Kaspersky Unified Monitoring and Analysis Platform
3.0.3
Русский

Содержание

Работа с тенантами

Доступ к тенантам регулируется в настройках пользователей. Главный администратор имеет доступ к данным всех тенантов. Только пользователь с этой ролью может создавать и удалять тенанты.

Тенанты отображаются в таблице раздела веб-интерфейса KUMA ПараметрыТенанты. Нажимая на столбцы, таблицу можно отсортировать.

Доступные столбцы:

  • Название – название тенанта. Таблицу можно фильтровать по этому столбцу.
  • Ограничение EPS – размер квоты EPS (частота обработки событий в секунду), выделенной тенанту из общей квоты EPS, которая определяется лицензией.
  • Описание – описание тенанта.
  • Выключено – отметка о том, является ли тенант неактивным.

    По умолчанию неактивные тенанты в таблице не отображаются. Вы можете их просмотреть, установив флажок Показать выключенных.

  • Создан – дата создания тенанта.

Чтобы создать тенант:

  1. В разделе веб-интерфейса KUMA ПараметрыТенанты нажмите Добавить.

    Откроется окно Добавить тенант.

  2. В поле Название укажите название тенанта. Название должно содержать от 1 до 128 символов в кодировке Unicode.
  3. В поле Ограничение EPS укажите квоту EPS для тенанта. Сумма EPS всех тенантов не может превышать EPS лицензии.
  4. При необходимости добавьте Описание тенанта. Описание должно содержать не более 256 символов в кодировке Unicode.
  5. Нажмите Сохранить.

Тенант добавлен. Нажмите F5, чтобы обновить страницу. После обновления страницы созданный тенант отображается в веб-интерфейсе.

Чтобы удалить тенант:

  1. В разделе веб-интерфейса KUMA ПараметрыТенанты выберите нужный тенант, установив рядом флажок и на панели инструментов выберите Удалить.
  2. В появившемся окне Удалить тенант будет указана информация о тенанте и будет предложено ввести код и подтвердить намерение удалить тенант. Если хотите продолжить удаление тенанта, введите код.
  3. Нажмите OK.

Тенант удален.

При удалении тенанта принадлежащие ему сервисы автоматически останавливаются, за исключением агентов, прием и обработка событий прекращается, EPS тенанта более не учитывается в общем количестве EPS лицензии. Вы можете самостоятельно остановить сервисы агентов Windows в разделе Пуск → Сервисы и остановить сервисы агентов Linux в терминале, где был запущен агент, с помощью комбинации клавиш Ctrl + C.

В этом разделе

Выбор тенанта

Правила принадлежности к тенантам
В начало
[Topic 221499]

Выбор тенанта

Если вы имеете доступ к нескольким тенантам, в KUMA можно выбрать, данные каких тенантов будут отображаться в веб-интерфейсе KUMA.

Чтобы выбрать тенант для отображения данных:

  1. В веб-интерфейсе KUMA нажмите Выбрано тенантов.

    Откроется область выбора тенантов.

  2. Установите флажки напротив тенантов, данные которых вы хотите видеть в разделах веб-интерфейса KUMA.
  3. Требуется выбрать как минимум один тенант. Тенанты можно искать с помощью поля Поиск.
  4. Закройте область выбора тенантов, нажав Выбрано тенантов.

В разделах веб-интерфейса KUMA отображаются только данные и аналитика, относящаяся к выбранным тенантам.

От выбранных для отображения данных тенантов зависит, какие тенанты можно будет указать при создании ресурсов, сервисов, макетов, шаблонов отчетов, виджетов, инцидентов, активов и других параметров KUMA, где можно выбрать тенант.

В начало
[Topic 221455]

Правила принадлежности к тенантам

Правила наследования тенанта

Важно отслеживать, какому тенанту принадлежат создаваемые в KUMA объекты: от этого зависит, кто к ним будет иметь доступ и взаимодействие с какими объектами можно настроить. Правила определения тенанта:

  • Тенант объекта (например, сервиса или ресурса) определяется пользователем при его создании.

    После создания объекта выбранный для него тенант невозможно изменить. Ресурсы, однако, можно экспортировать, а затем импортировать в другой тенант.

  • Тенант алерта и корреляционного события наследуется от создавшего их коррелятора.

    Название тенанта указывается в поле события TenantId.

  • Если события разных тенантов, обрабатываемых одним коррелятором, не смешиваются, создаваемые коррелятором корреляционные события наследуют тенант события.
  • Тенант инцидента наследуется от алерта.

Примеры мультитенантных взаимодействий

Мультитенантность в KUMA дает возможность централизованно расследовать алерты и инциденты, возникающие в разных тенантах. Ниже приведены сценарии, по которым можно проследить, к каким тенантам принадлежат создаваемые объекты.

При корреляции событий от разных тенантов в общем потоке не следует группировать события по тенанту: то есть не нужно в правилах корреляции в поле Группирующие поля указывать поле события TenantId. Группировка событий по тенанту необходима, только если нужно не смешивать события от разных тенантов.

Сервисы, которые должны быть размещены на мощностях главного тенанта, разворачиваются только пользователями с ролью главный администратор.

  • Корреляция событий в рамках одного тенанта, коррелятор выделен для этого тенанта и развернут на его стороне

    Условие:

    Коллектор и коррелятор принадлежат тенанту 2 (tenantID=2)

    Сценарий:

    1. Коллектор тенанта 2 получает и отправляет события в коррелятор тенанта 2.
    2. При срабатывании корреляционных правил в корреляторе создаются корреляционные события с идентификатором тенанта tenantID=2.
    3. Коррелятор отправляет корреляционные события в раздел хранилища для тенанта 2.
    4. Создается алерт, привязанный к тенанту с идентификатором tenantID=2.
    5. К алерту привязываются события, из-за которых он был создан.

    Инцидент создается пользователем вручную. Тенант инцидента определяется тенантом пользователя. Алерт привязывается к инциденту вручную или автоматически.

  • Корреляция событий в рамках одного тенанта, коррелятор выделен для этого тенанта и развернут на стороне главного тенанта

    Условие:

    • Коллектор развернут на тенанте 2 и принадлежат ему (tenantID=2).
    • Коррелятор развернут на стороне главного тенанта.

      Принадлежность коррелятора определяется главным администратором в зависимости того, кто будет расследовать инциденты тенанта 2: сотрудники главного тенанта или тенанта 2. Принадлежность алерта и инцидента зависит от принадлежности коррелятора.

    Сценарий 1. Коррелятор принадлежит тенанту 2 (tenantID=2):

    1. Коллектор тенанта 2 получает и отправляет события в коррелятор.
    2. При срабатывании корреляционных правил в корреляторе создаются корреляционные события с идентификатором тенанта tenantID=2.
    3. Коррелятор отправляет корреляционные события в раздел хранилища тенанта 2.
    4. Создается алерт, привязанный к тенанту с идентификатором tenantID=2.
    5. К алерту привязываются события, из-за которых он был создан.

    Результат 1:

    • Созданный алерт и привязанные к нему события доступны сотрудникам тенанта 2.

    Сценарий 2. Коррелятор принадлежит главному тенанту (tenantID=1):

    1. Коллектор тенанта 2 получает и отправляет события в коррелятор.
    2. При срабатывании корреляционных правил в корреляторе создаются корреляционные события с идентификатором тенанта tenantID=1.
    3. Коррелятор отправляет корреляционные события в раздел хранилища главного тенанта.
    4. Создается алерт, привязанный к тенанту с идентификатором tenantID=1.
    5. К алерту привязываются события, из-за которых он был создан.

    Результат 2:

    • Алерт и привязанные к нему события недоступны сотрудникам тенанта 2.
    • Алерт и привязанные к нему события доступны сотрудникам главного тенанта.
  • Централизованная корреляция событий, поступающих от разных тенантов

    Условие:

    • Развернуто два коллектора: на тенанте 2 и тенанте 3. Оба коллектора отправляют события в один коррелятор.
    • Коррелятор принадлежит главному тенанту. Правило корреляции ожидает события от обоих тенантов.

    Сценарий:

    1. Коллектор тенанта 2 получает и отправляет события в коррелятор главного тенанта.
    2. Коллектор тенанта 3 получает и отправляет события в коррелятор главного тенанта.
    3. При срабатывании корреляционного правила в корреляторе создаются корреляционные события с идентификатором тенанта tenantID=1.
    4. Коррелятор отправляет корреляционные события в раздел хранилища главного тенанта.
    5. Создается алерт, привязанный к главному тенанту с идентификатором tenantID=1.
    6. К алерту привязываются события, из-за которых он был создан.

    Результат:

    • Алерт и привязанные к нему события недоступны сотрудникам тенанта 2.
    • Алерт и привязанные к нему события недоступны сотрудникам тенанта 3.
    • Алерт и привязанные к нему события доступны сотрудникам главного тенанта.
  • Тенант коррелирует свои события, но в главном тенанте дополнительно осуществляется централизованная корреляция событий

    Условие:

    • Развернуто два коллектора: на главном тенанте и тенанте 2.
    • Развернуто два коррелятора:
      • Коррелятор 1 принадлежит главному тенанту и принимает события с коллектора главного тенанта и коррелятора 2.
      • Коррелятор 2 принадлежит тенанту 2 и принимает события с коллектора тенанта 2.

    Сценарий:

    1. Коллектор тенанта 2 получает и отправляет события в коррелятор 2.
    2. При срабатывании корреляционного правила в корреляторе тенанта 2 создаются корреляционные события с идентификатором тенанта tenantID=2.
      • Коррелятор 2 отправляет корреляционные события в раздел хранилища тенанта 2.
      • Создается алерт 1, привязанный к тенанту с идентификатором tenantID=2.
      • К алерту привязываются события, из-за которых он был создан.
      • Корреляционные события от коррелятора тенанта 2 отправляются в коррелятор 1.
    3. Коллектор главного тенанта получает и отправляет события в коррелятор 1.
    4. В корреляторе 1 обрабатываются события обоих тенантов. При срабатывании корреляционного правила создаются корреляционные события с идентификатором тенанта tenantID=1.
      • Коррелятор 1 отправляет корреляционные события в раздел хранилища главного тенанта.
      • Создается алерт 2, привязанный к тенанту с идентификатором tenantID=1.
      • К алерту привязываются события, из-за которых он был создан.

    Результат:

    • Алерт 2 и привязанные к нему события недоступны сотрудникам тенанта 2.
    • Алерт 2 и привязанные к нему события доступны сотрудникам главного тенанта.
  • Один коррелятор для двух тенантов

    Если вы не хотите, чтобы при корреляции события от разных тенантов смешивались, в правилах корреляции в поле Группирующие поля следует указывать поле события TenantId. В таком случае алерт наследует тенант от коррелятора.

    Условие:

    • Развернуто два коллектора: на тенанте 2 и тенанте 3.
    • Развернут один коррелятор, принадлежащий главному тенанту (tenantID=1). Он принимает события от обоих тенантов, но обрабатывает их независимо друг от друга.

    Сценарий:

    1. Коллектор тенанта 2 получает и отправляет события в коррелятор.
    2. Коллектор тенанта 3 получает и отправляет события в коррелятор.
    3. При срабатывании корреляционного правила в корреляторе создаются корреляционные события с идентификатором тенанта tenantID=1.
      • Коррелятор отправляет корреляционные события в раздел хранилища главного тенанта.
      • Создается алерт, привязанный к главному тенанту с идентификатором tenantID=1.
      • К алерту привязываются события, из-за которых он был создан.

    Результат:

    • Алерты, созданные на основе событий от тенанта 2 и 3, недоступны сотрудникам тенантов 2 и 3.
    • Алерты и привязанные к ним события доступны сотрудникам главного тенанта.
В начало
[Topic 221469]