KUMA. Это поле может быть заполнено только у базовых событий. Максимальный размер поля — 4 МБ.
GroupedBy	Строка		-	Список названия полей, по которым была группировка в корреляционном правиле. Заполняется только для корреляционного события.
ID	Строка		-	Уникальный идентификатор события типа UUID. Для базового события, генерируемого на коллекторе, идентификатор гененирует коллектор. Идентификатор корреляционного события генерирует коррелятор. Идентификатор никогда не меняет своего значения.
Raw	Строка		-	Не нормализованный текст исходного сырого события. Максимальный размер поля — 16 384 байт.
ReplayID	Строка		-	Идентификатор ретроспективной проверки, в процессе которой было создано событие.
ServiceID	Строка		-	Идентификатор экземпляра сервиса: коррелятора, коллектора, хранилища.
ServiceName	Строка		-	Название экземпляра микросервиса, которое пристваивает администратор KUMA при создании микросервиса.
SourceAccountID	Строка		-	Поле хранит идентификатор пользователя.
SourceAssetID	Строка		-	Поле хранит идентификатор актива источника событий.
SpaceID	Строка		-	Идентификатор пространства.
TenantID	Строка		-	Поле хранит идентификатор тенанта.
TI	Вложенный словарь [строка:строка]		-	Поле, в котором в формате словаря содержатся категории, полученные от внешнего источника Threat Intelligence по индикаторам из события.
TICategories	map[строка]		-	Поле, содержит категории, полученные от внешнего TI-поставщика по индикаторам, содержащимся в событии.
Timestamp	Число		-	Время создания базового события на коллекторе. Время создания корреляционного события на коррелляторе. Время указывается в UTC0. В веб-интерфейсе KUMA значение отображается по часовому поясу браузера пользователя.

Вложенная структура Affected

Поле	Тип данных	Описание
`Assets`	Вложенный список `[AffectedRecord]`	Перечень и количество связанных с алертом активов.
`Accounts`	Вложенный список `[AffectedRecord]`	Перечень и количество связанных с алертом учетных записей.

Вложенная структура AffectedRecord

Поле	Тип данных	Описание
`Value`	Строка	Идентификатор актива или учетной записи.
`Count`	Число	Количество раз актив или учетная запись фигурирует в связанных с алертом событиях.

Поля, формируемые KUMA

KUMA формирует следующие поля, не подлежащие изменениям: BranchID, BranchName, DestinationAccountName, DestinationAssetName, DeviceAssetName, SourceAccountName, SourceAssetName, TenantID (в поле отображается название тенанта - обогащенное значение, при этом для поиска по базе данных используется идентификатор тенанта).

В начало

Настройка модели данных нормализованного события из KATA EDR

Для расследования данных необходимо, чтобы идентификаторы события и процесса KATA/EDR попадали в определенные поля нормализованного события. Для построения дерева процессов для событий, поступающих из KATA/EDR, необходимо настроить копирование данных из полей исходных событий в поля нормализованного события в нормализаторах в KUMA следующим образом:

Для любых событий KATA/EDR должна быть настроена нормализация с копированием следующих полей:
- поле события KATA/EDR EventType должно копироваться в поле нормализованного события KUMA DeviceEventCategory;
- поле события KATA/EDR HostName должно копироваться в поле нормализованного события KUMA DeviceHostName.

Для любого события, где поле DeviceProduct = 'KATA' должна быть настроена нормализация в соответствии таблице ниже.

Нормализация полей событий из KATA/EDR

Поле в событии KATA/EDR	Поле нормализованного события
IOATag	DeviceCustomIPv6Address2
IOATag	IOATag
IOAImportance	DeviceCustomIPv6Address1
IOAImportance	IOAImportance
FilePath	FilePath
FileName	FileName
Md5	FileHash
FileSize	FileSize

Для событий, перечисленными в таблице ниже, должна быть настроена дополнительная нормализация с копированием полей в соответствии с таблицей.

Дополнительная нормализация с копированием полей событий из KATA/EDR

Событие	Поле исходного события	Поле нормализованного события
Process	UniqueParentPid	FlexString1
	UniquePid	FlexString2
	HostName	DeviceHostName
	FileName	FileName
AppLock	UniquePid	FlexString2
	HostName	DeviceHostName
	FileName	FileName
BlockedDocument	UniquePid	FlexString2
	HostName	DeviceHostName
	FileName	FileName
Module	UniquePid	FlexString2
	HostName	DeviceHostName
	FileName	FileName
FileChange	UniquePid	FlexString2
	HostName	DeviceHostName
	FileName	FileName
Driver	HostName	DeviceHostName
	FileName	FileName
	ProductName	DeviceCustomString5,
	ProductName	ProductName
	ProductVendor	DeviceCustomString6
	ProductVendor	ProductVendor
Connection	UniquePid	FlexString2
	HostName	DeviceHostName
	URI	RequestURL
	RemoteIP	DestinationAddress
	RemotePort	DestinationPort
PortListen	UniquePid	FlexString2
	HostName	DeviceHostName
	LocalIP	SourceAddress
	LocalPort	SourcePort
Registry	UniquePid	FlexString2
	HostName	DeviceHostName
	ValueName	DeviceCustomString5
	ValueName	New Value Name
	KeyName	DeviceCustomString4
	KeyName	New Key Name
	PreviousKeyName	FlexString2
	PreviousKeyName	Old Key Name
	ValueData	DeviceCustomString6
	ValueData	New Value Data
	PreviousValueData	FlexString1
	PreviousValueData	Old Value Data
	ValueType	FlexNumber1
	ValueType	Value Type
	PreviousValueType	FlexNumber2
	PreviousValueType	Previous Value Type
SystemEventLog	UniquePid	FlexString2
	HostName	DeviceHostName
	OperationResult	EventOutcome
	EventId	DeviceCustomNumber3
	EventId	EventId
	EventRecordId	DeviceCustomNumber2
	EventRecordId	EventRecordId
	Channel	DeviceCustomString6
	Channel	Channel
	ProviderName	SourceUserID
ThreatDetect	UniquePid	FlexString2
	HostName	DeviceHostName
	VerdictName	EventOutcome
	DetectedObjectType	OldFileType
	isSilent	FlexString1
	isSilent	Is Silent
	RecordId	DeviceCustomString5
	RecordId	Record ID
	DatabaseTimestamp	DeviceCustomDate2
	DatabaseTimestamp	Database Timestamp
ThreatDetectProcessingResult	UniquePid	FlexString2
	HostName	DeviceHostName
	ThreatStatus	DeviceCustomString5
	ThreatStatus	Threat Status
PROCESS_INTERPRET_FILE_RUN	UniquePid	FlexString2
	HostName	DeviceHostName
	FileName	FileName
	InterpretedFilePath	OldFilePath
	InterpretedFileSize	OldFileSize
	InterpretedFileHash	OldFileHash
PROCESS_CONSOLE_INTERACTIVE_INPUT	UniquePid	FlexString2
	HostName	DeviceHostName
	InteractiveInputText	DeviceCustomString4
	InteractiveInputText	Command Line
AMSI SCAN	UniquePid	FlexString2
	HostName	DeviceHostName
	ObjectContent	DeviceCustomString5
	ObjectContent	Object Content

В начало

Модель данных алерта

В этом разделе описана модель данных алерта KUMA. Алерты создаются корреляторами при выявлении с помощью правил корреляции угроз безопасности информации. Алерты необходимо расследовать для устранения этих угроз.

Поле алерта	Тип данных	Описание
`ID`	Строка	Уникальный идентификатор алерта.
`TenantID`	Строка	Идентификатор тенанта, которому принадлежит алерт. Значение наследуется от коррелятора, создавшего алерт.
`TenantName`	Строка	Название тенанта.
`CorrelationRuleID`	Строка	Идентификатор правила, на основании которого был создан алерт.
`CorrelationRuleName`	Строка	Название правила корреляции, на основании которого был создан алерт.
`Status`	Строка	Статус алерта. Возможные значения: `New` – новый алерт. `Assigned` – алерт назначен пользователю. `Closed` – алерт закрыт. `Exported to IRP` – алерт выгружен IRP-систему для дальнейшего расследования. `Escalated` – на основе алерта создан инцидент.
`Priority`	Число	Уровень важности алерта. Возможные значения: 1–4 – Низкий. 5–8 – Средний. 9–12 – Высокий. 13–16 – Критический.
`ManualPriority`	Строка `TRUE/FALSE`	Параметр, показывающий, как был определен уровень важности алерта. Возможные значения: `true` – задан пользователем. `false` (значение по умолчанию) – рассчитан автоматически.
`FirstSeen`	Число	Время создания первого корреляционного события из алерта.
`LastSeen`	Число	Время создания последнего корреляционного события из алерта.
`UpdatedAt`	Число	Дата последнего изменения параметров алерта.
`UserID`	Строка	Идентификатор пользователя KUMA, которому алерт назначен на рассмотрение.
`UserName`	Строка	Имя пользователя KUMA, которому алерт назначен на рассмотрение.
`GroupedBy`	Вложенный список строк	Перечень полей событий, по которым группировались событий в правиле корреляции.
`ClosingReason`	Строка	Причина закрытия алерта. Возможные значения: `Incorrect Correlation Rule` – алерт был ложным, а полученные события не указывают на угрозу безопасности. Возможно, требуется коррекция правила корреляции. `Incorrect Data` – алерт был ложным, а полученные события не указывают на угрозу безопасности. `Responded` – были приняты необходимые меры по устранению угрозы безопасности.
`Overflow`	Строка `TRUE/FALSE`	Признак, обозначающий что алерт переполнен, то есть размер алерта и привязанных к нему событий превышает 16 МБ. Возможные значения: `true` `false`
`MaxAssetsWeightStr`	Строка	Максимальный уровень важности категорий активов, связанных с алертом.
`IntegrationID`	Строка	Идентификатор алерта в программе IRP / SOAR, если в KUMA настроена интеграция с такой программой.
`ExternalReference`	Строка	Ссылка на раздел в программе IRP / SOAR, в котором отображаются сведения об импортированном из KUMA алерте.
`IncidentID`	Строка	Идентификатор инцидента, к которому привязан алерт.
`IncidentName`	Строка	Название инцидента, к которому привязан алерт.
`SegmentationRuleName`	Строка	Название правила сегментации, по которому корреляционные события сгруппированы в алерте.
`BranchID`	Строка	Идентификатор ветви иерархии, в которой был создан алерт. Указывается при иерархическом развертывании KUMA.
`BranchName`	Строка	Название ветви иерархии, в которой был создан алерт. Указывается при иерархическом развертывании KUMA.
`Actions`	Вложенная структура `[Action]`	Вложенная структура со строками, в которых указаны изменения статусов и назначений алерта, пользовательские комментарии.
`Events`	Вложенная структура `[EventWrapper]`	Вложенная структура, из которой можно обратиться к связанным с алертом корреляционным событиям.
`Assets`	Вложенная структура `[Asset]`	Вложенная структура, из которой можно обратиться к связанным с алертом активам.
`Accounts`	Вложенная структура `[Account]`	Вложенная структура, из которой можно обратиться к связанным с алертом учетным записям.
`AffectedAssets`	Вложенная структура `[Affected]`	Вложенная структура, из которой можно обратиться к связанным с алертам активам и учетным записям, а также узнать, сколько раз они фигурируют в событиях алерта.

Вложенная структура Affected

Поле	Тип данных	Описание
`Assets`	Вложенный список `[AffectedRecord]`	Перечень и количество связанных с алертом активов.
`Accounts`	Вложенный список `[AffectedRecord]`	Перечень и количество связанных с алертом учетных записей.

Вложенная структура AffectedRecord

Поле	Тип данных	Описание
`Value`	Строка	Идентификатор актива или учетной записи.
`Count`	Число	Количество раз актив или учетная запись фигурирует в связанных с алертом событиях.

Вложенная структура EventWrapper

Поле	Тип данных	Описание
`Event`	Вложенная структура `[Event]`	Поля события.
`Comment`	Строка	Комментарий, добавленный при добавлении событий к алерту.
`LinkedAt`	Число	Дата добавления событий к алерту.

Вложенная структура Action

Поле	Тип данных	Описание
`CreatedAt`	Число	Дата, когда действие над алертом было произведено.
`UserID`	Строка	Идентификатор пользователя.
`Kind`	Строка	Тип действия.
`Value`	Строка	Значение.
`Event`	Вложенная структура `[Event]`	Поля события.
`ClusterID`	Строка	Идентификатор кластера.

В начало

Модель данных актива

Структура актива представлена полями, в которых содержатся значения. Поля также могут содержать вложенные структуры.

Поле актива	Тип значения	Описание
`ID`	Строка	Идентификатор актива.
`TenantName`	Строка	Название тенанта.
`DeletedAt`	Число	Дата удаления актива.
`CreatedAt`	Число	Дата создания актива.
`TenantID`	Строка	Идентификатор тенанта.
`DirectCategories`	Вложенный список строк	Категории актива.
`CategoryModels`	Вложенная структура `[Category]`	Изменение категорий актива.
`AffectedByIncidents`	Вложенный словарь: `[строка:строка TRUE/FALSE]`	Идентификаторы инцидентов.
`IPAddress`	Вложенный список строк	IP-адреса актива.
`FQDN`	Строка	FQDN актива.
`Weight`	Число	Уровень важности актива.
`Deleted`	Строка со значениями `TRUE/FALSE`	Помечен ли актив на удаление из KUMA.
`UpdatedAt`	Число	Дата последнего обновления актива.
`MACAddress`	Вложенный список строк	MAC-адреса актива.
`IPAddressInt`	Вложенный список чисел	IP-адрес в виде числа.
`Owner`	Вложенная структура `[OwnerInfo]`	Сведения о владельце актива.
`OS`	Вложенная структура `[OS]`	Сведения об операционной системы актива.
`DisplayName`	Строка	Название актива.
`APISoft`	Вложенная структура `[Software]`	ПО, установленное на активе.
`APIVulns`	Вложенная структура `[Vulnerability]`	Уязвимости актива.
`KICSServerIp`	Строка	IP-адрес сервера KICS/KATA.
`KICSConnectorID`	Число	Идентификатор коннектора KICS/KATA.
`KICSDeviceID`	Число	Идентификатор актива в KICS/KATA.
`KICSStatus`	Строка	Статус актива в KICS/KATA.
`KICSHardware`	Вложенная структура `[KICSSystemInfo]`	Аппаратные сведения об активе, полученные из KICS/KATA.
`KICSSoft`	Вложенная структура `[KICSSystemInfo]`	Сведения о ПО актива, полученные из KICS/KATA.
`KICSRisks`	Вложенная структура `[KICSRisk]`	Сведения об уязвимостях актива, полученные из KICS/KATA.
`Sources`	Вложенная структура `[Sources]`	Основные сведения об активе, поступавшие из разных источников.
`FromKSC`	Строка со значениями `TRUE/FALSE`	Индикатор, указывающий, что сведения об активе импортированы из KSC.
`NAgentID`	Строка	Идентификатор агента KSC, от которого получены сведения об активе.
`KSCServerFQDN`	Строка	FQDN сервера KSC.
`KSCInstanceID`	Строка	Идентификатор экземпляра KSC.
`KSCMasterHostname`	Строка	Имя хоста сервера KSC.
`KSCGroupID`	Число	Идентификатор группы KSC.
`KSCGroupName`	Строка	Название группы KSC.
`LastVisible`	Число	Дата, когда от KSC в последний раз были получены сведения об активе.
`Products`	Вложенный словарь: `[строка:вложенная структура [ProductInfo]]`	Сведения об установленных на активе приложениях Kaspersky, полученные из KSC.
`Hardware`	Вложенная структура `[Hardware]`	Аппаратные сведения об активе, полученные из KSC.
`KSCSoft`	Вложенная структура `[Software]`	Сведения о ПО актива, полученные из KSC.
`KSCVulns`	Вложенная структура `[Vulnerability]`	Сведения об уязвимостях актива, полученные из KSC.

Вложенная структура Category

Поле	Тип значения	Описание
`ID`	Строка	Идентификатор категории.
`TenantID`	Строка	Идентификатор тенанта.
`TenantName`	Строка	Название тенанта.
`Parent`	Строка	Родительская категория.
`Path`	Вложенный список строк	Структура категорий.
`Name`	Строка	Название категории.
`UpdatedAt`	Число	Последнее обновление категории.
`CreatedAt`	Число	Дата создания категории.
`Description`	Строка	Описание категории.
`Weight`	Число	Уровень важности категории.
`CategorizationKind`	Строка	Тип присвоения категории активам.
`CategorizationAt`	Число	Дата категоризации.
`CategorizationInterval`	Строка	Интервал присвоения категорий.

Вложенная структура OwnerInfo

Поле	Тип значения	Описание
`DisplayName`	Строка	Имя владельца актива.

Вложенная структура OS

Поле	Тип значения	Описание
`Name`	Строка	Название операционной системы.
`BuildNumber`	Число	Версия операционной системы.

Вложенная структура Software

Поле	Тип значения	Описание
`DisplayName`	Строка	Название ПО.
`DisplayVersion`	Строка	Версия ПО.
`Publisher`	Строка	Издатель ПО.
`InstallDate`	Строка	Дата установки.
`HasMSIInstaller`	Строка `TRUE/FALSE`	Признак, имеет ли ПО MSI-установщик.

Вложенная структура Vulnerability

Поле	Тип значения	Описание
`KasperskyID`	Строка	Идентификатор уязвимости, присвоенный Kaspersky.
`ProductName`	Строка	Название ПО.
`DescriptionURL`	Строка	URL с описанием уязвимости.
`RecommendedMajorPatch`	Строка	Рекомендуемое обновление.
`RecommendedMinorPatch`	Строка	Рекомендуемое обновление.
`SeverityStr`	Строка	Уровень важности уязвимости.
`Severity`	Число	Уровень важности уязвимости.
`CVE`	Вложенный список строк	Идентификатор уязвимости CVE.
`ExploitExists`	Строка `TRUE/FALSE`	Существует ли эксплойт.
`MalwareExists`	Строка `TRUE/FALSE`	Существует ли вредоносная программа.

Вложенная структура KICSSystemInfo

Поле	Тип значения	Описание
`Model`	Строка	Модель устройства.
`Version`	Строка	Версия устройства.
`Vendor`	Строка	Производитель.

Вложенная структура KICSRisk

Поле	Тип значения	Описание
`ID`	Число	Идентификатор риска KICS/KATA.
`Name`	Строка	Название риска.
`Category`	Строка	Тип риска.
`Description`	Строка	Описание риска.
`DescriptionUrl`	Строка	Ссылка на описание риска.
`Severity`	Число	Уровень важности риска.
`Cvss`	Число	Оценка CVSS.

Вложенная структура Sources

Поле	Тип значения	Описание
`KSC`	Вложенная структура `[SourceInfo]`	Сведения об активе, поступившие из KSC.
`API`	Вложенная структура `[SourceInfo]`	Сведения об активе, поступившие через REST API.
`Manual`	Вложенная структура `[SourceInfo]`	Сведения об активе, введенные вручную.
`KICS`	Вложенная структура `[SourceInfo]`	Сведения об активе, поступившие из KICS /KATA.

Вложенная структура Sources

Поле	Тип значения	Описание
`MACAddress`	Вложенный список строк	MAC-адреса актива.
`IPAddressInt`	Вложенный список чисел	IP-адрес в виде числа.
`Owner`	Вложенная структура `[OwnerInfo]`	Сведения о владельце актива.
`OS`	Вложенная структура `[OS]`	Сведения об операционной системы актива.
`DisplayName`	Строка	Название актива.
`IPAddress`	Вложенный список строк	IP-адреса актива.
`FQDN`	Строка	FQDN актива.
`Weight`	Число	Уровень важности актива.
`Deleted`	Строка со значениями `TRUE/FALSE`	Помечен ли актив на удаление из KUMA.
`UpdatedAt`	Число	Дата последнего обновления актива.

Вложенная структура ProductInfo

Поле	Тип значения	Описание
`ProductVersion`	Строка	Версия ПО.
`ProductName`	Строка	Название ПО.

Вложенная структура Hardware

Поле	Тип значения	Описание
`NetCards`	Вложенная структура `[NetCard]`	Перечень сетевых карт актива.
`CPU`	Вложенная структура `[CPU]`	Перечень процессоров актива.
`RAM`	Вложенная структура `[RAM]`	Перечень ОЗУ актива.
`Disk`	Вложенная структура `[Disk]`	Перечень дисков актива.

Вложенная структура NetCard

Поле	Тип значения	Описание
`ID`	Строка	Идентификатор сетевой карты.
`MACAddresses`	Вложенный список строк	MAC-адреса сетевой карты.
`Name`	Строка	Название сетевой карты.
`Manufacture`	Строка	Производитель сетевой карты.
`DriverVersion`	Строка	Версия драйвера.

Вложенная структура RAM

Поле	Тип значения	Описание
`Frequency`	Строка	Частота ОЗУ.
`TotalBytes`	Число	Объем ОЗУ в байтах.

Вложенная структура CPU

Поле	Тип значения	Описание
`ID`	Строка	Идентификатор процессора.
`Name`	Строка	Название процессора.
`CoreCount`	Строка	Количество ядер.
`CoreSpeed`	Строка	Частота.

Вложенная структура Disk

Поле	Тип значения	Описание
`FreeBytes`	Число	Свободное пространство на диске.
`TotalBytes`	Число	Общее пространство на диске.

В начало

Модель данных учетной записи

К полям учетной записи можно обращаться из шаблонов электронной почты, а также при корреляции событий.

Поле	Тип значения	Описание
`ID`	Строка	Идентификатор учетной записи.
`ObjectGUID`	Строка	Атрибут Active Directory. Идентификатор учетной записи в Active Directory.
`TenantID`	Строка	Идентификатор тенанта.
`TenantName`	Строка	Название тенанта.
`UpdatedAt`	Число	Последнее обновление учетной записи.
`Domain`	Строка	Домен.
`CN`	Строка	Атрибут Active Directory. Имя пользователя.
`DisplayName`	Строка	Атрибут Active Directory. Отображаемое имя пользователя.
`DistinguishedName`	Строка	Атрибут Active Directory. Название объекта LDAP.
`EmployeeID`	Строка	Атрибут Active Directory. Идентификатор сотрудника.
`Mail`	Строка	Атрибут Active Directory. Электронная почта пользователя.
`MailNickname`	Строка	Атрибут Active Directory. Альтернативный адрес электронной почты.
`Mobile`	Строка	Атрибут Active Directory. Номер мобильного телефона.
`ObjectSID`	Строка	Атрибут Active Directory. Идентификатор безопасности.
`SAMAccountName`	Строка	Атрибут Active Directory. Логин.
`TelephoneNumber`	Строка	Атрибут Active Directory. Номер телефона.
`UserPrincipalName`	Строка	Атрибут Active Directory. Имя участника-пользователя.
`Archived`	Строка `TRUE/FALSE`	Признак, определяющий, является ли учетная запись устаревшей.
`MemberOf`	Список строк	Атрибут Active Directory. Группы AD, в которые внесен пользователь. По этому атрибуту события можно искать при корреляции.
`PreliminarilyArchived`	Строка `TRUE/FALSE`	Признак, определяющий, требуется ли обозначить учетную запись как устаревшую.
`CreatedAt`	Число	Дата создания учетной записи.
`SN`	Строка	Атрибут Active Directory. Фамилия пользователя.
`SAMAccountType`	Строка	Атрибут Active Directory. Тип учетной записи.
`Title`	Строка	Атрибут Active Directory. Должность пользователя.
`Division`	Строка	Атрибут Active Directory. Подразделение пользователя.
`Department`	Строка	Атрибут Active Directory. Отдел пользователя.
`Manager`	Строка	Атрибут Active Directory. Руководитель пользователя.
`Location`	Строка	Атрибут Active Directory. Местоположение пользователя.
`Company`	Строка	Атрибут Active Directory. Компания пользователя.
`StreetAddress`	Строка	Атрибут Active Directory. Адрес компании.
`PhysicalDeliveryOfficeName`	Строка	Атрибут Active Directory. Адрес для доставки.
`ManagedObjects`	Список строк	Атрибут Active Directory. Объекты, находящиеся под управлением пользователя.
`UserAccountControl`	Число	Атрибут Active Directory. Тип учетной записи AD.
`WhenCreated`	Число	Атрибут Active Directory. Дата создания учетной записи.
`WhenChanged`	Число	Атрибут Active Directory. Дата изменения учетной записи.
`AccountExpires`	Число	Атрибут Active Directory. Дата истечения срока учетной записи.
`BadPasswordTime`	Число	Атрибут Active Directory. Дата последней неудачной попытки входа в систему.

В начало

События аудита KUMA

События аудита создаются при выполнении в KUMA определенных действий, связанных с безопасностью, и используются для обеспечения целостности системы.

Чтобы просмотреть события аудита, перейдите в раздел KUMA События и добавьте в запрос SELECT * FROM 'events' WHERE Type=4.

В результате выполнения запроса в разделе События отобразятся события аудита, если роль пользователя предусматривает права для просмотра событий аудита.

В этом разделе

Поля событий с общей информацией

Пользователь успешно вошел в систему или не смог войти

Логин пользователя успешно изменен

Роль пользователя успешно изменена

Другие данные пользователя успешно изменены

Пользователь успешно вышел из системы

Пароль пользователя успешно изменен

Пользователь успешно создан

Пользователю успешно назначена роль

Роль пользователя успешно отозвана

Токен доступа пользователя успешно изменен

Сервис успешно создан

Сервис успешно удален

Сервис успешно перезагружен

Сервис успешно перезапущен

Сервис успешно запущен

Сервис успешно сопряжен

Статус сервиса изменен

Раздел хранилища удален пользователем

Раздел хранилища автоматически удален в связи с истечением срока действия

Активный лист успешно очищен или операция завершилась с ошибкой

Элемент активного листа успешно изменен или операция завершилась с ошибкой

Элемент активного листа успешно удален или операция завершилась с ошибкой

Активный лист успешно импортирован или операция завершилась с ошибкой

Активный лист успешно экспортирован

Ресурс успешно добавлен

Ресурс успешно удален

Ресурс успешно обновлен

Актив успешно создан

Актив успешно удален

Категория актива успешно добавлена

Категория актива успешно удалена

Параметры успешно обновлены

Тенант успешно создан

Тенант успешно включен

Тенант успешно выключен

Другие данные тенанта успешно изменены

Изменена политика хранения данных после изменения дисков

Словарь успешно обновлен на сервисе или операция завершилась ошибкой

Ответ в Active Directory

Реагирование через KICS/KATA

Реагирование через Kaspersky Automated Security Awareness Platform

Реагирование через KEDR

В начало

Поля событий с общей информацией

Каждое событие аудита имеет поля событий, описанные ниже.

Название поля события	Значение поля
ID	Уникальный идентификатор события в виде UUID.
Timestamp	Время события.
DeviceHostName	Хост источника события. Для событий аудита это имя хоста, на котором установлена служба kuma-core, потому что она является источником событий.
DeviceTimeZone	Часовой пояс системного времени сервера, на котором установлено Ядро KUMA в формате +-`чч:мм`.
Type	Тип события аудита. Событию аудита соответствует значение `4`.
TenantID	Идентификатор главного тенанта.
DeviceVendor	`Kaspersky`
DeviceProduct	`KUMA`
EndTime	Время создания события.

В начало

Пользователь успешно вошел в систему или не смог войти

Название поля события	Значение поля
DeviceAction	`user login`
EventOutcome	`succeeded` или `failed` – статус зависит от исхода операции.
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя.
SourceUserID	Идентификатор пользователя.
Message	Описание ошибки; появляется только в том случае, если при входе в систему произошла ошибка. В противном случае поле будет пустым.

В начало

Логин пользователя успешно изменен

Название поля события	Значение поля
DeviceAction	`user login changed`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для изменения данных.
SourceUserID	ID пользователя, который использовался для изменения данных.
DestinationUserName	Логин пользователя, данные которого были изменены.
DestinationUserID	ID пользователя, данные которого были изменены.
DeviceCustomString1	Текущее значение логина.
DeviceCustomString1Label	`new login`
DeviceCustomString2	Значение логина до его изменения.
DeviceCustomString2Label	`old login`

В начало

Роль пользователя успешно изменена

Название поля события	Значение поля
DeviceAction	`user role changed`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для изменения данных.
SourceUserID	ID пользователя, который использовался для изменения данных.
DestinationUserName	Логин пользователя, данные которого были изменены.
DestinationUserID	ID пользователя, данные которого были изменены.
DeviceCustomString1	Текущее значение роли.
DeviceCustomString1Label	`new role`
DeviceCustomString2	Значение роли до ее изменения.
DeviceCustomString2Label	`old role`

В начало

Другие данные пользователя успешно изменены

Название поля события	Значение поля
DeviceAction	`user other info changed`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для изменения данных.
SourceUserID	ID пользователя, который использовался для изменения данных.
DestinationUserName	Логин пользователя, данные которого были изменены.
DestinationUserID	ID пользователя, данные которого были изменены.

В начало

Пользователь успешно вышел из системы

Это событие создается только тогда, когда пользователь нажимает кнопку выхода.

Это событие не создается, если пользователь покидает систему из-за окончания сеанса или если пользователь снова входит в систему из другого браузера.

Название поля события	Значение поля
DeviceAction	`user logout`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя.
SourceUserID	Идентификатор пользователя.

В начало

Пароль пользователя успешно изменен

Название поля события	Значение поля
DeviceAction	`user password changed`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для изменения данных.
SourceUserID	ID пользователя, который использовался для изменения данных.
DestinationUserName	Логин пользователя, данные которого были изменены.
DestinationUserID	ID пользователя, данные которого были изменены.

В начало

Пользователь успешно создан

Название поля события	Значение поля
DeviceAction	`user created`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для создания учетной записи.
SourceUserID	Идентификатор пользователя, который использовался для создания учетной записи.
DestinationUserName	Логин пользователя, для которого была создана учетная запись.
DestinationUserID	Идентификатор пользователя, для которого была создана учетная запись.
DeviceCustomString1	Роль созданного пользователя.
DeviceCustomString1Label	`role`

В начало

Пользователю успешно назначена роль

Название поля события	Значение поля
DeviceAction	`granted access`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, для которого вносились изменения данных.
SourceUserID	Идентификатор пользователя, для которого вносились изменения данных.
DestinationUserPrivileges	Название роли. Доступные значения: general admin, admin, analyst, operator.
DeviceCustomString5	Идентификатор тенанта, который использовался, чтобы назначить роль.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`

В начало

Роль пользователя успешно отозвана

Название поля события	Значение поля
DeviceAction	`revoked access`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который вносит изменения.
SourceUserID	Идентификатор пользователя, который вносит изменения.
DestinationUserName	Логин пользователя, для которого вносятся изменения.
DestinationUserID	Идентификатор пользователя, для которого вносятся изменения.
DestinationUserPrivileges	Название роли. Доступные значения: general admin, admin, analyst, operator.
DeviceCustomString5	Идентификатор тенанта, который использовался, чтобы назначить роль.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`

В начало

Токен доступа пользователя успешно изменен

Название поля события	Значение поля
DeviceAction	`user access token changed`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для изменения данных.
SourceUserID	Идентификатор пользователя, который использовался для изменения данных.
DestinationUserName	Логин пользователя, данные которого были изменены.
DestinationUserID	Идентификатор пользователя, данные которого были изменены.

В начало

Сервис успешно создан

Название поля события	Значение поля
DeviceAction	`service created`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для создания сервиса.
SourceUserID	Идентификатор пользователя, который использовался для создания сервиса.
DeviceExternalID	ID сервиса.
DeviceProcessName	Название сервиса.
DeviceFacility	Тип сервиса.
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`

В начало

Сервис успешно удален

Название поля события	Значение поля
DeviceAction	`service deleted`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для удаления сервиса.
SourceUserID	Идентификатор пользователя, который использовался для удаления сервиса.
DeviceExternalID	ID сервиса.
DeviceProcessName	Название сервиса.
DeviceFacility	Тип сервиса.
DestinationAddress	Адрес устройства, с которого был запущен сервис. Если сервис никогда раньше не запускался, поле будет пустым.
DestinationHostName	Полное доменное имя компьютера, с которого был запущен сервис. Если сервис никогда раньше не запускался, поле будет пустым.
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`

В начало

Сервис успешно перезагружен

Название поля события	Значение поля
DeviceAction	`service reloaded`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для перезагрузки сервиса.
SourceUserID	Идентификатор пользователя, который использовался для перезагрузки сервиса.
DeviceExternalID	ID сервиса.
DeviceProcessName	Название сервиса.
DeviceFacility	Тип сервиса.
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`

В начало

Сервис успешно перезапущен

Название поля события	Значение поля
DeviceAction	`service restarted`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для перезапуска сервиса.
SourceUserID	Идентификатор пользователя, который использовался для перезапуска сервиса.
DeviceExternalID	ID сервиса.
DeviceProcessName	Название сервиса.
DeviceFacility	Тип сервиса.
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`

В начало

Сервис успешно запущен

Название поля события	Значение поля
DeviceAction	`service started`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, который сообщил информацию о запуске сервиса. Это может быть адрес прокси-сервера, если информация передается через прокси.
SourcePort	Порт, передавший информацию о запуске сервиса. Это может быть порт прокси-сервера, если информация передается через прокси.
DeviceExternalID	ID сервиса.
DeviceProcessName	Название сервиса.
DeviceFacility	Тип сервиса.
DestinationAddress	Адрес устройства, на котором был запущен сервис.
DestinationHostName	Полное доменное имя устройства, на котором был запущен сервис.
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`

В начало

Сервис успешно сопряжен

Название поля события	Значение поля
DeviceAction	`service paired`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого был отправлен запрос на сопряжение сервисов. Это может быть адрес прокси-сервера, если запрос передается через прокси.
SourcePort	Порт, отправивший запрос на сопряжение сервисов. Это может быть порт прокси-сервера, если запрос передается через прокси.
DeviceExternalID	ID сервиса.
DeviceProcessName	Название сервиса.
DeviceFacility	Тип сервиса.
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`

В начало

Статус сервиса изменен

Название поля события	Значение поля
DeviceAction	`service status changed`
DeviceExternalID	ID сервиса.
DeviceProcessName	Название сервиса.
DeviceFacility	Тип сервиса.
DestinationAddress	Адрес устройства, на котором был запущен сервис.
DestinationHostName	Полное доменное имя устройства, на котором был запущен сервис.
DeviceCustomString1	`green`, `yellow` или `red`
DeviceCustomString1Label	`new status`
DeviceCustomString2	`green`, `yellow` или `red`
DeviceCustomString2Label	`old status`
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`

В начало

Раздел хранилища удален пользователем

Название поля события	Значение поля
DeviceAction	`partition deleted`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для удаления.
SourceUserID	Идентификатор пользователя, который использовался для удаления.
Name	Название хранилища \| Тенант перемещаемого или удаляемого раздела \| Название пространства, которому принадлежит раздел.
Message	`deleted by user`

В начало

Раздел хранилища автоматически удален в связи с истечением срока действия

Название поля события	Значение поля
DeviceAction	`applied retention policy by days`.
EventOutcome	`succeeded` или `failed`
Name	Название хранилища \| Тенант перемещаемого или удаляемого раздела \| Название пространства, которому принадлежит раздел.
DeviceCustomDate1	Дата создания раздела.
DeviceCustomDate1Label	`date of partition`
SourceServiceName	scheduler
DeviceCustomString1	Идентификатор узла.
DeviceCustomString1Label	`nodeID`
Message	В случае перемещения: Если `EventOutcome = succeeded`, отображается сообщение `moved partition data to cold storage`. Если `EventOutcome = failed`, отображается сообщение об ошибке `move partition data to cold storage failed: <описание ошибки>.` В случае удаления: Если `EventOutcome = succeeded`, отображается сообщение `deleted partition data`. Если `EventOutcome = failed`, отображается сообщение об ошибке `delete partition data failed: <описание ошибки>.`
DeviceCustomNumber1	Размер раздела хранилища в байтах.
DeviceCustomNumber1Label	`size`
DeviceCustomNumber2	Количество событий в разделе хранилища.
DeviceCustomNumber2Label	`events`

В начало

Активный лист успешно очищен или операция завершилась с ошибкой

События аудита по активным листам создаются только для действий, совершенных пользователями. При изменении активных листов с помощью правил корреляции события аудита не создаются. Если необходимо отслеживать такие изменения, это можно сделать с помощью алертов.

Если изменять активный лист с помощью правила корреляции типа simple, в котором заданы действия Отправить событие на дальнейшую обработку и Отправить событие снова в коррелятор, то в результате срабатывания такого правила будет создаваться алерт об изменении активного листа.

Событию может быть присвоен статус succeeded или failed.

Поскольку запрос на очистку активного листа осуществляется через удаленное соединение, ошибка передачи данных может возникнуть в любой момент: до удаления или после удаления.

Это означает, что активный лист может быть очищен успешно, но событие все равно будет иметь статус failed, поскольку EventOutcome возвращает статус TCP/IP-соединения запроса, а не статус проверки, был ли очищен активные лист.

Название поля события	Значение поля
DeviceAction	`active list cleared`
EventOutcome	`succeeded` или `failed`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для очистки активного листа.
SourceUserID	Идентификатор пользователя, который использовался для очистки активного листа.
DeviceExternalID	Идентификатор сервиса, активные лист которого был очищен.
ExternalID	Идентификатор активного листа.
Name	Название активного листа.
Message	Если EventOutcome = `failed`, в этом поле будет отображаться сообщение об ошибке.
DeviceCustomString5	Идентификатор тенанта сервиса. Некоторые ошибки не позволяют добавить информацию о тенанте в событие.
DeviceCustomString5Label	tenant ID
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	tenant name

В начало

Элемент активного листа успешно изменен или операция завершилась с ошибкой

Событию может быть присвоен статус succeeded или failed.

Поскольку запрос на изменение элемента активного листа осуществляется через удаленное соединение, ошибка передачи данных может возникнуть в любой момент: до изменения или после изменения.

Это означает, что элемент активного листа может быть изменен успешно, но событие все равно будет иметь статус failed, поскольку EventOutcome возвращает статус TCP/IP-соединения запроса, а не статус проверки, был ли изменен элемент активного листа.

Название поля события	Значение поля
DeviceAction	`active list item changed`
EventOutcome	`succeeded` или `failed`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для изменения элемента активного листа.
SourceUserID	Идентификатор пользователя, который использовался для изменения элемента активного листа.
DeviceExternalID	Идентификатор сервиса, активный лист которого был изменен.
ExternalID	Идентификатор активного листа.
Name	Название активного листа.
DeviceCustomString1	Название ключа.
DeviceCustomString1Label	`key`
Message	Если EventOutcome = `failed`, в этом поле будет отображаться сообщение об ошибке.
DeviceCustomString5	Идентификатор тенанта сервиса. Некоторые ошибки не позволяют добавить информацию о тенанте в событие.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	название тенанта
DeviceCustomString6Label	`tenant name`

В начало

Элемент активного листа успешно удален или операция завершилась с ошибкой

Событию может быть присвоен статус succeeded или failed.

Поскольку запрос на удаление элемента активного листа осуществляется через удаленное соединение, ошибка передачи данных может возникнуть в любой момент: до удаления или после удаления.

Это означает, что элемент активного листа может быть удален успешно, но событие все равно будет иметь статус failed, поскольку EventOutcome возвращает статус TCP/IP-соединения запроса, а не статус проверки, был ли удален элемент активного листа.

Название поля события	Значение поля
DeviceAction	`active list item deleted`
EventOutcome	`succeeded` или `failed`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для удаления элемента активного листа.
SourceUserID	Идентификатор пользователя, который использовался для удаления элемента активного листа.
DeviceExternalID	Идентификатор сервиса, активный лист которого был очищен.
ExternalID	Идентификатор активного листа.
Name	Название активного листа.
DeviceCustomString1	Название ключа.
DeviceCustomString1Label	`key`
Message	Если EventOutcome = `failed`, в этом поле будет отображаться сообщение об ошибке.
DeviceCustomString5	Идентификатор тенанта сервиса. Некоторые ошибки не позволяют добавить информацию о тенанте в событие.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`

В начало

Активный лист успешно импортирован или операция завершилась с ошибкой

Импорт элементов активного листа выполняется по частям через удаленное подключение.

Поскольку импорт осуществляется через удаленное соединение, ошибка передачи данных может произойти в любой момент: когда данные частично или полностью импортированы. EventOutcome возвращает статус подключения, а не статус проверки импорта.

Название поля события	Значение поля
DeviceAction	`active list imported`
EventOutcome	`succeeded` или `failed`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для выполнения импорта.
SourceUserID	Идентификатор пользователя, который использовался для импорта.
DeviceExternalID	Идентификатор сервиса, для которого был выполнен импорт.
ExternalID	Идентификатор активного листа.
Name	Название активного листа.
Message	Если EventOutcome = `failed`, в этом поле будет отображаться сообщение об ошибке.
DeviceCustomString5	Идентификатор тенанта сервиса. Некоторые ошибки не позволяют добавить информацию о тенанте в событие.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	название тенанта
DeviceCustomString6Label	`tenant name`

В начало

Активный лист успешно экспортирован

Название поля события	Значение поля
DeviceAction	`active list exported`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для выполнения экспорта.
SourceUserID	Идентификатор пользователя, который использовался для экспорта.
DeviceExternalID	Идентификатор сервиса, для которого был выполнен экспорт.
ExternalID	Идентификатор активного листа.
Name	Название активного листа.
DeviceCustomString5	Идентификатор тенанта сервиса. Некоторые ошибки не позволяют добавить информацию о тенанте в событие.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	название тенанта
DeviceCustomString6Label	`tenant name`

В начало

Ресурс успешно добавлен

Название поля события	Значение поля
DeviceAction	`resource added`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для добавления ресурса.
SourceUserID	Идентификатор пользователя, который использовался для добавления ресурса.
DeviceExternalID	Идентификатор ресурса.
DeviceProcessName	Название ресурса.
DeviceFacility	Тип ресурса: `activeList` `agent` `aggregationRule` `collector` `connection` `connector` `correlationRule` `correlator` `destination` `dictionary` `enrichmentRule` `filter` `normalizer` `proxy` `responseRule` `storage`
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`

В начало

Ресурс успешно удален

Название поля события	Значение поля
DeviceAction	`resource deleted`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для удаления ресурса.
SourceUserID	Идентификатор пользователя, который использовался для удаления ресурса.
DeviceExternalID	Идентификатор ресурса.
DeviceProcessName	Название ресурса.
DeviceFacility	Тип ресурса: `activeList` `agent` `aggregationRule` `collector` `connection` `connector` `correlationRule` `correlator` `destination` `dictionary` `enrichmentRule` `filter` `normalizer` `proxy` `responseRule` `storage`
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`

В начало

Ресурс успешно обновлен

Название поля события	Значение поля
DeviceAction	`resource updated`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для обновления ресурса.
SourceUserID	Идентификатор пользователя, который использовался для обновления ресурса.
DeviceExternalID	Идентификатор ресурса.
DeviceProcessName	Название ресурса.
DeviceFacility	Тип ресурса: `activeList` `agent` `aggregationRule` `collector` `connection` `connector` `correlationRule` `correlator` `destination` `dictionary` `enrichmentRule` `filter` `normalizer` `proxy` `responseRule` `storage`
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`

В начало

Актив успешно создан

Название поля события	Значение поля
DeviceAction	`asset created`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для добавления актива.
SourceUserID	Идентификатор пользователя, который использовался для добавления актива.
DeviceAssetID	Идентификатор актива.
SourceHostName	Идентификатор актива.
Name	Название актива.
DeviceCustomString1	Разделенные запятыми IP-адреса актива.
DeviceCustomString1Label	`addresses`
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`

В начало

Актив успешно удален

Название поля события	Значение поля
DeviceAction	`asset deleted`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для добавления актива.
SourceUserID	Идентификатор пользователя, который использовался для добавления актива.
DeviceAssetID	Идентификатор актива.
SourceHostName	Идентификатор актива.
Name	Название актива.
DeviceCustomString1	Разделенные запятыми IP-адреса актива.
DeviceCustomString1Label	`addresses`
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`

В начало

Категория актива успешно добавлена

Название поля события	Значение поля
DeviceAction	`category created`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для добавления категории.
SourceUserID	Идентификатор пользователя, который использовался для добавления категории.
DeviceExternalID	Идентификатор категории.
Name	Название категории.
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`

В начало

Категория актива успешно удалена

Название поля события	Значение поля
DeviceAction	`category deleted`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для удаления категории.
SourceUserID	Идентификатор пользователя, который использовался для удаления категории.
DeviceExternalID	Идентификатор категории.
Name	Название категории.
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`

В начало

Параметры успешно обновлены

Название поля события	Значение поля
DeviceAction	`settings updated`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для обновления параметров.
SourceUserID	Идентификатор пользователя, который использовался для обновления параметров.
DeviceFacility	Тип параметров.
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`

В начало

Тенант успешно создан

Название поля события	Значение поля
DeviceAction	`tenant created`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для создания тенанта.
SourceUserID	Идентификатор пользователя, который использовался для создания тенанта.
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`

В начало

Тенант успешно включен

Название поля события	Значение поля
DeviceAction	`tenant enabled`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для включения тенанта.
SourceUserID	Идентификатор пользователя, который использовался для включения тенанта.
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`

В начало

Тенант успешно выключен

Название поля события	Значение поля
DeviceAction	`tenant disabled`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для выключения тенанта.
SourceUserID	Идентификатор пользователя, который использовался для выключения тенанта.
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`

В начало

Другие данные тенанта успешно изменены

Название поля события	Значение поля
DeviceAction	`tenant other info changed`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для изменения данных тенанта.
SourceUserID	Идентификатор пользователя, который использовался для изменения данных тенанта.
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`

В начало

Изменена политика хранения данных после изменения дисков

Название поля события	Значение поля
DeviceAction	`storage policy modified`
EventOutcome	`succeeded` или `failed`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для изменения данных тенанта.
SourceUserID	Идентификатор пользователя, который использовался для изменения данных тенанта.

В начало

Словарь успешно обновлен на сервисе или операция завершилась ошибкой

Название поля события	Значение поля
DeviceAction	`service created`
EventOutcome	`succeeded`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для создания сервиса.
SourceUserID	Идентификатор пользователя, который использовался для создания сервиса.
DeviceExternalID	Идентификатор сервиса.
ExternalID	Идентификатор словаря.
DeviceProcessName	Имя сервиса.
DeviceFacility	Тип сервиса.
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`
Message	Если EventOutcome = `failed`, в этом поле будет отображаться сообщение об ошибке.

В начало

Ответ в Active Directory

Название поля события	Значение поля
DeviceAction	`ad response`
DeviceFacility	`manual response` или `automatic response`
EventOutcome	`succeeded` или `failed`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который использовался для изменения данных тенанта.
SourceUserID	Идентификатор пользователя, который использовался для изменения данных тенанта.
DeviceCustomString3	Наименование правила ответа: CHANGE_PASSWORD, ADD_TO_GROUP, REMOVE_FROM_GROUP, BLOCK_USER.
DeviceCustomString3Label	`response rule name`
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`
DestinationUserName	Учетная запись пользователя Active Directory, на которую вызван ответ (sAMAccountName).
DestinationNtDomain	Домен учетной записи пользователя Active Directory, на которую вызван ответ.
DestinatinUserID	UUID учетной записи в KUMA.
FlexString1	Информация о группе, куда был добавлен или удален пользователь.
FlexString1Label	`group DN`

В начало

Реагирование через KICS/KATA

Название поля события	Значение поля
DeviceAction	`KICS responce`
DeviceFacility	`manual response` или `automatic response`
EventOutcome	`succeeded` или `failed`
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который отправил запрос.
SourceUserID	Идентификатор пользователя, который отправил запрос.
DeviceCustomString3	Наименование правила ответа: `Authorized`, `Not Authorized`.
DeviceCustomString3Label	`response rule name`
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`
DeviceAssetID	Идентификатор актива.
SourceHostName	FQDN актива.
Name	Название актива.
DeviceCustomString1	Перечень ip-адресов актива.
DeviceCustomString1Label	`addresses`

В начало

Реагирование через Kaspersky Automated Security Awareness Platform

Название поля события	Значение поля
DeviceAction	`KASAP response`
DeviceFacility	`manual response`
EventOutcome	`succeeded` или `failed`
Message	Описание ошибки, если произошла ошибка, иначе поле будет пустое.
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который отправил запрос.
SourceUserID	Идентификатор пользователя, который отправил запрос.
DeviceCustomString1	Менеджер пользователя, на которого назначен курс.
DeviceCustomString1Label	`manager`
DeviceCustomString3	Информация о группе, где был пользователь. Отсутствует в случае `failed`.
DeviceCustomString3Label	`manager`
DeviceCustomString4	Информация о группе, куда добавили пользователя.
DeviceCustomString4Label	`new kasap group`
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`
DestinationUserID	Идентификатор учетной записи пользователя Active Directory, на которую происходит реагирование.
DestinationUserName	Имя учетной записи (sAMAccountName).
DestinationNtDomain	Домен учетной записи пользователя Active Directory, на которую происходит реагирование.

В начало

Реагирование через KEDR

Название поля события	Значение поля
DeviceAction	`KEDR response`
DeviceFacility	`manual response` или `automatic response`
EventOutcome	`succeeded` или `failed`
Message	Описание ошибки, если произошла ошибка, иначе поле будет пустое.
SourceTranslatedAddress	Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.
SourceAddress	Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.
SourcePort	Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.
SourceUserName	Логин пользователя, который отправил запрос.
SourceUserID	Идентификатор пользователя, который отправил запрос.
SourceAssetID	Идентификатор актива в KUMA, для которого производится реагирование. Значение не указывается, если реагирование производится по хешу или для всех активов.
DeviceExternalID	Параметр external ID, присвоенный KUMA в KEDR. Если external id один, при запуске по пользовательским хостам не заполняется.
DeviceCustomString1	Перечисление IP/FQDN-адресов актива для правила запрета для хоста по выбранному хешу из карточки события.
DeviceCustomString1Label	`user defined list of ips or hostnames`
DeviceCustomString2	Параметр sensor ID в KEDR (UUIDv4 \| 'all' \| 'custom').
DeviceCustomString2Label	`sensor id of asset in KATA/EDR`
ServiceID	Идентификатор сервиса, который вызвал реагирование. Заполняется только при автоматическом реагировании.
DeviceCustomString3	Наименование типа задачи: `enable_network_isolation`, `disable_network_isolation`, `enable_prevention`, `disable_prevention`, `run_process`.
DeviceCustomString3Label	`kedr response kind`
DeviceCustomString5	Идентификатор тенанта.
DeviceCustomString5Label	`tenant ID`
DeviceCustomString6	Название тенанта.
DeviceCustomString6Label	`tenant name`

В начало

Правила корреляции

В файле, доступном по ссылке для скачивания, описаны правила корреляции, включенные в поставку Kaspersky Unified Monitoring and Analysis Platform версии 3.0.3. Приводятся сценарии, покрываемые правилами, условия их использования и необходимые источники событий.

Описанные в этом документе правила корреляции содержатся в файле SOC_package дистрибутива KUMA и защищены паролем SOC_package1. Одновременно возможно использование только одной версии набора SOC-правил: или русской, или английской.

Правила корреляции можно импортировать в KUMA. См. раздел онлайн-справки "Импорт ресурсов": https://support.kaspersky.com/KUMA/3.0.3/ru-RU/242787.htm.

Импортированные правила корреляции можно добавлять в используемые вашей организацией корреляторы. См. раздел онлайн-справки "Шаг 3. Корреляция": https://support.kaspersky.com/KUMA/3.0.3/ru-RU/221168.htm.

Скачать Описание правил корреляции, содержащихся в SOC_package.xlsx

Автоматическое подавление срабатывания правил

В пакете с правилами корреляции SOC_package предусмотрено автоматическое подавление срабатывания правил, если частота срабатывания превышает пороговые значения.

Опция автоматического подавления предполагает следующую логику работы: если правило сработало более 100 раз за 1 минуту и такое поведение случилось не менее 5 раз за 10 минут, правило будет помещено в стоп-лист.

При первом помещении в стоп-лист правило отключается на 1 час.
При повторном - на 24 часа.
При всех последующих на 7 дней.

Логика работы описана в ресурсах: правилах, активных листах и словарях, которые размещены в папке SOC_package/System/Rule disabling by condition.

Вы можете задать параметры и пороговые значения с учетом своих потребностей.

Чтобы включить опцию автоматического подавления, в словаре SOC_package/Integration/Rule disabling configuration присвойте параметру enable значение "1".

Чтобы отключить опцию автоматического подавления, в словаре SOC_package/Integration/Rule disabling configuration присвойте параметру enable значение "0".

По умолчанию автоматическое подавление включено и параметру enable присвоено значение "1".

События аудита

В корреляционных правилах из набора ресурсов [OOTB] SOC Content используются события аудита, перечисленные в таблице "События аудита".

События аудита

Источник событий	События аудита
KSC	GNRL_EV_VIRUS_FOUND, GNRL_EV_WEB_URL_BLOCKED, KLSRV_HOST_STATUS_CRITICAL, KLSRV_HOST_STATUS_WARNING, KLSRV_HOST_STATUS_OK
Microsoft Windows, журнал PowerShell/Operational	4104, 4103
Microsoft Windows, журнал Security	1102, 4624, 4657, 4662, 4663, 4656, 4688 (+command line), 4720, 4722, 4723, 4724, 4725, 4726, 4738, 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4768, 4769, 4771, 5140, 5145
Microsoft Windows, журнал System	7036, 7045
Microsoft Windows: Windows, журнал Windows Defender \ Operational	1006, 1015, 1116, 1117, 5001, 5010, 5012, 5101
Linux, события auditd	USER_AUTH, USER_LOGIN, execve
KATA	TAA has tripped on events database
KUMA	События, созданные в результате срабатывания корреляционных правил.
Network devices	События сетевых устройств, содержащие IP-адрес и порт источника и IP-адрес и порт назначения.

В начало

Отправка тестовых событий в KUMA

В KUMA предусмотрена отправка тестовых событий в систему. Используйте опцию отправки тестовых событий в KUMA, чтобы проверить работу правил, отчетов, панелей мониторинга, а также чтобы проверить потребление ресурсов коллектором при разных потоках событий. События можно отправить только в коллектор, осуществляющий приём по протоколу TCP или http.

Для отправки тестовых событий вам понадобится:

Файл kuma, запущенный с определенными параметрами.
В инструкции ниже файл с сырыми событиями назван send_test_events.txt в качестве примера. Вы можете использовать собственное название файла.
Конфигурационный файл, в котором вы определите параметры запуска исполняемого файла.
В инструкции ниже конфигурационный файл назван config_for_test_events в качестве примера. Вы можете использовать собственное название файла.

Чтобы отправить тестовые события:

Получите примеры событий, которые необходимо отправить в KUMA:
1. В веб-интерфейсе KUMA в разделе События в правом верхнем углу нажмите значок и появившемся окне на вкладке Столбцы полей событий установите флажок для поля Raw. В окне События появится столбец Raw.
2. Выполните поиск событий.
3. Экспортируйте результаты поиска: в окне События в правом верхнем углу нажмите и выберите Экспортировать в формат TSV.
4. Перейдите в раздел KUMA Диспетчер задач и нажмите на задачу Экспорт событий, в появившемся контекстном меню выберите Скачать.
  В разделе Загрузки появится файл <имя файла с экспортированными событиями>.tsv
  
  Если сбор сырых событий не выполняется, включите сбор на короткое время, выбрав в параметре нормализатора Сохранить исходное событие значение Всегда. После выполнения сбора, верните параметру Сохранить исходное событие прежнее значение.
5. Создайте текстовый файл send_test_events.txt и скопируйте содержимое поля «Raw» из <имя файла с экспортированными событиями>.tsv в текстовый файл send_test_events.txt.
6. Сохраните send_test_events.txt.
Создайте конфигурационный файл config_for_test_events и добавьте в файл следующие строки:
{

"kind": "<tcp или http>",

"name": "-",

"connection": {

"name": "-",

"kind": "<tcp или http>",

"urls": ["<IP коллектора KUMA для приема событий по протоколу TCP>:<порт коллектора KUMA для приема событий по протоколу TCP>"]

}

}

Сохраните конфигурационный файл config_for_test_events.
Убедитесь, что между сервером, выполняющим отправку событий и сервером, на котором установлен коллектор, обеспечена сетевая связанность.

Чтобы отправить содержимое файла с тестовыми событиями в коллектор KUMA, выполните следующую команду:

/opt/kaspersky/kuma/kuma tools load --raw --events /home/events/send_test_events.txt --cfg home/events/config_for_test_events --limit 1500 --replay 100000

Доступные параметры

Параметр	Описание
`--events`	Полный путь к файлу, содержащему сырые события. Обязательный параметр. Если полный путь не указан, команда не будет выполнена.
`--cfg`	Путь к конфигурационному файлу. Обязательный параметр. Если полный путь не указан, команда не будет выполнена.
`--limit`	Поток событий в секунду (EPS), который будет направлен в коллектор. Обязательный параметр. Если значение не указано, команда не будет выполнена.
`--replay`	Количество событий, которое требуется отправить. Обязательный параметр. Если значение не указано, команда не будет выполнена. Шаг --replay составляет 10000. Минимальное значение: 10000. При --replay 16 отправится 10000 событий. При --replay 16000 отправится 20000 событий.

В результате выполнения команды тестовые события успешно отправлены в коллектор KUMA. Вы можете проверить поступление тестовых событий, выполнив поиск связанных событий в веб-интерфейсе KUMA.

В начало

Формат времени

KUMA поддерживает обработку информации, передающейся в поля Модели данных события с типом timestamp (EndTime, StartTime, DeviceCustomDate1, и т.д.) в следующих форматах:

"May 8, 2009 5:57:51 PM",
"oct 7, 1970",
"oct 7, '70",
"oct. 7, 1970",
"oct. 7, 70",
"Mon Jan 2 15:04:05 2006",
"Mon Jan 2 15:04:05 MST 2006",
"Mon Jan 02 15:04:05 -0700 2006",
"Monday, 02-Jan-06 15:04:05 MST",
"Mon, 02 Jan 2006 15:04:05 MST",
"Tue, 11 Jul 2017 16:28:13 +0200 (CEST)",
"Mon, 02 Jan 2006 15:04:05 -0700",
"Mon 30 Sep 2018 09:09:09 PM UTC",
"Mon Aug 10 15:44:11 UTC+0100 2015",
"Thu, 4 Jan 2018 17:53:36 +0000",
"Fri Jul 03 2015 18:04:07 GMT+0100 (GMT Daylight Time)",
"Sun, 3 Jan 2021 00:12:23 +0800 (GMT+08:00)",
"September 17, 2012 10:09am",
"September 17, 2012 at 10:09am PST-08",
"September 17, 2012, 10:10:09",
"October 7, 1970",
"October 7th, 1970",
"12 Feb 2006, 19:17",
"12 Feb 2006 19:17",
"14 May 2019 19:11:40.164",
"7 oct 70",
"7 oct 1970",
"03 February 2013",
"1 July 2013",
"2013-Feb-03".

Формат dd/Mon/yyyy

"06/Jan/2008:15:04:05 -0700",
"06/Jan/2008 15:04:05 -0700".

Формат mm/dd/yyyy

"3/31/2014",
"03/31/2014",
"08/21/71",
"8/1/71",
"4/8/2014 22:05",
"04/08/2014 22:05",
"4/8/14 22:05",
"04/2/2014 03:00:51",
"8/8/1965 12:00:00 AM",
"8/8/1965 01:00:01 PM",
"8/8/1965 01:00 PM",
"8/8/1965 1:00 PM",
"8/8/1965 12:00 AM",
"4/02/2014 03:00:51",
"03/19/2012 10:11:59",
"03/19/2012 10:11:59.3186369".

Формат yyyy/mm/dd

"2014/3/31",
"2014/03/31",
"2014/4/8 22:05",
"2014/04/08 22:05",
"2014/04/2 03:00:51",
"2014/4/02 03:00:51",
"2012/03/19 10:11:59",
"2012/03/19 10:11:59.3186369".

Формат yyyy:mm:dd

"2014:3:31",
"2014:03:31",
"2014:4:8 22:05",
"2014:04:08 22:05",
"2014:04:2 03:00:51",
"2014:4:02 03:00:51",
"2012:03:19 10:11:59",
"2012:03:19 10:11:59.3186369".

Формат, содержащий китайские символы

"2014年04月08日"

Формат yyyy-mm-ddThh

"2006-01-02T15:04:05+0000",
"2009-08-12T22:15:09-07:00",
"2009-08-12T22:15:09",
"2009-08-12T22:15:09.988",
"2009-08-12T22:15:09Z",
"2017-07-19T03:21:51:897+0100",
"2019-05-29T08:41-04" без указания секунд, 2 символа TZ.

Формат yyyy-mm-dd hh:mm:ss

"2014-04-26 17:24:37.3186369",
"2012-08-03 18:31:59.257000000",
"2014-04-26 17:24:37.123",
"2013-04-01 22:43",
"2013-04-01 22:43:22",
"2014-12-16 06:20:00 UTC",
"2014-12-16 06:20:00 GMT",
"2014-04-26 05:24:37 PM",
"2014-04-26 13:13:43 +0800",
"2014-04-26 13:13:43 +0800 +08",
"2014-04-26 13:13:44 +09:00",
"2012-08-03 18:31:59.257000000 +0000 UTC",
"2015-09-30 18:48:56.35272715 +0000 UTC",
"2015-02-18 00:12:00 +0000 GMT",
"2015-02-18 00:12:00 +0000 UTC",
"2015-02-08 03:02:00 +0300 MSK m=+0.000000001",
"2015-02-08 03:02:00.001 +0300 MSK m=+0.000000001",
"2017-07-19 03:21:51+00:00",
"2014-04-26",
"2014-04",
"2014",
"2014-05-11 08:20:13,787".

Формат yyyy-mm-dd-07:00

"2020-07-20+08:00"

Формат mm.dd.yyyy

"3.31.2014",
"03.31.2014",
"08.21.71".

Формат yyyy.mm.dd

"2014.03.30"

Формат yyyymmdd и аналогичные

"20140601",
"20140722105203".

Формат yymmdd hh:mm:yy

"171113 14:14:20"

Формат Unix timestamp

"1332151919",
"1384216367189",
"1384216367111222",
"1384216367111222333".

В начало

Сопоставление полей предустановленных нормализаторов

В файле, доступном по ссылке для скачивания, представлено описание сопоставления полей предустановленных нормализаторов.

Скачать Описание сопоставления полей предустановленных нормализаторов

В начало

Устаревшие ресурсы

Список устаревших ресурсов

Название	Тип ресурса	Описание
[Deprecated][OOTB] Microsoft SQL Server xml	Нормализатор	Предназначен для обработки событий MS SQL Server версии 2008, 2012, 2014, 2016. Этот нормализатор будет удалён из набора OOTB в следующем релизе. Если вы используете этот нормализатор, необходимо перейти к использованию нормализатора [OOTB] Microsoft Products.
[Deprecated][OOTB] Windows Basic	Нормализатор	Нормализатор будет удалён из набора OOTB в следующем релизе. Если вы используете этот нормализатор, необходимо перейти к использованию нормализатора [OOTB] Microsoft Products.
[Deprecated][OOTB] Windows Extended v.0.3	Нормализатор	Нормализатор будет удалён из набора OOTB в следующем релизе. Если вы используете этот нормализатор, необходимо перейти на использование нормализатора [OOTB] Microsoft Products.
[Deprecated][OOTB] Cisco ASA Extended v 0.1	Нормализатор	Нормализатор будет удалён из набора OOTB в следующем релизе. Если вы используете этот нормализатор, необходимо перейти к использованию нормализатора [OOTB] Cisco ASA and IOS syslog.
[Deprecated][OOTB] Cisco Basic	Нормализатор	Нормализатор будет удалён из набора OOTB в следующем релизе. Если вы используете этот нормализатор, необходимо перейти к использованию нормализатора [OOTB] Cisco ASA and IOS syslog.

В начало