Контекстные таблицы

Контекстная таблица – это контейнер для массива данных, которые используются корреляторами KUMA при анализе событий по правилам корреляции. Вы можете создать контекстные таблицы в разделе Ресурсы. Данные контекстной таблицы хранятся только в корреляторе, в который она была добавлена с помощью фильтров или действий в корреляционных правилах.

Вы можете наполнять контекстные таблицы автоматически с помощью корреляционных правил типа simple и operational или импортировать файл с данными для контекстной таблицы.

Вы можете добавлять, копировать и удалять контекстные таблицы, а также изменять их настройки.

Контекстные таблицы можно использовать в следующих сервисах и функциях KUMA:

• Правила корреляции.
• Панель мониторинга.

Одна и та же контекстная таблицы может использоваться в разных корреляторах. При этом для каждого коррелятора создается своя сущность контекстной таблицы. Таким образом, содержимое контекстных таблиц, используемых разными корреляторами, различается, даже если идентификатор и название контекстных таблиц одинаковые.

В контекстную таблицу добавляются данные только по правилам корреляции, добавленным в коррелятор.

Вы можете добавлять, изменять, удалять, импортировать и экспортировать записи в контекстной таблице коррелятора.

При удалении записей из контекстных таблиц по истечении срока жизни записи в корреляторах создаются служебные события. Эти события существуют только в корреляторах, они не перенаправляются в другие точки назначения. Служебные события отправляются на обработку правилами корреляции того коррелятора, где работает контекстная таблица. Правила корреляции можно настроить на отслеживание этих событий, чтобы с их помощью обабатывать события и распознавать угрозы.

Поля служебных событий удаления записи из контекстной таблицы описаны ниже.

Просмотр списка контекстных таблиц

Чтобы просмотреть список контекстных таблиц коррелятора:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. В разделе Сервисы нажмите на кнопку Активные сервисы.
3. В контекстном меню коррелятора, для которого вы хотите просмотреть контекстные таблицы, выберите пункт Смотреть контекстные таблицы.

Отобразится список Контекстные таблицы коррелятора.

Таблица содержит следующие данные:

• Название – имя контекстной таблицы.
• Размер на диске – размер контекстной таблицы.
• Директория – путь к контекстной таблице на сервере коррелятора KUMA.

Добавление контекстной таблицы

Чтобы добавить контекстную таблицу:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. В разделе Ресурсы нажмите на кнопку Контекстные таблицы.
3. В окне Контекстные таблицы нажмите на кнопку Добавить.

   Откроется окно Создание контекстной таблицы.

4. В поле Название введите имя контекстной таблицы.
5. В раскрывающемся списке Тенант выберите тенант, которому принадлежит ресурс.
6. В поле Срок жизни укажите время, в течение которого в контекстной таблице будет храниться добавленная в него запись.

   По истечении указанного времени запись удаляется. Время указывается в секундах. Максимальное значение – 31536000 (1 год).

   Значение по умолчанию: 0. Если в поле указано значение 0, время хранения записи неограниченно.

7. В поле Описание введите любую дополнительную информацию.

   Вы можете использовать до 4000 символов в кодировке Unicode.

   Поле необязательно для заполнения.

8. В разделе Схема укажите состав полей контекстной таблицы и тип данных полей.

   В зависимости от типа данных поле может быть или не быть ключевым. Хотя бы одно поле таблицы должно быть ключевым.Имена у всех полей должны быть уникальными.

   Для добавления строки таблицы нажмите на кнопку Добавить и заполните поля таблицы:

   1. В поле Название введите название поля. Максимальная длина – 128 символов.
   2. В раскрывающемся списке Тип выберите тип данных поля.

      Возможные типы данных поля

      Возможные типы данных поля контекстной таблицы

      Тип данных поля	Может быть ключевым полем	Комментарий
      Целое число	Да
      Число с плавающей точкой	Да
      Строка	Да
      Логический тип	Да
      Временная метка	Да	Для поля этого типа проверяется, что значение поля больше или равно нулю. Другие операции не предусмотрены.
      IP-адрес	Да	Для поля этого типа проверяется, что значение поля соответствует формату IPv4, IPv6. Другие операции не предусмотрены.
      Список целых чисел	Нет
      Список чисел с плавающей точкой	Нет
      Список строк	Нет
      Список логических типов	Нет
      Список временных меток	Нет	Для поля этого типа проверяется, что каждый элемент списка больше или равен нулю. Другие операции не предусмотрены.
      Список IP-адресов	Нет	Для поля этого типа проверяется, что каждый элемент списка соответствует формату IPv4, IPv6. Другие операции не предусмотрены.

   3. Если вы хотите сделать поле ключевым, установите флажок Ключевое поле.

      В таблице может быть несколько ключевых полей. Ключевые поля задаются при создании контекстной таблицы, уникально идентифицируют запись таблицы и не могут изменяться.

      Если ключевых полей в контекстной таблице несколько, каждая запись таблицы уникально идентифицируется несколькими полями (составной ключ).

9. Добавьте нужное количество строк контекстной таблицы.

   После сохранения контекстной таблицы схему поменять нельзя.

10. Нажмите на кнопку Сохранить.

Контекстная таблица будет добавлена.

Просмотр параметров контекстной таблицы

Чтобы просмотреть параметры контекстной таблицы:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. В разделе Ресурсы нажмите на кнопку Контекстные таблицы.
3. В окне Контекстные таблицы в списке выберите контекстную таблицу, параметры которой вы хотите просмотреть.

Откроется окно с параметрами контекстной таблицы. В нем отображается следующая информация:

• Название – уникальное имя ресурса.
• Тенант – название тенанта, которому принадлежит ресурс.
• Срок жизни – время, в течение которого в контекстной таблице будет храниться добавленная в нее запись. Указывается в секундах.
• Описание – любая дополнительная информация о ресурсе.
• Схема – упорядоченный список полей и их типов данных с отметкой ключевых полей.

Изменение параметров контекстной таблицы

Чтобы изменить параметры контекстной таблицы:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. В разделе Ресурсы нажмите на кнопку Контекстные таблицы.
3. В окне Контекстные таблицы в списке выберите контекстную таблицу, параметры которой вы хотите изменить.
4. Укажите значения для следующих параметров:
   • Название – уникальное имя ресурса.
   • Срок жизни – время, в течение которого в контекстной таблице будет храниться добавленная в нее запись. Указывается в секундах.
   • Описание – любая дополнительная информация о ресурсе.
   • Схема – упорядоченный список полей и их типов данных с отметкой ключевых полей. Если контекстная таблица не используется в корреляционном правиле, вы можете поменять состав полей.

     Если вы хотите изменить схему в контекстной таблице, которая уже используется в корреляционном правиле, выполните шаги инструкции ниже.

   Поле Тенант недоступно для редактирования.

5. Нажмите Сохранить.

Чтобы изменить параметры контекстной таблицы, ранее используемой коррелятором:

1. Выполните экспорт данных из таблицы.
2. Скопируйте и сохраните путь к файлу с данными таблицы на диске коррелятора. Путь указан в в столбце Директория в окне Контекстные таблицы коррелятора. Этот путь понадобится вам в дальнейшем для удаления файла с диска коррелятора.
3. Удалите из коррелятора контекстную таблицу.
4. Измените необходимые параметры контекстной таблицы.
5. Удалите файл с данными таблицы на диске коррелятора по пути из шага 2.
6. Чтобы применить изменения (удаление таблицы), обновите параметры коррелятора: в разделе Ресурсы → Активные сервисы в списке сервисов установите флажок рядом с нужным коррелятором и нажмите Обновить параметры.
7. Добавьте в коррелятор контекстную таблицу, в которой вы изменили параметры.
8. Чтобы применить изменения (добавление таблицы), обновите параметры коррелятора: в разделе Ресурсы → Активные сервисы в списке сервисов установите флажок рядом с нужным коррелятором и нажмите Обновить параметры.
9. Адаптируйте в экспортированной таблице (см. шаг 1) поля, чтобы они соответствовали полям таблицы, которую вы загрузили в коррелятор на шаге 7.
10. Импортируйте адаптированные данные в контекстную таблицу.

Параметры контекстной таблицы изменены.

Дублирование параметров контекстной таблицы

Чтобы скопировать контекстную таблицу:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. В разделе Ресурсы нажмите на кнопку Контекстные таблицы.
3. Установите флажок рядом с контекстной таблицей, которую вы хотите копировать.
4. Нажмите на кнопку Дублировать.
5. Укажите нужные вам параметры.
6. Нажмите на кнопку Сохранить.

Контекстная таблица будет скопирована.

Удаление контекстной таблицы

Вы можете удалить только те контекстные таблицы, которые не используются ни в одном в корреляторе.

Чтобы удалить контекстную таблицу:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. В разделе Ресурсы нажмите на кнопку Контекстные таблицы.
3. Установите флажки рядом с контекстными таблицами, которые вы хотите удалить.

   Если вы хотите удалить все контекстные таблицы, установите флажок рядом со столбцом Название.

   Должен быть установлен хотя бы один флажок.

4. Нажмите на кнопку Удалить.
5. Нажмите на кнопку ОК.

Контекстные таблицы будут удалены.

Просмотр записей контекстной таблицы

Чтобы просмотреть список записей контекстной таблицы:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. В разделе Сервисы нажмите на кнопку Активные сервисы.
3. В контекстном меню коррелятора, контекстную таблицу которого вы хотите просмотреть, выберите пункт Смотреть контекстные таблицы.

   Откроется окно Контекстные таблицы коррелятора.

4. В столбце Название выберите нужную контекстную таблицу.

Откроется список записей для выбранной контекстной таблицы.

Список содержит следующие данные:

• Ключ – композитный ключ записи. Формируется из одного и более значений ключевых полей, разделенных символом "|". Если одно из значений ключевого поля отсутствует, то разделяющий символ все равно отображается.

  Например, ключ записи состоит из трех полей: DestinationAddress, DestinationPort, SourceUserName. При отсутствии значений в последних двух полях ключ записи будет отображаться следующим образом: 43.65.76.98| | .

• Повторы записи – общее количество упоминаний записи в событиях и загрузок идентичных записей при импорте контекстных таблиц в KUMA.
• Срок действия – дата и время, когда запись должна быть удалена.

  Если при создании контекстной таблицы в поле Срок жизни было указано значение 0, записи этой контекстной таблицы хранятся 36000 дней (около 100 лет).

• Обновлено – дата и время обновления контекстной таблицы.

Поиск записей в контекстной таблице

Чтобы найти запись в контекстной таблице:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. В разделе Сервисы нажмите на кнопку Активные сервисы.
3. В контекстном меню коррелятора, в контекстную таблицу которого вы хотите найти запись, выберите пункт Смотреть контекстные таблицы.

   Откроется окно Контекстные таблицы коррелятора.

4. В столбце Название выберите нужную вам контекстную таблицу.

   Откроется окно со списком записей для выбранной контекстной таблицы.

5. В поле Поиск введите значение ключа записи или несколько знаков из ее ключа.

В списке записей контекстной таблицы отобразятся только те записи, в ключе которых есть введенные символы.

Если под условие вашего поискового запроса попадают записи с пустыми значениями в ключе, в разделе Панель мониторинга на виджете отобразится текст <По вашему запросу ничего не найдено>. Мы рекомендуем уточнить условия поискового запроса.

Добавление записи в контекстную таблицу

Чтобы добавить запись в контекстную таблицу:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. В разделе Сервисы нажмите на кнопку Активные сервисы.
3. В контекстном меню коррелятора, в контекстную таблицу которого вы хотите добавить запись, выберите пункт Смотреть контекстные таблицы.

   Откроется окно Контекстные таблицы коррелятора.

4. В столбце Название выберите нужную контекстную таблицу.

   Откроется список записей для выбранной контекстной таблицы.

5. Нажмите на кнопку Добавить.

   Откроется окно Создать запись.

6. В поле Значение укажите значения для полей в столбце Поле.

   KUMA берет названия полей из корреляционных правил, к которым привязана контекстная таблица. Эти названия недоступны для редактирования. Состав полей изменить невозможно.

   Если вы укажете не все значения полей, отсутствующие поля, включая ключевые, будут заполнены значениями по умолчанию. Из итоговой совокупности полей будет сформирован ключ записи, и запись будет добавлена в таблицу. Если такой ключ в таблице уже существует, отобразится ошибка.

   Список значений полей по умолчанию

   Тип поля	Значение по умолчанию
   Целое число	0
   Число с плавающей точкой	0.0
   Строка	""
   Логический тип	false
   IP-адрес	"0.0.0.0"
   Временная метка	0
   Список целых чисел	[]
   Список чисел с плавающей точкой	[]
   Список строк	[]
   Список логических типов	[]
   Список временных меток	[]
   Список IP-адресов	[]

7. Нажмите на кнопку Сохранить.

Запись будет добавлена.

Изменение записи в контекстной таблице

Чтобы изменить запись в контекстной таблице:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. В разделе Сервисы нажмите на кнопку Активные сервисы.
3. В контекстном меню коррелятора, контекстную таблицу которого вы хотите изменить, выберите пункт Смотреть контекстные таблицы.

   Откроется окно Контекстные таблицы коррелятора.

4. В столбце Название выберите нужную контекстную таблицу.

   Откроется список записей для выбранной контекстной таблицы.

5. Нажмите на строку записи, которую вы хотите изменить.
6. Укажите требуемые значения в столбце Значение.
7. Нажмите на кнопку Сохранить.

Запись будет изменена.

Ограничения, действующие при редактировании записи:

• Значение ключевого поля записи недоступно для редактирования. Вы можете изменить его с помощью операций экспорта и импорта записи.
• Редактирование названий полей в столбце Поле недоступно.
• Значения в столбце Значение должны соответствовать следующим требованиям:
  • больше или равно 0 для полей типов Временная метка и Список временных меток;
  • соответствует формату IPv4 или IPv6 для полей типов IP-адрес и Список IP-адресов;
  • равно true или false для поля типа Логический тип.

Удаление записи из контекстной таблицы

Чтобы удалить записи из контекстной таблицы:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. В разделе Сервисы нажмите на кнопку Активные сервисы.
3. В контекстном меню коррелятора, из контекстной таблицы которого вы хотите удалить запись, выберите пункт Смотреть контекстные таблицы.

   Откроется окно Контекстные таблицы коррелятора.

4. В столбце Название выберите нужную контекстную таблицу.

   Откроется список записей для выбранной контекстной таблицы.

5. Установите флажки для записей, которые вы хотите удалить.

   Если вы хотите удалить все записи, установите флажок рядом с названием столбца Ключ.

   Должен быть установлен хотя бы один флажок.

6. Нажмите на кнопку Удалить.
7. Нажмите на кнопку OK.

Записи будут удалены.

Импорт данных в контекстную таблицу

Чтобы импортировать данные в контекстную таблицу:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. В разделе Сервисы нажмите на кнопку Активные сервисы.
3. В контекстном меню коррелятора, в контекстную таблицу которого вы хотите импортировать данные, выберите пункт Смотреть контекстные таблицы.

   Откроется окно Контекстные таблицы коррелятора.

4. Установите флажок рядом с нужной контекстной таблицей и нажмите на кнопку Импортировать.

   Откроется окно импорта данных в контекстную таблицу.

5. Нажмите Добавить и выберите файл, который требуется импортировать.
6. В раскрывающемся списке Формат выберите формат файла:
   • csv.
   • tsv.
   • internal.
7. Нажмите на кнопку Импортировать.

Данные из файла будут импортированы в контекстную таблицу. Записи, внесенные в контекстную таблицу ранее, сохраняются.

При импорте KUMA проверяет уникальность ключа каждой записи. Если запись уже существует, то в её поля записываются новые значения, полученные слиянием прежних значений со значениями полей импортируемой записи.

Если записи в контекстной таблице не существовало, то создается новая запись.

При импорте данные из файла не проходят проверку на допустимые символы. Если вы будете использовать эти данные в виджетах, при наличии недопустимых символов в данных виджеты будут отображаться некорректно.

Экспорт данных из контекстной таблицы

Чтобы экспортировать данные из контекстной таблицы:

1. В веб-интерфейсе KUMA выберите раздел Ресурсы.
2. В разделе Сервисы нажмите на кнопку Активные сервисы.
3. В контекстном меню коррелятора, контекстную таблицу которого вы хотите экспортировать, выберите пункт Смотреть контекстные таблицы.

   Откроется окно Контекстные таблицы коррелятора.

4. Установите флажок рядом с нужной контекстной таблицей и нажмите на кнопку Экспортировать.

Контекстная таблица будет загружена на ваш компьютер в формате JSON. Название загруженного файла соответствует названию контекстной таблицы. Порядок полей в файле не определен.