Kaspersky Unified Monitoring and Analysis Platform

Коннекторы

Коннекторы используются для установления соединений между сервисами KUMA, а также для активного и пассивного получения событий.

Вы можете указать параметры коннекторов на вкладках Основные параметры и Дополнительные параметры. Набор доступных параметров зависит от выбранного типа коннектора.

Существуют следующие типы коннекторов:

• internal – используются для приема данных от сервисов KUMA по протоколу internal.
• tcp – используются для пассивного получения событий по протоколу TCP при работе с агентами Windows и Linux.
• udp – используются для пассивного получения событий по протоколу UDP при работе с агентами Windows и Linux.
• netflow – используются для пассивного получения событий в формате NetFlow.
• sflow – используются для пассивного получения событий в формате sFlow. Для sFlow поддерживаются только структуры, описанные в sFlow version 5.
• nats-jetstream – используются для взаимодействия с брокером сообщений NATS при работе с агентами Windows и Linux.
• kafka – используются для коммуникации с шиной данных Apache Kafka при работе с агентами Windows и Linux.
• http – используются для получения событий по протоколу HTTP при работе с агентами Windows и Linux.
• sql – используются для выборки данных из Систем Управления Базами Данных (СУБД). KUMA поддерживает работу с несколькими типами баз данных. При создании коннектора с типом sql вам нужно указать значения для общих параметров коннектора и отдельных параметров подключения к базе данных.

  Программа поддерживает работу со следующими типами баз данных SQL:

  • SQLite.
  • MariaDB 10.5 и выше.
  • MsSQL.
  • MySQL 5.7 и выше.
  • PostgreSQL.
  • Cockroach.
  • Oracle.
  • Firebird.
• file – используются для получения данных из текстовых файлов при работе с агентами Windows и Linux. Одна строка текстового файла считается одним событием. В качестве разделителя строк используется \n.
• 1c-log – используются для получения данных из технологических журналов программы 1С при работе с агентами Linux. В качестве разделителя строк используется \n. Из многострочной записи о событии коннектор принимает только первую строку.
• 1c-xml – используются для получения данных из журналов регистрации программы 1С при работе с агентами Linux. При обработке коннектором многострочные события преобразовываются в однострочные.
• diode – используются для однонаправленной передачи данных в промышленных ICS-сетях с помощью диода данных.
• ftp – используются для получения данных по протоколу File Transfer Protocol при работе с агентами Windows и Linux.
• nfs – используются для получения данных по протоколу Network File System при работе с агентами Windows и Linux..
• wmi – используются для получения данных с помощью Windows Management Instrumentation при работе с агентами Windows.
• wec – используются для получения данных с помощью Windows Event Forwarding (WEF) и Windows Event Collector (WEC) или локальных журналов ОС хоста под управлением Windows при работе с агентами Windows.
• etw – используются для получения расширенных журналов DNS-серверов.
• snmp – используются для получения данных с помощью Simple Network Management Protocol при работе с агентами Windows и Linux. Для обработки событий, полученных по протоколу SNMP, вам нужно использовать нормализатор с типом json. Поддерживаемые версии протокола SNMP:
  • snmpV1;
  • snmpV2;
  • snmpV3.
• snmp-trap – используются для пассивного приема событий с помощью ловушек SNMP (англ. SNMP traps) при работе с агентами Windows и Linux. В коннекторе события snmp-trap принимаются и подготавливаются к нормализации путем сопоставления идентификаторов SNMP-объектов с временными ключами. Затем сообщение необходимо передать в JSON-нормализатор, где временные ключи будут сопоставлены с полями KUMA и будет создано событие. Для обработки событий, полученных по SNMP, вам нужно использовать нормализатор с типом json. Поддерживаемые версии протокола SNMP:
  • snmpV1;
  • snmpV2.
• kata/edr – используются для получения данных KEDR по API.
• vmware – используются для получения данных VMware vCenter по API.
• elastic – используются для получения данных Elasticsearch. Поддерживается работа с Elasticsearch версии 7.0.0.
• office365 – используются для получения данных Microsoft 365 (Office 365) по API.

Некоторые типы коннекторов (например, tcp, sql, wmi, wec и etw) поддерживают шифрование с использованием протокола TLS. KUMA поддерживает протокол TLS версии 1.2 или 1.3. При включении режима TLS для этих коннекторов подключение осуществляется по следующему алгоритму:

• Если KUMA используется в качестве клиента:
  1. KUMA отправляет запрос на соединение с сервером с максимальной поддерживаемой версией протокола TLS 1.3 ClientHello, а также список поддерживаемых криптонаборов.
  2. Сервер отвечает на запрос выбранной версией протокола TLS и криптонабора.
  3. В зависимоcти от версии протокола TLS в ответе сервера:
     • Если сервер отвечает на запрос, используя TLS 1.3 или 1.2, KUMA установит соединение с сервером.
     • Если сервер отвечает на запрос, используя TLS 1.1, KUMA закроет соединение с сервером.
• Если KUMA используется в качестве сервера:
  1. Клиент отправляет запрос на соединение с KUMA с максимальной поддерживаемой версией протокола TLS, а также список поддерживаемых криптонаборов.
  2. В зависимоcти от версии протокола TLS в запросе клиента:
     • Если в запросе клиента используется протокол TLS 1.1 ClientHello, KUMA закроет соединение.
     • Если в запросе клиента используется протокол TLS 1.2 или 1.3, KUMA ответит на запрос выбранной версией протокола TLS и криптонабора.