Kaspersky Unified Monitoring and Analysis Platform
3.0.3
Русский

Содержание

Панель мониторинга

В разделе Панель мониторинга вы можете контролировать состояние безопасности сети вашей организации.

Панель мониторинга представляет собой набор виджетов, которые отображают аналитику данных безопасности сети. Вы можете просмотреть данные только по тем тенантам, к которым вы имеете доступ.

Набор виджетов, используемых на панели мониторинга, называется макетом. Вы можете создавать макеты вручную или воспользоваться преднастроенными макетами. Параметры виджетов в преднастроенных макетах можно редактировать при необходимости. По умолчанию на панели мониторинга отображается преднастроенный макет Alerts Overview.

Создавать, редактировать и удалять макеты могут только пользователи с ролями Главный администратор, Администратор тенанта, Аналитик второго уровня и Аналитик первого уровня. Пользователи с учетными записями всех ролей могут просматривать макеты и назначать макеты по умолчанию. Если макет назначен по умолчанию, этот макет отображается для учетной записи при каждом переходе в раздел Панель мониторинга. Выбранный макет по умолчанию сохраняется для текущей учетной записи пользователя.

Информация на панели мониторинга обновляется в соответствии с расписанием, заданным в параметрах макета. При необходимости вы можете обновить данные принудительно.

Для удобства представления данных на панели мониторинга вы можете включить режим ТВ. В этом случае вы перейдете в режим полноэкранного просмотра панели мониторинга в FullHD-разрешении. В режиме ТВ вы также можете настроить показ слайд-шоу для выбранных макетов.

В этом разделе

Создание макета панели мониторинга

Выбор макета панели мониторинга

Выбор макета панели мониторинга в качестве макета по умолчанию

Редактирование макета панели мониторинга

Удаление макета панели мониторинга

Включение и отключение режима ТВ

Предустановленные макеты панели мониторинга
В начало
[Topic 217827]

Создание макета панели мониторинга

Чтобы создать макет:

  1. Откройте веб-интерфейс KUMA и выберите раздел Панель мониторинга.
  2. Откройте раскрывающийся список в правом верхнем углу окна Панель мониторинга и выберите Создать макет.

    Откроется окно Новый макет.

  3. В раскрывающемся списке Тенанты выберите тенантов, которым будет принадлежать создаваемый макет и данными из которых будут наполняться виджеты макета.

    Выбор танантов в этом раскрывающемся списке не имеет значения, если вы хотите создать универсальный макет (см. ниже).

  4. В раскрывающемся списке Период выберите период времени, по которому требуется аналитика:
    • 1 час
    • 1 день (это значение выбрано по умолчанию)
    • 7 дней
    • 30 дней
    • В течение периода – получать аналитику за выбранный период времени. Период времени устанавливается с помощью календаря, который отображается при выборе этого параметра.

      Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период День1, 00:00:00 – День 2, 00:00:00, а не День 1, 00:00:00 – День 1, 23:59:59.

  5. В раскрывающемся списке Обновлять каждые выберите частоту обновления данных в виджетах макета:
    • 1 минута
    • 5 минут
    • 15 минут
    • 1 час (это значение выбрано по умолчанию)
    • 24 часа
  6. В раскрывающемся списке Добавить виджет выберите требуемый виджет и настройте его параметры.

    В макет можно добавить более одного виджета.

    Виджеты также можно перетаскивать по окну и изменять их размер с помощью кнопки , которая появляется при наведении указателя мыши на виджет.

    Добавленные в макет виджеты можно редактировать или удалять, нажав на значок , а затем выбрав требуемое действие: Изменить или Удалить.

    • Добавление виджетов

      Чтобы добавить виджет:

      1. В раскрывающемся списке Добавить виджет выберите требуемый виджет.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

      2. Настройте параметры виджета и нажмите Добавить.
    • Редактирование виджетов

      Чтобы отредактировать виджет:

      1. Наведите указатель мыши на нужный виджет и нажмите на появляющийся значок шестеренки ().
      2. В раскрывающемся списке выберите значение Изменить.

        Откроется окно с параметрами виджета. С помощью кнопки Предварительный просмотр можно увидеть, как будет выглядеть настраиваемый виджет на макете.

      3. Измените параметры виджета и нажмите Сохранить.
  7. В поле Название макета введите уникальное имя макета. Должно содержать от 1 до 128 символов в кодировке Unicode.
  8. При необходимости нажмите на значок справа от поля названия макета и установите флажки напротив дополнительных параметров макета:
    • Универсальный – если вы установите этот флажок, в виджетах макета будут отображаться данные из тенантов, которых вы выберите в разделе Выбрано тенантов, расположенном в меню слева. Это означает, что данные в виджетах макета будут меняться в зависимости от выбранных вами тенантов, при этом вам не придется редактировать параметры макета. Для универсальных макетов тенанты, выбранные в раскрывающемся списке Тенанты, не учитываются.

      Если флажок не установить, в виджетах макета будут отображаться данные из тенантов, выбранных в раскрывающемся списке Тенанты в параметрах макета. Если какие-либо из выбранных в макете тенантов вам недоступны, их данные не будут отображаться в виджетах макета.

      В универсальных макетах невозможно использовать виджет активные листы.

      Универсальные макеты могут создавать и редактировать только главные администраторы. Просматривать такие макеты могут все пользователи.

    • Отображать данные по КИИ – если вы установите этот флажок, в виджетах макета будут в том числе отображаться данные об активах, алертах и инцидентах, имеющих отношение к критической информационной инфраструктуре (КИИ). При этом такие макеты будут доступы для просмотра только пользователям, в параметрах которых установлен флажок Доступ к объектам КИИ.

      Если флажок не установить, в виджетах макета не будут отображаться данные об активах, алертах и инцидентах, относящихся к КИИ, даже если у пользователя есть доступ к объектам КИИ.

  9. Нажмите Сохранить.

Новый макет создан и отображается в разделе Панель мониторинга веб-интерфейса KUMA.

В начало
[Topic 252198]

Выбор макета панели мониторинга

Чтобы выбрать макет панели мониторинга:

  1. Раскройте список в верхнем правом углу окна Панель мониторинга.
  2. Выберите нужный макет.

Выбранный макет отобразится в разделе Панель мониторинга веб-интерфейса KUMA.

В начало
[Topic 217992]

Выбор макета панели мониторинга в качестве макета по умолчанию

Чтобы выбрать макет, который будет отображаться на панели мониторинга по умолчанию:

  1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
  2. Раскройте список в верхнем правом углу окна Панель мониторинга.
  3. Наведите указатель мыши на требуемый макет.
  4. Нажмите на значок StarOffIcon.

Выбранный макет будет отображаться на панели мониторинга по умолчанию.

В начало
[Topic 217993]

Редактирование макета панели мониторинга

Чтобы отредактировать макет панели мониторинга:

  1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
  2. Раскройте список в верхнем правом углу окна.
  3. Наведите указатель мыши на требуемый макет.
  4. Нажмите на значок .

    Откроется окно Настройка макета.

  5. Внесите необходимые изменения. Параметры, доступные для изменения, аналогичны параметрам, доступным при создании макета.
  6. Нажмите на кнопку Сохранить.

Макет панели мониторинга будет отредактирован и отобразится в разделе Панель мониторинга веб-интерфейса KUMA.

Если макет был удален или присвоен другому тенанту, пока вы вносили в него изменения, при нажатии на кнопку Сохранить отобразится ошибка. Макет не будет сохранен. Обновите страницу веб-интерфейса KUMA, чтобы в раскрывающемся списке просмотреть перечень доступных макетов.

В начало
[Topic 217855]

Удаление макета панели мониторинга

Чтобы удалить макет:

  1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
  2. Раскройте список в верхнем правом углу окна.
  3. Наведите указатель мыши на требуемый макет.
  4. Нажмите на значок и подтвердите действие.

Макет будет удален.

В начало
[Topic 217835]

Включение и отключение режима ТВ

Мы рекомендуем для отображения аналитики в режиме ТВ создать отдельного пользователя с минимально необходимым набором прав.

Чтобы включить режим ТВ:

  1. В веб-интерфейсе KUMA выберите раздел Панель мониторинга.
  2. В правом верхнем углу нажмите на кнопку GearGrey.

    Откроется окно Параметры.

  3. Переведите переключатель Режим ТВ в положение Включено.
  4. Если вы хотите настроить показ макетов в режиме слайд-шоу, выполните следующие действия:
    1. Переведите переключатель Слайд-шоу в положение Включено.
    2. В поле Время ожидания укажите, через сколько секунд должно происходить переключение макетов.
    3. В раскрывающемся списке Очередь выберите макеты для просмотра. Если не выбран ни один макет, в режиме слайд-шоу будут по очереди отображаться все макеты, доступные пользователю.
    4. Если требуется, измените порядок показа макетов, перетаскивая их с помощью кнопки DragIcon.
  5. Нажмите на кнопку Сохранить.

Режим ТВ будет включен. Чтобы вернуться к работе с веб-интерфейсом KUMA, нужно отключить режим ТВ.

Чтобы отключить режим ТВ:

  1. Откройте веб-интерфейс KUMA и выберите раздел Панель мониторинга.
  2. В правом верхнем углу нажмите на кнопку GearGrey.

    Откроется окно Параметры.

  3. Переведите переключатель Режим ТВ в положение Выключено.
  4. Нажмите на кнопку Сохранить.

Режим ТВ будет отключен. В левой части экрана отобразится панель с разделами веб-интерфейса KUMA.

При внесении изменений в макеты, выбранные для слайд-шоу, эти изменения будут автоматически отображаться в активных сессиях слайд-шоу.

В начало
[Topic 230361]

Предустановленные макеты панели мониторинга

KUMA поставляется с набором предустановленных макетов. По умолчанию для предустановленных макетов указан период обновления Никогда. Вы можете редактировать эти макеты при необходимости.

Предустановленные макеты

Название макета

Описание виджетов в составе макета

Alerts Overview (Обзор алертов)
  • Active alerts (Активные алерты) – количество незакрытых алертов.
  • Unassigned alerts (Неназначенные алерты) – количество алертов со статусом Новый.
  • Latest alerts (Последние алерты) – таблица с информацией о последних 10 незакрытых алертах, принадлежащих выбранным в макете тенантам.
  • Alerts distribution (Распределение алертов) – количество алертов, созданных в течение указанного для виджета периода.
  • Alerts by priority (Алерты по уровню важности) – количество незакрытых алертов, сгруппированных по уровню важности.
  • Alerts by assignee (Алерты по исполнителю) – количество алертов со статусом Назначен. Сгруппированы по имени учетной записи.
  • Alerts by status (Алерты по статусу) – количество алертов, имеющих статус Новый, Открыт, Назначен или Эскалирован. Сгруппированы по статусу.
  • Affected users in alerts (Затронутые пользователи) – количество пользователей, связанных с алертами, имеющими статус Новый, Назначен или Эскалирован. Сгруппированы по имени учетной записи.
  • Affected assets (Затронутые активы) – таблица с информацией об уровне важности активов и количестве незакрытых алертов, с которыми они связаны.
  • Affected assets categories (Затронутые категории активов) – категории активов, привязанных к незакрытым алертам.
  • Top event source by alerts number (Топ источников событий по количеству алертов) – количество алертов со статусом Новый, Назначен или Эскалирован, сгруппированных по источнику алерта (поле события DeviceProduct). На виджете отображается не более 10 источников событий.
  • Alerts by rule (Количество алертов по правилу) – количество алертов со статусом Новый, Назначен или Эскалирован, сгруппированных по правилам корреляции.

Incidents Overview (Обзор инцидентов)
  • Active incidents (Активные инциденты) – количество незакрытых инцидентов.
  • Unassigned Incidents (Неназначенные инциденты) – количество инцидентов со статусом Открыт.
  • Latest Incidents (Последние инциденты) – таблица с информацией о последних 10 незакрытых инцидентах, принадлежащих выбранным в макете тенантам.
  • Incidents distribution (Распределение инцидентов) – количество инцидентов, созданных в течение указанного для виджета периода.
  • Incidents by priority (Инциденты по уровню важности) – количество незакрытых инцидентов, сгруппированных по уровню важности.
  • Incidents by assignee (Инциденты по исполнителю) – количество инцидентов со статусом Назначен. Сгруппированы по имени учетной записи пользователя.
  • Incidents by status (Инциденты по статусам) – количество инцидентов, сгруппированных по статусу.
  • Affected assets in incidents (Активы в инцидентах) – количество активов, связанных с незакрытыми инцидентами.
  • Affected users in incidents (Пользователи в инцидентах) – пользователи, связанные с инцидентами.
  • Affected asset categories in incidents (Категории активов в инцидентах) – категории активов, связанных с незакрытыми инцидентами.
  • Active incidents by tenant (Инциденты по тенантам) – количество инцидентов всех статусов, сгруппированных по тенантам.

Network Overview (Обзор сетевой активности)
  • Netflow top internal IPs (Топ внутренних IP-адресов по полученному netflow-трафику) – суммарный размер полученного активом netflow-трафика в байтах. Данные сгруппированы по внутренним IP-адресам активов.
  • На виджете отображается не более 10 IP-адресов.
  • Netflow top external IPs (Топ внешних IP-адресов по полученному netflow-трафику) – суммарный размер полученного активом netflow-трафика в байтах. Данные сгруппированы по внешним IP-адресам активов.
  • Netflow top hosts for remote control (Топ активов, на которые были обращения на порты для удаленного управления) – количество событий, связанных с обращением на один из следующих портов: 3389, 22, 135. Данные сгруппированы по именам активов.
  • Netflow total bytes by internal ports (Топ внутренних портов по приему netflow-трафика) – количество байт, переданное на внутренние порты активов. Данные сгруппированы по номерам портов.
  • Top Log Sources by Events count (Топ источников событий) – 10 источников, от которых было получено наибольшее количество событий.

[OOTB] KATA & EDR
  • KATA. Top-10 detections by type – визуализирует 10 самых распространенных типов событий, выявленных системой KATA.
  • KATA. Top-10 detections by file type – визуализирует 10 самых распространенных типов файлов, выявленных системой KATA.
  • KATA. Top-10 user names in detections – визуализирует 10 самых распространенных имён пользователей, выявленных системой KATA.
  • KATA. Top-10 IDS detections – визуализирует 10 самых распространенных угроз, выявленных модулем IDS системы KATA.
  • KATA. Top-10 URL detections – визуализирует 10 самых распространенных подозрительных URL-адресов, выявленных системой KATA.
  • KATA. Top-10 AV detections – визуализирует 10 самых распространенных угроз, выявленных модулем антивируса системы KATA.
  • EDR. Top-10 MITRE technique detections – визуализирует 10 самых распространенных техник матрицы MITRE ATT&CK, выявленных системой EDR.
  • EDR. Top-10 MITRE tactic detections – визуализирует 10 самых распространенных тактик матрицы MITRE ATT&CK, выявленных системой EDR.

[OOTB] KSC
  • KSC. Top-10 users with the most KAV alerts – визуализирует 10 самых распространенных имён пользователей, присутствующих в событиях, связанных с выявлением вредоносного программного обеспечения, сведения о которых содержатся в системе KSС.
  • KSC. Top-10 most common threats – визуализирует 10 самых распространенных типов вредоносного программного обеспечения, сведения о которых содержатся в системе KSС.
  • KSC. Number of devices that received AV database updates – визуализирует количество устройств, на которых были установлены обновления антивирусных баз данных, сведения о которых содержатся в системе KSС.
  • KSC. Number of devices on which the virus was found – визуализирует количество устройств, на которых было выявлено вредоносное программное обеспечение, сведения о которых содержатся в системе KSС.
  • KSC. Malware detections by hour – визуализирует распределение по часам количества вредоносного программного обеспечения, сведения о которых содержатся в системе KSС.

[OOTB] KSMG
  • KSMG. Top-10 senders of blocked emails – визуализирует 10 самых распространенных отправителей писем, заблокированных системой KSMG.
  • KSMG. Top-10 events by action – визуализирует 10 самых распространенных действий, выполненных системой KSMG.
  • KSMG. Top-10 events by outcome – визуализирует 10 самых распространенных результатов действий, выполненных системой KSMG.
  • KSMG. Blocked emails by hour – визуализирует распределение по часам количества писем, заблокированных системой KSMG.

 

[OOTB] KWTS
  • KWTS. Top-10 IP addresses with the most blocked web traffic – визуализирует 10 самых распространенных IP-адресов, трафик с которых был заблокирован системой KWTS.
  • KWTS. Top-10 IP addresses with the most allowed web traffic – визуализирует 10 самых распространенных IP-адресов, трафик с которых был разрешен системой KWTS.
  • KWTS. Top 10 requests by client application – визуализирует 10 самых распространенных приложений, использовавшихся для доступа к сетевым ресурсам, выявленных системой KWTS.
  • KWTS. Top-10 blocked URLs – визуализирует 10 самых распространенных URL-адресов, трафик с которых был разрешен системой KWTS.
  • KWTS. System action types – визуализирует 10 самых распространенных действий, выполненных системой KWTS.
  • KWTS. Top-10 users with the most allowed web traffic – визуализирует 10 самых распространенных имен пользователей, трафик которых был разрешен системой KWTS.

[OOTB] KSMG files and hashes*
  • KSMG. Top-5 blocked hashes - визуализирует 5 самых распространенных хешей файлов в письмах, заблокированных системой KSMG.
  • KSMG. Top-5 net-transferred hashes - визуализирует 5 самых распространенных «чистых» хешей файлов в письмах, отслеженных системой KSMG.
  • KSMG. Top-5 clean file names - визуализирует 5 самых распространенных «чистых» имен файлов в письмах, отслеженных системой KSMG.
  • KSMG. Top-5 blocked files - визуализирует 5 самых распространенных имен файлов в письмах, заблокированных системой KSMG.

[OOTB] KSMG rules and URLs*
  • KSMG. Top-5 rules - визуализирует 5 самых распространенных сработанных правил системы KSMG.
  • KSMG. Top-5 URLs - визуализирует 5 самых распространенных доменов из ссылок в письмах, отслеженных системой KSMG.

[OOTB] KSMG results*
  • KSMG. All results in the last 24 hours - визуализирует распределение по часам действий, выполненных системой KSMG за сутки.
  • KSMG. Top-5 results - визуализирует 5 самых распространенных действий, выполненных системой KSMG.

[OOTB] KSMG e-mail subjects and accounts*
  • KSMG. Top-5 e-mail subjects - визуализирует 5 самых распространенных тем писем, отслеженных системой KSMG.
  • KSMG. Top-5 source accounts - визуализирует 5 самых распространенных аккаунтов отправителей писем, отслеженных системой KSMG.
  • KSMG. Top-5 destination accounts - визуализирует 5 самых распространенных аккаунтов получателей писем, отслеженных системой KSMG.

*Панели мониторинга доступны начиная с KUMA 3.4.1. Виджеты будут корректно отображать информацию при использовании нормализатора [OOTB] KSMG 2.1+ syslog CEF.

В начало
[Topic 222445]