Это необязательный шаг мастера установки. На вкладке мастера установки Обогащение событий можно указать, какими данными и из каких источников следует дополнить обрабатываемые коллектором события. События можно обогащать данными, полученными с помощью правил обогащения или с помощью LDAP.
Обогащение с помощью правил обогащения
Правил обогащения может быть несколько. Их можно добавить с помощью кнопки Добавить обогащение или удалить с помощью кнопки . Можно использовать существующие правила обогащения или же создать правила непосредственно в мастере установки.
Чтобы добавить в набор ресурсов существующее правило обогащения:
Откроется блок параметров правил обогащения.
Правило обогащения добавлено в набор ресурсов для коллектора.
Чтобы создать в наборе ресурсов новое правило обогащения:
Откроется блок параметров правил обогащения.
Этот тип обогащения используется, если в поле события необходимо добавить константу. Доступные параметры типа обогащения описаны в таблице ниже.
Доступные параметры типа обогащения
Параметр |
Описание |
---|---|
Константа |
Значение, которое требуется добавить в поле события. Максимальная длина значения: до 255 символов в кодировке Unicode. Если оставить поле пустым, существующее значение поля события будет удалено. |
Целевое поле |
Поле события KUMA, в которое требуется поместить данные. |
Если вы используете функции обогащения событий для полей расширенной схемы с типом «Строка», «Число» или «Число с плавающей точкой» с помощью константы, в поле будет добавлена константа.
Если вы используете функции обогащения событий для полей расширенной схемы с типом «Массив строк», «Массив чисел» или «Массив чисел с плавающей точкой» с помощью константы, константа будет добавлена к элементам массива.
Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Словарь. Доступные параметры типа обогащения описаны в таблице ниже.
Доступные параметры типа обогащения
Параметр |
Описание |
---|---|
Название словаря |
Словарь, из которого будут браться значения. |
Ключевые поля |
Поля событий, значения которых будут использоваться для выбора записи словаря. Для добавления поля события нажмите на кнопку Добавить поле. Вы можете добавить несколько полей событий. |
Если вы используете обогащение событий, у которого в качестве параметра Тип источника данных выбрано значение словарь, а в параметре Ключевые поля обогащения указано поле-массив, при передаче массива в качестве ключа словаря массив будет сериализован в строку согласно правилам сериализации одного значения в формате TSV.
Пример: в параметре Ключевые поля обогащения используется поле расширенной схемы SA.StringArrayOne
. В поле расширенной схемы SA.StringArrayOne
находятся значения "a"
, "b"
, "c"
. В качестве ключа в словарь будут переданы значения ['a','b','c']
.
Если в параметре Ключевые поля обогащения используется поле-массив расширенной схемы и обычное поле схемы событий, значения полей при обращении в словарь будут разделены символом «|
».
Пример: в параметре Ключевые поля обогащения используется поле расширенной схемы SA.StringArrayOne
и строковое поле Code
. В поле расширенной схемы SA.StringArrayOne
находятся значения "a"
, "b"
, "c"
, а строковое поле Code
содержит последовательность символов myCode
. В качестве ключа в словарь будут переданы значения ['a','b','c']|myCode
.
Этот тип обогащения используется, если в поле события необходимо записать значение другого поля события. Параметры этого типа обогащения:
Преобразования – это изменения, которые применяются к значению перед записью в поле события. Вы можете выбрать в раскрывающемся списке один из следующих типов преобразования:
Microsoft-Windows-Sysmon
выполнить преобразование trim со значением Micromon
, новым значением будет soft-Windows-Sys
.При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.
При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, строка будет обрезана и не будет раскодирована.
Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, строка будет обрезана до размера этого поля события.
Преобразования при использовании расширенной схемы событий
Возможность использования преобразования зависит от типа используемого поля расширенной схемы событий:
Этот тип обогащения используется, если в поле события необходимо записать значение, полученное при обработке шаблонов Go. Мы рекомендуем сопоставлять значение и размер поля. Доступные параметры типа обогащения описаны в таблице ниже.
Доступные параметры типа обогащения
Параметр |
Описание |
---|---|
Шаблон |
Шаблон Go. Имена полей событий передаются в формате |
Целевое поле |
Поле события KUMA, в которое требуется поместить данные. |
Если вы используете обогащение событий, у которого в качестве параметра Тип источника данных выбрано значение шаблон, целевым полем является поле с типом «Строка», а исходным полем является поле расширенной схемы событий, содержащее массив строк, в шаблоне может быть использован один из следующих примеров:
{{.SA.StringArrayOne}}
{{- range $index, $element := . SA.StringArrayOne -}}
{{- if $index}}, {{end}}"{{$element}}"{{- end -}}
Для преобразования в шаблоне данных поля массива в формат TSV необходимо использовать функцию toString
, например:
template {{toString .SA.StringArray}}
Этот тип обогащения используется для отправки запросов на DNS-сервер частной сети для преобразования IP-адресов в доменные имена или наоборот. Преобразование IP-адресов в DNS-имена происходит только для частных адресов: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 100.64.0.0/10.
Доступные параметры:
1000
.1
.60
.Этот тип обогащения является устаревшим, вместо него рекомендуется использовать тип обогащения cybertrace-http.
Этот тип обогащения используется для добавления в поля события сведений из потоков данных CyberTrace.
Доступные параметры:
1000
.30
.Доступные типы индикаторов CyberTrace:
В таблице сопоставления требуется указать как минимум одну строку. С помощью кнопки Добавить строку можно добавить строку, а с помощью кнопки – удалить.
Это новый тип потокового обогащения событий в CyberTrace, который позволяет отправлять большое количество событий одним запросом на API-интерфейс CyberTrace. Мы рекомендуем применять в системах с большим потоком событий. Производительность cybertrace-http превосходит показатели прежнего типа cybertrace, который по-прежнему доступен в KUMA для обеспечения обратной совместимости.
Ограничения:
Доступные параметры:
30
.Этот тип обогащения используется в коллекторах и корреляторах для присваивания событию определенного часового пояса. Сведения о часовом поясе могут пригодиться при поиске событий, случившихся в нетипичное время, например ночью.
При выборе этого типа обогащения в раскрывающемся списке Часовой пояс необходимо выбрать требуемую временную зону.
Убедитесь, что требуемый часовой пояс установлен на сервере сервиса, использующего обогащение. Например, это можно сделать с помощью команды timedatectl list-timezones
, которая показывает все установленные на сервере часовые пояса. Подробнее об установке часовых поясов смотрите в документации используемой вами операционной системы.
При обогащении события в поле события DeviceTimeZone записывается смещение времени выбранного часового пояса относительно всемирного координированного времени (UTC) в формате +-чч:мм
. Например, если выбрать временную зону Asia/Yekaterinburg в поле DeviceTimeZone будет записано значение +05:00
. Если в обогащаемом событии есть значение поля DeviceTimeZone, оно будет перезаписано.
По умолчанию, если в обрабатываемом событии не указан часовой пояс и не настроены правила обогащения по часовому поясу, событию присваивается часовой пояс сервера, на котором установлен сервис (коллектор или коррелятор), обрабатывающий событие. При изменении времени сервера сервис необходимо перезапустить.
Допустимые форматы времени при обогащении поля DeviceTimeZone
При обработке в коллекторе поступающих "сырых" событий следующие форматы времени могут быть автоматически приведены к формату +-чч:мм:
Формат времени в обрабатываемом событии |
Пример |
+-чч:мм |
-07:00 |
+-ччмм |
-0700 |
+-чч |
-07 |
Если формат даты в поле DeviceTimeZone
отличается от указанных выше, при обогащении события сведениями о часовом поясе в поле записывается часовой пояс серверного времени коллектора. Вы можете создать особые правила нормализации для нестандартных форматов времени.
Этот тип обогащения используется для добавления в поля событий сведений о географическом расположении IP-адресов. Подробнее о привязке IP-адресов к географическим данным.
При выборе этого типа в блоке параметров Сопоставление геоданных с полями события необходимо указать, из какого поля события будет считан IP-адрес, а также выбрать требуемые атрибуты геоданных и определить поля событий, в которые геоданные будут записаны:
С помощью кнопки Добавить поле события с IP-адресом можно указать несколько полей события с IP-адресами, по которым требуется обогащение геоданными. Удалить добавленные таким образом поля событий можно с помощью кнопки Удалить поле события с IP-адресом.
При выборе полей события SourceAddress
, DestinationAddress
и DeviceAddress
становится доступна кнопка Применить сопоставление по умолчанию. С ее помощью можно добавить преднастроенные пары соответствий атрибутов геоданных и полей события.
С помощью кнопки Добавить атрибут геоданных вы можете добавить пары полей Атрибут геоданных – Поле события для записи. Так вы можете настроить запись разных типов геоданных одного IP-адреса в разные поля события. Пары полей можно удалить с помощью значка .
Вы можете записать одинаковые атрибуты геоданных в разные поля событий. Если вы настроите запись нескольких атрибутов геоданных в одно поле события, событие будет обогащено последним по очереди сопоставлением.
Чтобы создать фильтр:
Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.
Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False
.
Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.
Вы можете добавить несколько условий или группу условий.
В набор ресурсов для коллектора добавлено новое правило обогащения.
Обогащение с помощью LDAP
Чтобы включить обогащение с помощью LDAP:
Откроется блок параметров обогащения с помощью LDAP.
Перед настройкой обогащения событий с помощью пользовательских атрибутов убедитесь, что пользовательские атрибуты настроены в AD.
Чтобы обогащать события учетными записями с помощью пользовательских атрибутов:
Невозможно добавить стандартные Импортируемые атрибуты из AD в качестве пользовательских. Например, если вы захотите добавить стандартный атрибут accountExpires
в качестве пользовательского атрибута, при сохранении параметров подключения KUMA вернет ошибку.
Из Active Directory можно запросить следующие атрибуты учетных записей:
accountExpires
badPasswordTime
cn
co
company
department
description
displayName
distinguishedName
division
employeeID
givenName
l
lastLogon
lastLogonTimestamp
mail
mailNickname
managedObjects
manager
memberOf
(по этому атрибуту события можно искать при корреляции)mobile
name
objectCategory
objectGUID
(этот атрибут запрашивается из Active Directory всегда)objectSid
physicalDeliveryOfficeName
pwdLastSet
sAMAccountName
sAMAccountType
sn
streetAddress
telephoneNumber
title
userAccountControl
userPrincipalName
whenChanged
whenCreated
После того, как вы добавите пользовательские атрибуты в Параметрах подключения к LDAP, раскрывающийся список LDAP-атрибуты в коллекторе будет автоматически дополнен. Пользовательские атрибуты можно отличить по знаку вопроса рядом с именем атрибута. Если для нескольких доменов вы добавили один и тот же атрибут, в раскрывающемся списке атрибут будет указан один раз, а домены можно просмотреть, если навести курсор на знак вопроса. Названия доменов отображаются в виде ссылок: если вы нажмете на ссылку, домен автоматически добавится в Сопоставление с учетными записями LDAP, если прежде он не был добавлен.
Если вы удалили пользовательский атрибут в Параметрах подключения к LDAP, удалите вручную строку с атрибутом из таблицы сопоставления в коллекторе. Информация об атрибутах учетных записей в KUMA обновляется каждый раз после того, как вы выполните импорт учетных записей.
После перезапуска коллектора KUMA начнет обогащать события учётными записями.
С помощью кнопки Добавить строку в таблицу можно добавить строку, а с помощью кнопки – удалить. С помощью кнопки Применить сопоставление по умолчанию можно заполнить таблицу сопоставления стандартными значениями.
В блок ресурсов для коллектора добавлены правила обогащения события данными, полученными из LDAP.
При добавлении в существующий коллектор обогащения с помощью LDAP или изменении параметров обогащения требуется остановить и запустить сервис снова.
Перейдите к следующему шагу мастера установки.
В начало