Операции с ресурсами

Вы можете управлять ресурсами KUMA: создавать, перемещать, копировать, редактировать и удалять ресурсы, а также импортировать и экспортировать их. Перечисленные операции доступны для всех ресурсов, вне зависимости от типа ресурса.

Ресурсы KUMA располагаются в папках. Вы можете добавлять, переименовывать, перемещать и удалять папки ресурсов.

Создание, переименование, перемещение и удаление папок с ресурсами

Ресурсы можно расположить по папкам. В левой части окна отображается структура папок: корневые папки соответствуют тенантам и содержат перечень всех ресурсов тенанта. Во всех остальных папках, вложенных в корневую, отображаются ресурсы отдельной папки. Когда папка выбрана, содержащиеся в ней ресурсы отображаются в таблице в правой части окна.

Папки можно создавать, переименовывать, перемещать и удалять.

Чтобы создать папку:

1. Выберите в дереве папку, в которой требуется новая папка.
2. Нажмите на кнопку Добавить папку.

Папка будет создана.

Чтобы переименовать папку:

1. Найдите нужную папку в структуре папок.
2. Наведите курсор на название папки.

   Рядом с названием папки появится значок .

3. В раскрывающемся списке выберите Переименовать.

   Название папки станет доступным для редактирования.

4. Введите новое название папки и нажмите ENTER.

   Название папки не может быть пустым.

Папка будет переименована.

Чтобы переместить папку,

Нажмите название папки и перетащите ее в требуемое место в структуре папок.

Папки невозможно переместить из одного тенанта в другой

Чтобы удалить папку:

1. В структуре папок выберите нужную папку.
2. Правой кнопкой мыши вызовите контекстное меню и выберите Удалить.

   Появится окно подтверждения.

3. Нажмите ОК.

Папка будет удалена.

Программа не удаляет папки, которые содержат файлы или вложенные папки.

Создание, дублирование, перемещение, редактирование и удаление ресурсов

Вы можете создавать, перемещать, копировать, редактировать и удалять ресурсы.

Чтобы создать ресурс:

1. В разделе Ресурсы → <тип ресурса> выберите или создайте папку, в которую требуется добавить новый ресурс.

   Корневые папки соответствуют тенантам. Чтобы ресурс был доступен определенному тенанту, его следует создать в папке этого тенанта.

2. Нажмите на кнопку Добавить <тип ресурса>.

   Откроется окно для настройки параметров выбранного типа ресурсов. Доступные параметры зависят от типа ресурса.

3. Введите уникальное имя ресурса в поле Название.
4. Укажите обязательные параметры (они отмечены красной звездочкой).
5. При желании укажите дополнительные параметры (это необязательное действие).
6. Нажмите Сохранить.

Ресурс будет создан и доступен для использования в сервисах и других ресурсах.

Чтобы переместить ресурс в новую папку:

1. В разделе Ресурсы → <тип ресурса> найдите требуемый ресурс в структуре папок.
2. Установите флажки рядом с ресурсами, которые вы хотите переместить. Можно выбрать сразу несколько ресурсов.

   Рядом с выбранными ресурсами отобразится значок . В нижней части таблицы отобразится количество выбранных ресурсов.

3. Перетащите ресурсы в нужную папку с помощью значка .

Ресурсы будут перемещены в новые папки.

Вы можете перемещать ресурсы только в папки того тенанта, в рамках которого были созданы ресурсы. Перемещение ресурсов в папки другого тенанта недоступно.

Чтобы скопировать ресурс:

1. В разделе Ресурсы → <тип ресурса> найдите требуемый ресурс в структуре папок.
2. Установите флажок рядом с ресурсом, которые вы хотите скопировать, и нажмите Дублировать.

   В нижней части таблицы отобразится количество выбранных ресурсов.

   Отображается окно с параметрами ресурса, который вы выбрали для копирования. Доступные параметры зависят от типа ресурса.

   В поле Название отображается <название выбранного ресурса> - копия.

3. Измените нужные параметры.
4. Введите уникальное имя в поле Название.
5. Нажмите Сохранить.

Копия ресурса будет создана.

Чтобы изменить ресурс:

1. В разделе Ресурсы → <тип ресурса> найдите требуемый ресурс в структуре папок.
2. Выберите ресурс.

   Отображается окно с параметрами выбранного ресурса. Доступные параметры зависят от типа ресурса.

3. Измените нужные параметры.
4. Выполните одно из следующих действий:
   • Нажмите Сохранить, чтобы сохранить изменения.
   • Нажмите Сохранить с комментарием и в открывшемся окне укажите комментарий к сделанным изменениям. Изменения будут сохранены, и комментарий будет добавлен к созданной версии ресурса.

Ресурс будет обновлен, и для него будет создана новая версия. Если этот ресурс используется в сервисе, перезапустите сервис, чтобы он задействовал новую версию ресурса.

Если текущий ресурс недоступен для редактирования (например, невозможно изменить корреляционное правило), можно перейти в карточку другого ресурса, нажав на кнопку Посмотреть. Эта кнопка становится доступной в пакетных ресурсах при нажатии на другой ресурс, связанный с вашим текущим ресурсом.

Если при сохранении изменений ресурса обнаруживается, что текущая версия ресурса была изменена другим пользователем, вам будет предложен выбор из следующих действий:

• Сохранить ваши изменения как новую версию ресурса поверх изменений другого пользователя.
• Сохранить ваши изменения как новый ресурс.

  В этом случае будет создан дубликат изначального ресурса с измененными параметрами. В название нового ресурса будет добавлено "- копия", и в комментарии к его версии будут указаны название и версия ресурса, с которого был создан дубликат.

• Отменить ваши изменения.

  Отмененные изменения невозможно восстановить.

Чтобы удалить ресурс:

1. В разделе Ресурсы → <тип ресурса> найдите требуемый ресурс в структуре папок.
2. Установите флажок рядом с ресурсом, которые вы хотите удалить, и нажмите Удалить.

   В нижней части таблицы отобразится количество выбранных ресурсов. Откроется окно подтверждения.

3. Нажмите ОК.

Ресурс и все его сохраненные версии будут удалены.

Привязать корреляторы к корреляционному правилу

Для созданных корреляционных правил доступна опция Привязать корреляторы.

Чтобы привязать корреляторы:

1. В веб-интерфейсе KUMA → Ресурсы → Правила корреляции выберите созданное правило корреляции и нажмите Привязать корреляторы.
2. В открывшемся окне Корреляторы выберите один или несколько корреляторов, установив рядом флажок.
3. Нажмите ОК.

Корреляторы привязаны к правилу корреляции.

Правило будет добавлено последним в очередь для выполнения в каждом выбранном корреляторе. Если вы хотите поднять правило в очереди выполнения, перейдите в Ресурсы → Корреляторы → <выбранный коррелятор> → Редактирование коррелятора → Корреляция, установите флажок рядом с нужным правилом и воспользуйтесь кнопками Поднять или Опустить, чтобы установить желаемый порядок выполнения правил.

Обновление ресурсов

"Лаборатория Касперского" регулярно выпускает пакеты с ресурсами, доступные для импорта из репозитория. Вы можете указать адрес электронной почты в параметрах задачи Обновление репозитория и после первого выполнения задачи KUMA будет отправлять на указанный адрес уведомления о доступных для обновления пакетах. Вы можете выполнить обновление репозитория, проанализировать содержимое каждого обновления и принять решение об импорте и внедрении новых ресурсов в эксплуатируемую инфраструктуру. KUMA поддерживает обновление c серверов Лаборатории Касперского и из пользовательского источника, в том числе без прямого доступа к интернету с использованием механизма «зеркала обновления». При использовании в инфраструктуре других продуктов Лаборатории Касперского, можно подключить KUMA к уже существующим зеркалам обновления. Подсистема обновления расширяет возможности KUMA по реагированию на изменения ландшафта угроз и инфраструктуры, а возможность её использования без прямого доступа к интернету обеспечивает гарантии конфиденциальности данных, обрабатываемых системой.

Чтобы обновить ресурсы, вам необходимо выполнить следующие шаги:

1. Обновить репозиторий, чтобы доставить в репозиторий пакеты с ресурсами. Обновление репозитория доступно в двух режимах:
   • Автоматическое обновление.
   • Обновление вручную.
2. Импортировать пакеты с ресурсами из обновленного репозитория в тенант.

Чтобы сервис начал использовать обновленные ресурсы, после выполнения импорта убедитесь, что ресурсы привязаны. В случае необходимости привяжите ресурсы к коллекторам, корреляторам или агентам и обновите параметры.

Чтобы настроить автоматическое обновление:

1. В разделе Параметры – Обновление репозитория настройте Интервал обновления в часах. Значение по умолчанию - 24 часа.
2. Укажите Источник обновления. Доступны следующие варианты:
   • Серверы обновления "Лаборатории Касперского"

     

     Серверы расположены в разных странах по всему миру, что обеспечивает высокую надежность обновления. Если обновление невозможно выполнить с одного сервера, KUMA переключается на другой сервер.

     .

     Вы можете посмотреть список серверов обновления в Базе знаний.

   • Пользовательский источник:
     • URL к папке общего доступа на HTTP-сервере.
     • Полный путь к локальной папке на хосте с установленным ядром KUMA.

       В случае использования локальной папки у системного пользователя kuma должен быть доступ для чтения к этой папке и ее содержимому.

3. При необходимости в поле Прокси-сервер выберите из списка существующий прокси-сервер, который должен использоваться при запуске задачи Обновление репозитория.

   Вы также можете создать новый прокси-сервер, нажав на значок плюса ().

4. Укажите Адреса электронной почты для рассылки уведомлений, нажав на кнопку Добавить. На указанные адреса электронной почты будет поступать рассылка уведомлений о том, что в репозитории появились новые пакеты или новая версия тех пакетов, которые вы когда-либо импортировали в тенант.

   Если вы указываете электронную почту пользователя KUMA, в профиле пользователя должен быть установлен флажок Получать уведомления по почте. Для почты, которая не принадлежит ни одному пользователю KUMA, письмо будет приходит без дополнительных настроек. Параметры подключения к SMTP-серверу должны быть указаны во всех случаях.

5. Нажмите Сохранить. Задача обновления запустится автоматически в самое ближайшее время и дальше запуск задачи будет выполнен в соответствии с расписанием.

Чтобы запустить обновление репозитория вручную:

1. Если вы хотите отключить автоматическое обновление, в разделе Параметры – Обновление репозитория установите флажок Отключить автоматическое обновление. По умолчанию флажок снят. Также вы можете запустить обновление репозитория вручную, не отключая автоматическое обновление. Запуск обновления вручную не влияет на график выполнения автоматического обновления.
2. Укажите Источник обновления. Доступны следующие варианты:
   • Серверы обновления "Лаборатории Касперского".
   • Пользовательский источник:
     • URL к папке общего доступа на HTTP-сервере.
     • Полный путь к локальной папке на хосте с установленным ядром KUMA.

       В случае использования локальной папки у пользователя kuma должен быть доступ к этой папке и её содержимому.

3. При необходимости в поле Прокси-сервер выберите из списка существующий прокси-сервер, который должен использоваться при запуске задачи Обновление репозитория.

   Вы также можете создать новый прокси-сервер, нажав на значок плюса ().

4. Укажите Адреса электронной почты для рассылки уведомлений, нажав на кнопку Добавить. На указанные адреса электронной почты будет поступать рассылка уведомлений о том, что в репозитории появились новые пакеты или новая версия тех пакетов, которые вы когда-либо импортировали в тенант.

   Если вы указываете электронную почту пользователя KUMA, в профиле пользователя должен быть установлен флажок Получать уведомления по почте. Для почты, которая не принадлежит ни одному пользователю KUMA, письмо будет приходит без дополнительных настроек. Параметры подключения к SMTP-серверу должны быть указаны во всех случаях.

5. Нажмите Запустить обновление. Таким образом, вы одновременно сохраните настройки и вручную запустите выполнение задачи Обновление репозитория.

Настройка пользовательского источника с использованием Kaspersky Update Utility

Вы можете обновлять ресурсы без доступа к интернету через пользовательский источник обновления с помощью утилиты Kaspersky Update Utility.

Настройка состоит из следующих шагов:

1. Настройка пользовательского источника с помощью Kaspersky Update Utility:
   1. Установка и настройка Kaspersky Update Utility на одном из компьютеров локальной сети организации.
   2. Настройка копирования обновлений в папку общего доступа в параметрах Kaspersky Update Utility.
2. Настройка обновления репозитория KUMA из пользовательского источника.

Настройка пользовательского источника с помощью Kaspersky Update Utility:

Вы можете загрузить дистрибутив Kaspersky Update Utility с веб-сайта Службы технической поддержки "Лаборатории Касперского".

1. В Kaspersky Update Utility включите скачивание обновлений для KUMA версии 2.1:
   • В разделе Программы - Контроль периметра установите флажок рядом с KUMA 2.1, чтобы включить возможность обновления.
   • Если вы работаете с Kaspersky Update Utility через командную строку, в конфигурационном файле updater.ini в секции [ComponentSettings] добавьте следующую строку или укажите значение true для уже существующей строки:

     KasperskyUnifiedMonitoringAndAnalysisPlatform_3_4=true

2. В разделе Загрузки укажите источник обновлений. По умолчанию в качестве источника используются сервера обновления "Лаборатории Касперского".
3. В разделе Загрузки в группе параметров Папки для обновлений укажите папку общего доступа, в которую Kaspersky Update Utility будет загружать обновления. Доступны следующие варианты:
   • Укажите локальную папку на хосте, где установлена Kaspersky Update Utility. Разверните HTTP-сервер, который будет отдавать обновления, и опубликуйте на нем эту локальную папку. В KUMA в разделе Параметры - Обновление репозитория - Пользовательский источник укажите URL к локальной папке, опубликованной на HTTP-сервере.
   • Укажите локальную папку на хосте, где установлена Kaspersky Update Utility. Сделайте эту локальную папку доступной по сети. Примонтируйте доступную по сети локальную папку на хосте с KUMA. В KUMA в разделе Параметры - Обновление репозитория - Пользовательский источник укажите полный путь к этой локальной папке.

Подробную информацию о работе с Kaspersky Update Utility см. в Базе знаний "Лаборатории Касперского".

Экспорт ресурсов

Если для пользователя скрыты общие ресурсы, он не может экспортировать ни общие ресурсы, ни ресурсы, в которых используются общие ресурсы.

Чтобы экспортировать ресурсы:

1. В разделе Ресурсы нажмите Экспортировать ресурсы.

   Откроется окно Экспортировать ресурсы с деревом всех доступных ресурсов.

2. В поле Пароль введите пароль, который необходимо использовать для защиты экспортируемых данных.
3. В раскрывающемся списке Тенант выберите тенанта, ресурсы которого вы хотите экспортировать.
4. Установите флажки рядом с ресурсами, которые вы хотите экспортировать.

   Если выбранные ресурсы связаны с другими ресурсами, эти ресурсы также будут экспортированы.

5. Нажмите на кнопку Экспортировать.

Ресурсы в защищенном паролем файле сохранятся на вашем компьютере в зависимости от настроек вашего браузера. Ресурсы секретов экспортируются пустыми.

Импорт ресурсов

При работе с KUMA 3.0.3 рекомендуется использовать ресурсы из пакета "[OOTB] KUMA 3.0.1 resources" и ресурсы, опубликованные в репозитории после выхода этого пакета.

Чтобы импортировать ресурсы:

1. В разделе Ресурсы нажмите Импорт ресурсов.

   Откроется окно Импорт ресурсов.

2. В раскрывающемся списке Тенант выберите тенанта, которому будут принадлежать импортируемые ресурсы.
3. В раскрывающемся списке Источник импорта выберите один из следующих вариантов:
   • Файл

     При выборе этого варианта необходимо указать пароль и нажать на кнопку Импортировать.

   • Репозиторий

     При выборе этого варианта отображается список доступных для импорта пакетов. Мы рекомендуем убедиться, что дата обновления репозитория относительно недавняя и при необходимости настроить автоматическое обновление.

     Вы можете выбрать один или несколько пакетов для импорта и нажать на кнопку Импортировать. Зависимые ресурсы Общего тенанта будут импортированы в Общий тенант, остальные ресурсы будут импортированы в выбранный тенант. Отдельных прав для учетной записи на Общий тенант не требуется, необходимо только наличие права на импорт в выбранном тенанте.

     Импортированные ресурсы с пометкой "Этот ресурс входит в пакет. Его можно удалить, но он недопустен для редактирования." можно только удалить. Если вы хотите переименовать, отредактировать или переместить импортированный ресурс, вам следует сделать дубликат ресурса с помощью кнопки Дублировать и с дубликатом выполнить желаемые действия. При импорте следующих версий пакета дубликат не будет обновлен, поскольку он уже представляет собой отдельный объект.

     Импортированные ресурсы, расположенные в папке "Integration" можно отредактировать, подобные ресурсы имеют пометку "Этот ресурс входит в пакет". К пакетному ресурсу, размещённому в папке "Integration", допускается добавление Словаря с типом «Таблица», добавление иных ресурсов не допускается. При импорте следующих версий пакета отредактированный ресурс не будет заменен на аналогичный ресурс из пакета, что позволит сохранить внесенные изменения.

4. Разрешите конфликты между импортированными из файла и существующими ресурсами, если они возникли. Подробнее о конфликтах ресурсов см. ниже.
   1. Если имя, тип и guid импортированных ресурсов полностью совпадает с именем, типом и guid существующего ресурса, открывается окно Конфликты с таблицей, в которой отображаются тип и имя конфликтующих ресурсов. Разрешите отображаемые конфликты:
      • Если вы хотите заменить существующий ресурс новым, нажмите Заменить.

        Нажмите Заменить все, чтобы заменить все конфликтующие ресурсы.

      • Если вы хотите оставить существующий ресурс, нажмите Пропустить.

        Для зависимых ресурсов - то есть привязанных к другим ресурсам - недоступна опция Пропустить, зависимые ресурсы можно только Заменить.

        Нажмите Пропустить все, чтобы сохранить все существующие ресурсы.

   2. Нажмите на кнопку Устранить.

   Ресурсы импортируются в KUMA. Ресурсы секретов импортируются пустыми.

Импорт ресурсов, использующих расширенную схему событий

Если вы импортируете нормализатор, использующий одно или несколько полей расширенной схемы событий, в KUMA будет автоматически создано поле расширенной схемы, использующееся в нормализаторе.

Если вы импортируете прочие типы ресурсов, использующих в своей логике поля расширенной схемы событий, ресурсы будут успешно импортированы. Для обеспечения работы импортированных ресурсов необходимо создать соответствующие поля расширенной схемы событий в ресурсе типа «нормализатор».

Если в KUMA будет импортирован нормализатор, использующий поле расширенной схемы событий и такое поле уже существует в KUMA, будет использовано созданное ранее поле.

О разрешении конфликтов

Когда ресурсы импортируются в KUMA из файла, программа сравнивает их с существующими ресурсами, сверяя следующие параметры:

• Имя и тип. Если имя и тип импортируемого ресурса совпадают с параметрами существующего ресурса, имя импортированного ресурса автоматически изменяется.
• Идентификатор. Если идентификаторы двух ресурсов совпадают, возникает конфликт, который должен разрешить пользователь. Такая ситуация может возникнуть, когда вы импортируете ресурсы на тот же сервер KUMA, с которого они были экспортированы.

При разрешении конфликта вы можете либо заменить существующий ресурс импортированным, либо оставить существующий ресурс.

Некоторые ресурсы связаны между собой: например, в некоторых типах коннекторов обязательно нужно указывать секрет коннектора. Секреты также импортируются, если они привязаны к коннектору. Такие связанные ресурсы экспортируются и импортируются вместе.

Особенности импорта:

1. Ресурсы импортируются в выбранный тенант.
2. Если связанный ресурс находился в Общем тенанте, при импорте он снова будет в Общем тенанте.
3. В окне Конфликты в столбце Родительский объект всегда отображается самый верхний родительский ресурс из выбранных при импорте.
4. Если во время импорта возникает конфликт, и вы выбираете замену существующего ресурса новым, все связанные с ним ресурсы также будут автоматически заменены импортированными ресурсами.

Известные ошибки:

1. Привязанный ресурс попадает в тенант, указанный при импорте, а не в Общий тенант, как указано в окне Конфликты, при следующих условиях:
   1. привязанный ресурс изначально находится в Общем тенанте;
   2. в окне Конфликты вы выбираете Пропустить для всех родительских объектов привязанного ресурса из Общего тенанта;
   3. привязанный ресурс из Общего тенанта оставляете для замены.
2. После выполнения импорта в фильтре у категорий не указан тенант при следующих условиях:
   1. фильтр содержит привязанные категории активов из разных тенантов;
   2. имена категорий активов одинаковы;
   3. вы импортируете этот фильтр с привязанными категориями активов на новый сервер.
3. В Тенант 1 дублируется имя категории активов при следующих условиях:
   1. в Тенант 1 у вас есть фильтр с привязанными категориями активов из Тенант 1 и Общего тенанта;
   2. имена привязанных категорий активов одинаковы;
   3. вы импортируете такой фильтр из Тенант 1 в Общий тенант.
4. Невозможно импортировать конфликтующие ресурсы в один тенант.

   Ошибка "Невозможно импортировать конфликтующие ресурсы в один тенант" означает, что в импортируемом пакете есть конфликтующие ресурсы из разных тенантов и их нельзя импортировать в Общий тенант.

   Решение: Выберите для импорта пакета другой тенант, не Общий. Тогда при импорте ресурсы, изначально расположенные в Общем тенанте, будут импортированы в Общий тенант, а ресурсы из другого тенанта — в выбранный при импорте тенант.

5. Только главный администратор может импортировать категории в Общий тенант.

   Ошибка "Только главный администратор может импортировать категории в Общий тенант" означает, что в импортируемом пакете есть ресурсы с привязанными общими категориями активов. Категории или ресурсы с привязанными общими категориями активов можно увидеть в журнале Ядра KUMA. Путь к журналу Ядра:

   /opt/kaspersky/kuma/core/log/core

   Решение. Выберите один из следующих вариантов:

   • Уберите из импорта ресурсы, к которым привязаны общие категории: снимите флажок рядом с соответствующими ресурсами.
   • Выполните импорт под учетной записью пользователя с правами Главного администратора.
6. Только главный администратор может импортировать ресурсы в Общий тенант.

   Ошибка "Только главный администратор может импортировать ресурсы в Общий тенант" означает, что в импортируемом пакете есть ресурсы с привязанными общими ресурсами. Ресурсы с привязанными общими ресурсами можно увидеть в журнале Ядра KUMA. Путь к журналу Ядра:

   /opt/kaspersky/kuma/core/log/core

   Решение. Выберите один из следующих вариантов:

   • Уберите из импорта ресурсы, к которым привязаны ресурсы из Общего тенанта, и сами общие ресурсы: снимите флажок рядом с соответствующими ресурсами.
   • Выполните импорт под учетной записью пользователя с правами Главного администратора.

Поиск ресурсов

Вы можете искать ресурсы по названию или тегам. Вы также можете искать ресурсы по всем их полям с помощью полнотекстового поиска. Для типа ресурсов Правила корреляции доступен полнотекстовый поиск по корреляторам, в которых правила используются. При поиске по фильтру будут найдены все ресурсы, которые его используют.

Поиск осуществляется только по последней версии ресурсов.

Чтобы найти нужные ресурсы:

1. В веб-интерфейсе KUMA в разделе Ресурсы выберите необходимый тип ресурсов.

   Откроется окно с таблицей доступных ресурсов этого типа.

   Если вы хотите просмотреть все ресурсы, в разделе Ресурсы перейдите на вкладку Список.

2. При необходимости, чтобы переключить режим поиска, нажмите на значок таблицы в верхней части таблицы ресурсов.

   Доступны поиск по названию, тегам и полнотекстовый поиск по всем полям ресурса. По умолчанию активен поиск по названию, тегам и корреляторам (только для правил корреляции).

   Вы можете определить, какой режим поиска активен, по тексту, который отображается в поле поиска по умолчанию.

3. В поле Поиск начните вводить текст поиска.

   Поиск инициируется во время ввода символов в поле и не чувствителен к регистру. В таблице отображаются только те ресурсы, которые удовлетворяют условиям поиска, и в нижней части таблицы отображается количество таких ресурсов.

   Для полнотекстового поиска результаты отсортированы по количеству слов в поисковой строке, найденных в полях ресурса, от большего к меньшему. KUMA выполняет поиск по JSON ресурса, если в нем указан другой ресурс, выполняет поиск по указанному ресурсу тоже. Если ресурс ссылается на другие ресурсы, KUMA также переходит в эти ресурсы и ищет по их содержимому.

4. Если вы хотите сбросить результат поиска, очистите поле Поиск или нажмите на значок .