Kaspersky Unified Monitoring and Analysis Platform
3.0.3
Русский

Содержание

Точки назначения

Точки назначения задают сетевые параметры для передачи нормализованных событий. Точки назначения используются в коллекторах и корреляторах для описания того, куда передавать обработанные события. В основном, в роли точек назначения выступают коррелятор и хранилище.

Параметры точек назначения указываются на двух вкладках: Основные параметры и Дополнительные параметры. Набор доступных параметров зависит от выбранного типа точки назначения:

  • nats-jetstream – используется для коммуникации через NATS.
  • tcp – используется для связи по протоколу TCP.
  • http – используется для связи по протоколу HTTP.
  • diode – используется для передачи событий с помощью диода данных.
  • kafka – используется для коммуникаций с помощью kafka.
  • file – используется для записи в файл.
  • storage – используется для передачи данных в хранилище.
  • correlator – используется для передачи данных в коррелятор.

В этом разделе

Точка назначения, тип nats-jetstream

Тип tcp

Тип http

Тип diode

Тип kafka

Тип file

Тип storage

Тип correlator

Предустановленные точки назначения
В начало
[Topic 217842]

Точка назначения, тип nats-jetstream

Тип nats-jetstream используется для коммуникации через NATS.

Вкладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Состояние

Используется, если события нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, nats-jetstream.

URL

Обязательный параметр.

URL, с которым необходимо установить связь.

Топик

Обязательный параметр.

Тема сообщений NATS. Должно содержать символы в кодировке Unicode.

Разделитель

Используется для указания символа, определяющего границу между событиями. По умолчанию используется \n.

Авторизация

Тип авторизации при подключении к указанному URL Доступны следующие значения:

  • выключена – значение по умолчанию.
  • обычная – при выборе этого варианта требуется указать секрет, содержащий данные учетной записи пользователя для авторизации при подключении к коннектору.

Добавить секрет

Чтобы создать секрет:

  1. В поле Название введите название секрета.
  2. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору.
  3. При необходимости в поле Описание введите описание секрета.
  4. Нажмите на кнопку Создать.

Секрет будет добавлен и отобразится в раскрывающемся списке Секрет.

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Сжатие

Можно использовать сжатие Snappy. По умолчанию сжатие Выключено.

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Размер дискового буфера

Размер дискового буфера в байтах.

Значение по умолчанию: 10 ГБ.

Идентификатор кластера

Идентификатор кластера NATS.

Выходной формат

Формат отправки событий во внешний источник. Доступные значения:

  • JSON
  • CEF

Режим TLS

Использование шифрования TLS. Доступные значения:

  • Выключено: значение по умолчанию, не использовать шифрование TLS.
  • Включено: использовать шифрование, но без верификации сертификата.
  • С верификацией: использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
  • Нестандартный CA: использовать шифрование с верификацией сертификата, подписанного центром сертификации. Секрет с сертификатом выбирается в раскрывающемся списке Нестандартный CA, который отображается при выборе этого пункта.

Создание сертификата, подписанного центром сертификации

Вы можете создать сертификат, подписанный центром сертификации, на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL).

Чтобы создать сертификат, подписанный центром сертификации:

  1. Создайте ключ, который будет использоваться центром сертификации, например:

    openssl genrsa -out ca.key 2048

  2. Создайте сертификат для созданного ключа, например:

    openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt

  3. Создайте приватный ключ и запрос на его подписание в центре сертификации, например:

    openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr

  4. Создайте сертификат, подписанный центром сертификации. Вам нужно включить в переменную subjectAltName доменные имена или IP-адреса сервера, для которого вы создаете сертификат, например:

    openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

  5. Загрузите созданный сертификат server.crt в веб-интерфейсе KUMA в секрет с типом certificate, после чего в раскрывающемся списке Нестандартный CA выберите секрет с типом certificate.

При использовании TLS невозможно указать IP-адрес в качестве URL.

Разделитель

В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется \n.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: .

Количество обработчиков

Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Отладка

Переключатель, с помощью которого можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Дисковый буфер

Раскрывающийся список, с помощью которого можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен.

Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера.

Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.

Фильтр

В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

Чтобы создать фильтр:

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия укажите условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
    3. В раскрывающемся списке оператор выберите оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      • inContextTable – присутствует ли в указанной контекстной таблице запись.
      • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
    4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.

    Вы можете добавить несколько условий или группу условий.

  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку открыть для редактирования..

В начало
[Topic 232952]

Тип tcp

Тип tcp используется для связи по протоколу TCP.

Вкладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Состояние

Используется, если события нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, tcp.

URL

Обязательный параметр.

URL, с которым необходимо установить связь. Доступные форматы: хост:порт, IPv4:порт, :порт.

Также поддерживаются адреса IPv6. При их использовании необходимо также указывать интерфейс в формате [адрес%интерфейс]:порт.

Например: [fe80::5054:ff:fe4d:ba0c%eth0]:4222).

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Сжатие

Можно использовать сжатие Snappy. По умолчанию сжатие Выключено.

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Время ожидания

Время ожидания ответа (в секундах) другого сервиса или компонента.

Значение по умолчанию: 30.

Размер дискового буфера

Размер дискового буфера в байтах.

Значение по умолчанию: 10 ГБ.

Выходной формат

Формат отправки событий во внешний источник. Доступные значения:

  • JSON
  • CEF

Режим TLS

Использование шифрования TLS с использованием сертификатов в формате pem x509. Доступные значения:

  • Выключено: не использовать шифрование TLS. Значение по умолчанию.
  • Включено: использовать шифрование, но без верификации сертификатов.
  • С верификацией: использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.

При использовании TLS невозможно указать IP-адрес в качестве URL.

Политика выбора URL

В раскрывающемся списке можно выбрать способ определения, на какой URL следует отправлять события, если URL было указано несколько. Доступные значения:

  • Любой – события отправляются в один из доступных URL до тех пор, пока этот URL принимает события. При разрыве связи (например, при отключении принимающего узла) для отправки событий будет выбран другой URL.
  • Сначала первый – события отправляются в первый URL из списка добавленных адресов. Если он становится недоступен, события отправляются в следующий по очереди доступный узел. Когда первый URL снова становится доступен, события снова начинаются отправляться в него.
  • Сбалансированный – пакеты с событиями будут равномерно распределены по доступным URL из списка. Поскольку пакеты отправляются или при переполнении буфера точки назначения, или при срабатывании таймера очистки буфера, эта политика выбора URL не гарантирует равное распределение событий по точкам назначения.

Разделитель

В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется \n.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 1 с.

Количество обработчиков

Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Отладка

Переключатель, с помощью которого можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Дисковый буфер

Раскрывающийся список, в котором можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен.

Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера.

Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.

Фильтр

В разделе можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

Чтобы создать фильтр:

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия укажите условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
    3. В раскрывающемся списке оператор выберите оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      • inContextTable – присутствует ли в указанной контекстной таблице запись.
      • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
    4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.

    Вы можете добавить несколько условий или группу условий.

  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку открыть для редактирования..

В начало
[Topic 232960]

Тип http

Тип http используется для связи по протоколу HTTP.

Вкладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Состояние

Используется, если события нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, http.

URL

Обязательный параметр.

URL, с которым необходимо установить связь.

Доступные форматы: хост:порт, IPv4:порт, :порт.

Также поддерживаются адреса IPv6, однако при их использовании необходимо также указывать интерфейс: [адрес%интерфейс]:порт.
Пример: [fe80::5054:ff:fe4d:ba0c%eth0]:4222).

Авторизация

Тип авторизации при подключении к указанному URL Доступны следующие значения:

  • выключена – значение по умолчанию.
  • обычная  при выборе этого варианта требуется указать секрет, содержащий данные учетной записи пользователя для авторизации при подключении к коннектору.

Добавить секрет

Чтобы создать секрет:

  1. В поле Название введите название секрета.
  2. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору.
  3. При необходимости в поле Описание введите описание секрета.
  4. Нажмите на кнопку Создать.

Секрет будет добавлен и отобразится в раскрывающемся списке Секрет.

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Сжатие

Можно использовать сжатие Snappy. По умолчанию сжатие Выключено.

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Время ожидания

Время ожидания (в секундах) ответа другого сервиса или компонента.

Значение по умолчанию: 30.

Размер дискового буфера

Размер дискового буфера в байтах.

Значение по умолчанию: 10 ГБ.

Выходной формат

Формат отправки событий во внешний источник. Доступные значения:

  • JSON
  • CEF

Режим TLS

Использование шифрования TLS. Доступные значения:

  • Выключено: значение по умолчанию, не использовать шифрование TLS.
  • Включено: использовать шифрование, но без верификации сертификата.
  • С верификацией: использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
  • Нестандартный CA: использовать шифрование с верификацией сертификата, подписанного центром сертификации. Секрет с сертификатом выбирается в раскрывающемся списке Нестандартный CA, который отображается при выборе этого пункта.

Создание сертификата, подписанного центром сертификации

Вы можете создать сертификат, подписанный центром сертификации, на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL).

Чтобы создать сертификат, подписанный центром сертификации:

  1. Создайте ключ, который будет использоваться центром сертификации, например:

    openssl genrsa -out ca.key 2048

  2. Создайте сертификат для созданного ключа, например:

    openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt

  3. Создайте приватный ключ и запрос на его подписание в центре сертификации, например:

    openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr

  4. Создайте сертификат, подписанный центром сертификации. Вам нужно включить в переменную subjectAltName доменные имена или IP-адреса сервера, для которого вы создаете сертификат, например:

    openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

  5. Загрузите созданный сертификат server.crt в веб-интерфейсе KUMA в секрет с типом certificate, после чего в раскрывающемся списке Нестандартный CA выберите секрет с типом certificate.

При использовании TLS невозможно указать IP-адрес в качестве URL.

Политика выбора URL

В раскрывающемся списке можно выбрать способ определения, на какой URL следует отправлять события, если URL было указано несколько. Доступные значения:

  • Любой – события отправляются в один из доступных URL до тех пор, пока этот URL принимает события. При разрыве связи (например, при отключении принимающего узла) для отправки событий будет выбран другой URL. Чтобы эта политика выбора URL срабатывала, переведите переключатель Проверка работоспособности в активное положение и укажите Путь проверки работоспособности. Если переключатель Проверка работоспособности неактивен или не указан Путь проверки работоспособности, политика не будет срабатывать.
  • Сначала первый – события отправляются в первый URL из списка добавленных адресов. Если он становится недоступен, события отправляются в следующий по очереди доступный узел. Когда первый URL снова становится доступен, события снова начинаются отправляться в него. Чтобы эта политика выбора URL срабатывала, переведите переключатель Проверка работоспособности в активное положение и укажите Путь проверки работоспособности. Если переключатель Проверка работоспособности неактивен или не указан Путь проверки работоспособности, политика не будет срабатывать.
  • Сбалансированный – пакеты с событиями будут равномерно распределены по доступным URL из списка. Поскольку пакеты отправляются или при переполнении буфера точки назначения, или при срабатывании таймера очистки буфера, эта политика выбора URL не гарантирует равное распределение событий по точкам назначения.

Разделитель

В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется \n.

Путь

Путь, который необходимо добавить для URL-запроса. Например, если указать путь /input, а в качестве URL ввести 10.10.10.10, то от точки назначения будут исходить запросы 10.10.10.10/input.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 1 с.

Количество обработчиков

Количество служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Путь проверки работоспособности

URL для отправки запросов для получения данных о работоспособности системы, с которой устанавливает связь ресурс точки назначения.

Ожидание проверки работоспособности

Частота проверки работоспособности в секундах.

Путь проверки работоспособности

URL для отправки запросов на получение данных о работоспособности системы, с которой устанавливает связь ресурс точки назначения.

Проверка работоспособности

Переключатель проверки работоспособности.

Отладка

Переключатель, с помощью которого можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Дисковый буфер

Раскрывающийся список, в котором можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен.

Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера.

Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.

Фильтр

В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

Чтобы создать фильтр:

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия укажите условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
    3. В раскрывающемся списке оператор выберите оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      • inContextTable – присутствует ли в указанной контекстной таблице запись.
      • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
    4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.

    Вы можете добавить несколько условий или группу условий.

  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку открыть для редактирования..

В начало
[Topic 232961]

Тип diode

Тип diode используется для передачи событий с помощью диода данных.

Вкладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Состояние

Используется, если события нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, diode.

Директория, из которой диод данных получает события

Обязательный параметр.

Директория, откуда диод данных перемещает события. Путь может содержать до 255 символов в кодировке Unicode.

Ограничения при использовании префиксов к путям на серверах Windows

На серверах Windows необходимо указывать абсолютные пути к директориям. Невозможно использовать директории, названия которых соответствуют указанным ниже регулярным выражениям:

  • ^[a-zA-Z]:\\Program Files
  • ^[a-zA-Z]:\\Program Files \(x86\)
  • ^[a-zA-Z]:\\Windows
  • ^[a-zA-Z]:\\ProgramData\\Kaspersky Lab\\KUMA

Ограничения при использовании префиксов к путям на серверах Linux

Префиксы, которые невозможно использовать при указании путей к файлам:

  • /*
  • /bin
  • /boot
  • /dev
  • /etc
  • /home
  • /lib
  • /lib64
  • /proc
  • /root
  • /run
  • /sys
  • /tmp
  • /usr/*
  • /usr/bin/
  • /usr/local/*
  • /usr/local/sbin/
  • /usr/local/bin/
  • /usr/sbin/
  • /usr/lib/
  • /usr/lib64/
  • /var/*
  • /var/lib/
  • /var/run/
  • /opt/kaspersky/kuma/

Файлы по указанным ниже путям доступны:

  • /opt/kaspersky/kuma/clickhouse/logs/
  • /opt/kaspersky/kuma/mongodb/log/
  • /opt/kaspersky/kuma/victoria-metrics/log/

Временная директория

Директория, в которой события готовятся для передачи диоду данных.

События собираются в файл по истечении времени ожидания (по умолчанию 10 секунд) или при переполнении буфера. Подготовленный файл перемещается в директорию, указанную в поле Директория, из которой диод данных получает события. В качестве названия файла с событиями используется хеш-сумма (SHA-256) содержимого файла.

Временная директория не должна совпадать с директорией, из которой диод данных получает события.

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Сжатие

Можно использовать сжатие Snappy. По умолчанию сжатие Выключено.

Этот параметр должен совпадать для коннектора и точки назначения, используемых для передачи событий из изолированного сегмента сети с помощью диода данных.

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Разделитель

В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется \n.

Этот параметр должен совпадать для коннектора и точки назначения, используемых для передачи событий из изолированного сегмента сети с помощью диода данных.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 1 с.

Количество обработчиков

Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Отладка

Переключатель, с помощью которого можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Фильтр

В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

Чтобы создать фильтр:

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия укажите условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
    3. В раскрывающемся списке оператор выберите оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      • inContextTable – присутствует ли в указанной контекстной таблице запись.
      • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
    4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.

    Вы можете добавить несколько условий или группу условий.

  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку открыть для редактирования..

В начало
[Topic 232967]

Тип kafka

Тип kafka используется для коммуникаций с помощью kafka.

Вкладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Состояние

Используется, если события нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, kafka.

URL

Обязательный параметр.

URL, с которым необходимо установить связь. Доступные форматы: хост:порт, IPv4:порт, :порт. Также поддерживаются адреса IPv6, однако при их использовании необходимо также указывать интерфейс: [адрес%интерфейс]:порт.
Пример: [fe80::5054:ff:fe4d:ba0c%eth0]:4222).

С помощью кнопки URL можно добавить несколько адресов.

Топик

Обязательный параметр.

Тема сообщений Kafka. Должен содержать от 1 до 255 следующих символов: a–z, A–Z, 0–9, ".", "_", "-".

Разделитель

Используется для указания символа, определяющего границу между событиями. По умолчанию используется \n.

Авторизация

Тип авторизации при подключении к указанному URL Доступны следующие значения:

  • выключена – значение по умолчанию.
  • PFX – требуется сформировать сертификат с закрытым ключом в формате PKCS#12-контейнера во внешнем центре сертификации, экспортировать сертификат из хранилища и загрузить его в веб-интерфейс KUMA в виде PFX-секрета.
  • Добавить PFX-секрет

    Чтобы создать PFX-секрет:

    1. В поле Название введите название PFX-секрета.
    2. Нажмите на кнопку Загрузить PFX и выберите файл в формате PKCS#12-контейнера, в который вы экспортировали PFX-сертификат с закрытым ключом.
    3. В поле Пароль введите пароль для защиты PFX-сертификата, указанный в мастере экспорта PFX-сертификата.
    4. Нажмите на кнопку Создать.

    PFX-секрет будет создан и отобразится в раскрывающемся списке PFX секрет.

  • обычная – требуется указать секрет, содержащий данные учетной записи пользователя для авторизации при подключении к коннектору.

Добавить секрет

Чтобы создать секрет:

  1. В поле Название введите название секрета.
  2. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору.
  3. При необходимости в поле Описание введите описание секрета.
  4. Нажмите на кнопку Создать.

Секрет будет добавлен и отобразится в раскрывающемся списке Секрет.

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Время ожидания

Время ожидания (в секундах) ответа другого сервиса или компонента.

Значение по умолчанию: 30.

Размер дискового буфера

Размер дискового буфера в байтах.

Значение по умолчанию: 10 ГБ.

Выходной формат

Формат отправки событий во внешний источник. Доступные значения:

  • JSON
  • CEF

Режим TLS

Использование шифрования TLS. Доступные значения:

  • Выключено – значение по умолчанию, не использовать шифрование TLS.
  • Включено – использовать шифрование, но без верификации сертификата.
  • С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
  • Нестандартный CA – использовать шифрование с верификацией сертификата, подписанного центром сертификации. Секрет с сертификатом выбирается в раскрывающемся списке Нестандартный CA, который отображается при выборе этого пункта.

Создание сертификата, подписанного центром сертификации

Вы можете создать сертификат, подписанный центром сертификации, на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL).

Чтобы создать сертификат, подписанный центром сертификации:

  1. Создайте ключ, который будет использоваться центром сертификации, например:

    openssl genrsa -out ca.key 2048

  2. Создайте сертификат для созданного ключа, например:

    openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt

  3. Создайте приватный ключ и запрос на его подписание в центре сертификации, например:

    openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr

  4. Создайте сертификат, подписанный центром сертификации. Вам нужно включить в переменную subjectAltName доменные имена или IP-адреса сервера, для которого вы создаете сертификат, например:

    openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

  5. Загрузите созданный сертификат server.crt в веб-интерфейсе KUMA в секрет с типом certificate, после чего в раскрывающемся списке Нестандартный CA выберите секрет с типом certificate.

При использовании TLS невозможно указать IP-адрес в качестве URL.

Разделитель

В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется \n.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 1 с.

Количество обработчиков

Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Отладка

Переключатель, с помощью которого можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Дисковый буфер

Раскрывающийся список, с помощью которого можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен.

Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера.

Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.

Фильтр

В разделе можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

Чтобы создать фильтр:

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия укажите условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
    3. В раскрывающемся списке оператор выберите оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      • inContextTable – присутствует ли в указанной контекстной таблице запись.
      • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
    4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.

    Вы можете добавить несколько условий или группу условий.

  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку открыть для редактирования..

В начало
[Topic 232962]

Тип file

Тип file используется для записи в файл.

При удалении точки назначения типа file, используемой в каком-либо сервисе, этот сервис необходимо перезапустить.

Вкладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Состояние

Используется, если события нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, file.

URL

Обязательный параметр.

Путь к файлу, в который необходимо записать события.

Ограничения при использовании префиксов к путям файлов

Префиксы, которые невозможно использовать при указании путей к файлам:

  • /*
  • /bin
  • /boot
  • /dev
  • /etc
  • /home
  • /lib
  • /lib64
  • /proc
  • /root
  • /run
  • /sys
  • /tmp
  • /usr/*
  • /usr/bin/
  • /usr/local/*
  • /usr/local/sbin/
  • /usr/local/bin/
  • /usr/sbin/
  • /usr/lib/
  • /usr/lib64/
  • /var/*
  • /var/lib/
  • /var/run/
  • /opt/kaspersky/kuma/

Файлы по указанным ниже путям доступны:

  • /opt/kaspersky/kuma/clickhouse/logs/
  • /opt/kaspersky/kuma/mongodb/log/
  • /opt/kaspersky/kuma/victoria-metrics/log/

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Размер дискового буфера

Размер дискового буфера в байтах.

Значение по умолчанию: 10 ГБ.

Разделитель

В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется \n.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 1 с.

Количество обработчиков

Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Выходной формат

Формат отправки событий во внешний источник. Доступные значения:

  • JSON
  • CEF

Отладка

Переключатель, с помощью которого можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Дисковый буфер

Раскрывающийся список, с помощью которого можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен.

Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера.

Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.

Фильтр

В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

Чтобы создать фильтр:

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия укажите условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
    3. В раскрывающемся списке оператор выберите оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      • inContextTable – присутствует ли в указанной контекстной таблице запись.
      • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
    4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.

    Вы можете добавить несколько условий или группу условий.

  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку открыть для редактирования..

В начало
[Topic 232965]

Тип storage

Тип storage используется для передачи данных в хранилище.

Вкладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Состояние

Используется, если события нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, storage.

URL

Обязательный параметр.

URL, с которым необходимо установить связь. Доступные форматы: хост:порт, IPv4:порт, :порт. Также поддерживаются адреса IPv6, однако при их использовании необходимо также указывать интерфейс: [адрес%интерфейс]:порт.
Пример: [fe80::5054:ff:fe4d:ba0c%eth0]:4222).

С помощью кнопки URL можно добавить несколько адресов.

В поле URL поддерживается поиск сервисов по FQDN, IP-адресу и названию. Особенности поиска по указанным в поле значениям:

  • <Поисковое значение> – поиск ведется по FQDN, IP-адресам и названиям сервисов.
  • <Первое поисковое значение, оканчивающееся на одну или несколько цифр>:<второе поисковое значение> – поиск по первому значению ведется по FQDN, IP-адресам сервисов, а второе значение используется для поиска по порту.
  • :<значение> – поиск ведется по порту.

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Прокси-сервер

Раскрывающийся список для выбора прокси-сервера.

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Размер дискового буфера

Размер дискового буфера в байтах.

Значение по умолчанию: 10 ГБ.

Политика выбора URL

Раскрывающийся список, в котором можно выбрать способ определения, на какой URL следует отправлять события, если URL было указано несколько:

  • Любой – события отправляются в один из доступных URL до тех пор, пока этот URL принимает события. При разрыве связи (например, при отключении принимающего узла) для отправки событий будет выбран другой URL.
  • Сначала первый – события отправляются в первый URL из списка добавленных адресов. Если он становится недоступен, события отправляются в следующий по очереди доступный узел. Когда первый URL снова становится доступен, события снова начинаются отправляться в него.
  • Сбалансированный – пакеты с событиями будут равномерно распределены по доступным URL из списка. Поскольку пакеты отправляются или при переполнении буфера точки назначения, или при срабатывании таймера очистки буфера, эта политика выбора URL не гарантирует равное распределение событий по точкам назначения.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 1 с.

Количество обработчиков

Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Ожидание проверки работоспособности

Частота проверки работоспособности в секундах.

Отладка

Переключатель, с помощью которого можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Дисковый буфер

Раскрывающийся список, с помощью которого можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен.

Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера.

Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.

Фильтр

В разделе можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

Чтобы создать фильтр:

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия укажите условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
    3. В раскрывающемся списке оператор выберите оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      • inContextTable – присутствует ли в указанной контекстной таблице запись.
      • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
    4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.

    Вы можете добавить несколько условий или группу условий.

  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку открыть для редактирования..

В начало
[Topic 232973]

Тип correlator

Тип correlator используется для передачи данных в коррелятор.

Вкладка Основные параметры

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Переключатель Состояние

Используется, если события нужно отправлять в точку назначения.

По умолчанию отправка событий включена.

Тип

Обязательный параметр.

Тип точки назначения, correlator.

URL

Обязательный параметр.

URL, с которым необходимо установить связь. Доступные форматы: хост:порт, IPv4:порт, :порт. Также поддерживаются адреса IPv6, однако при их использовании необходимо также указывать интерфейс: [адрес%интерфейс]:порт.
Пример: [fe80::5054:ff:fe4d:ba0c%eth0]:4222).

С помощью кнопки URL можно добавить несколько адресов.

В поле URL поддерживается поиск сервисов по FQDN, IP-адресу и названию. Особенности поиска по указанным в поле значениям:

  • <Поисковое значение> – поиск ведется по FQDN, IP-адресам и названиям сервисов.
  • <Первое поисковое значение, оканчивающееся на одну или несколько цифр>:<второе поисковое значение> – поиск по первому значению ведется по FQDN, IP-адресам сервисов, а второе значение используется для поиска по порту.
  • :<значение> – поиск ведется по порту.

Описание

Описание ресурса: до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Прокси-сервер

Раскрывающийся список для выбора прокси-сервера.

Размер буфера

Используется для установки размера буфера.

Значение по умолчанию: 1 КБ; максимальное: 64 МБ.

Размер дискового буфера

Размер дискового буфера в байтах.

Значение по умолчанию: 10 ГБ.

Политика выбора URL

Раскрывающийся список, в котором можно выбрать способ определения, на какой URL следует отправлять события, если URL было указано несколько:

  • Любой – события отправляются в один из доступных URL до тех пор, пока этот URL принимает события. При разрыве связи (например, при отключении принимающего узла) для отправки событий будет выбран другой URL.
  • Сначала первый – события отправляются в первый URL из списка добавленных адресов. Если он становится недоступен, события отправляются в следующий по очереди доступный узел. Когда первый URL снова становится доступен, события снова начинаются отправляться в него.
  • Сбалансированный – пакеты с событиями будут равномерно распределены по доступным URL из списка. Поскольку пакеты отправляются или при переполнении буфера точки назначения, или при срабатывании таймера очистки буфера, эта политика выбора URL не гарантирует равное распределение событий по точкам назначения.

Интервал очистки буфера

Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 1 с.

Количество обработчиков

Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.

Ожидание проверки работоспособности

Частота проверки работоспособности в секундах.

Отладка

Переключатель, с помощью которого можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.

Дисковый буфер

Раскрывающийся список, с помощью которого можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен.

Дисковый буфер используется, если коллектор не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера.

Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.

Фильтр

В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

Чтобы создать фильтр:

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия укажите условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
    3. В раскрывающемся списке оператор выберите оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      • inContextTable – присутствует ли в указанной контекстной таблице запись.
      • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
    4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.

    Вы можете добавить несколько условий или группу условий.

  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку открыть для редактирования..

В начало
[Topic 232976]

Предустановленные точки назначения

В поставку KUMA включены перечисленные в таблице ниже точки назначения.

Предустановленные точки назначения

Название точки назначения

Описание

[OOTB] Correlator

Отправляет события в коррелятор.

[OOTB] Storage

Отправляет события в хранилище.

В начало
[Topic 250830]