Правило корреляции, тип standard

Правила корреляции с типом standard используются для определения сложных закономерностей в обрабатываемых событиях.

Поиск закономерностей происходит с помощью контейнеров

Контейнеры правила корреляции – это временные хранилища данных, которые используются ресурсами правила корреляции при определении необходимости создания корреляционных событий. Эти контейнеры выполняет следующие функции:

Группируют события, которые были отобраны фильтрами в группе настроек Селекторы ресурса правила корреляции. События группируются по полям, которые указываются пользователем в поле Группирующие поля.
Определяют момент, когда должно сработать правило корреляции, меняя соответствующим образом события, сгруппированные в контейнере.
Выполняют действия, указанные в группе настроек Действия.
Создают корреляционные события.

Доступные состояния контейнера:

Пусто – в контейнере нет событий. Это может произойти только в момент своего создания при срабатывании правила корреляции.
Частичное совпадение – в контейнере есть некоторые из ожидаемых событий (события восстановления не учитываются).
Полное совпадение – в корзине есть все ожидаемые события (события восстановления не учитываются). При достижении этого состояния:
- Срабатывает правило корреляции
- События удаляются из контейнера
- Счетчик срабатываний контейнера обновляется
- Контейнера переводится в состояние Пусто
Ложное совпадение – такое состояние контейнера возможно в следующих случаях:
- когда было достигнуто состояние Полное совпадение, но объединяющий фильтр возвратил значение false.
- когда при установленном флажке Обнуление были получены события восстановления.
Когда это условие достигается, правило корреляции не срабатывает. События удаляются из контейнера, счетчик срабатываний обновляется, контейнер переводится в состояния Пусто.

Доступные параметры правила корреляции с типом standard описаны в таблицах ниже.

Вкладка Общие

Эта вкладка используется для указания основных параметров правила корреляции.

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип правила корреляции – standard. Обязательный параметр.
Теги
Группирующие поля	Поля событий, которые должны быть сгруппированы в контейнере. Хеш-код значений выбранных полей событий используется в качестве ключа контейнера. Если срабатывает один из селекторов, указанных на вкладке Селекторы, отобранные поля событий копируются в корреляционное событие. Если в разных селекторах корреляционного правила используются поля событий, которые имеют разные значения в событиях, вам не нужно указывать эти поля событий в раскрывающемся списке Группирующие поля. Вы можете указывать локальные переменные. Для обращения к локальной переменной вам нужно указать перед ее именем символ `$`. Для ознакомления с примерами использования локальных переменных используйте правило R403_Обращение на вредоносные ресурсы с хоста с отключенной защитой или устаревшей антивирусной базой, поставляемое с KUMA. Обязательный параметр.
Время жизни контейнера, сек.	Время жизни контейнера в секундах. Отсчет времени начинается при создании контейнера, когда контейнер получает первое событие. По истечении времени жизни контейнера срабатывает триггер, указанный на вкладке Действия → По истечении времени жизни контейнера, и контейнер удаляется. Триггеры, указанные на вкладках Действия → На каждом срабатывании правила и На последующих срабатываниях правила, могут срабатывать более одного раза в течение времени жизни контейнера. Обязательный параметр.
Уникальные поля	Уникальные поля событий, которые требуется отправлять в контейнер. Если вы указываете уникальные поля событий, только они будут отправляться в контейнер. Хеш-код значений отобранных полей событий используется в качестве ключа контейнера. Вы можете указывать локальные переменные. Для обращения к локальной переменной вам нужно указать перед ее именем символ `$`. Для ознакомления с примерами использования локальных переменных используйте правило R403_Обращение на вредоносные ресурсы с хоста с отключенной защитой или устаревшей антивирусной базой, поставляемое с KUMA.
Частота срабатываний	Максимальное количество срабатываний правила корреляции в секунду. Значение по умолчанию: `0`. Если не срабатывают правила корреляции, в которых реализована сложная логика обнаружения закономерностей, причиной могут быть особенности подсчета срабатываний правила в KUMA. В этом случае мы рекомендуем увеличить значение в поле Частота срабатываний, например до `1000000`.
Политика хранения базовых событий	Раскрывающийся список, позволяющий определить, какие базовые события требуется поместить в корреляционное событие: first – поместить в корреляционное событие первое базовое событие из коллекции событий, инициировавшей создание корреляционного события. Это значение выбрано по умолчанию. last – поместить в корреляционное событие последнее базовое событие из коллекции событий, инициировавшей создание корреляционного события. all – поместить в корреляционное событие все базовые события из коллекции событий, инициировавшей создание корреляционного события.
Уровень важности	Базовый коэффициент, используемый для определения уровня важности правила корреляции: Критический. Высокий. Средний. Низкий – это значение выбрано по умолчанию.
Сортировать по	Поле события, по которому селекторы правила корреляции будут отслеживать изменение ситуации. Это может пригодиться, например если вы захотите настроить правило корреляции на срабатывание при последовательном возникновении нескольких типов событий.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.
Техники MITRE	Загруженные техники MITRE ATT&CK для анализа состояния покрытия безопасности с помощью матрицы MITRE ATT&CK.
Использовать сопоставление уникальных полей

Вкладка Селекторы

Эта вкладка используется для определения условий, которым должны удовлетворять обрабатываемые события для срабатывания правила корреляции. Для добавления селектора нажмите на кнопку + Добавить селектор. Вы можете добавить несколько селекторов, изменить порядок селекторов и удалить селекторы. Для изменения порядка селекторов используйте значки изменения порядка DragIcon . Для удаления селектора нажмите рядом с ним на значок удаления cross-black .

Для каждого селектора доступны вкладки Параметры и Локальные переменные.

Параметры, доступные на вкладке Параметры, описаны в таблице ниже.

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Порог срабатывания селектора (количество событий)	Количество событий, которые требуется получить для срабатывания селектора. Значение по умолчанию: `1`. Обязательный параметр.
Обнуление	Переключатель, позволяющий правилу корреляции не срабатывать при получении селектором количества событий, указанного в поле Порог срабатывания селектора (количество событий). По умолчанию этот переключатель выключен.
Фильтр	Фильтр, указывающий критерии определения событий, при получении которых будет срабатывать селектор. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать. Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша . Как создать фильтр? Чтобы создать фильтр: В раскрывающемся списке Фильтр выберите Создать. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode. В блоке параметров Условия укажите условия, которым должны соответствовать события: Нажмите на кнопку Добавить условие. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи. В раскрывающемся списке оператор выберите оператор. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает `False`. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не. Вы можете добавить несколько условий или группу условий. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку . Фильтрация по данным из поля события Extra Условия для фильтров по данным из поля события `Extra`: Условие – Если. Левый операнд – поле события. В поле события вы можете указать одно из следующих значений: Поле `Extra`. Значение из поля `Extra` в следующем формате: `Extra.<название поля>` Например, `Extra.app`. Вам нужно указать значение вручную. Значение из массива, записанного в поле `Extra`, в следующем формате: `Extra.<название поля>.<элемент массива>` Например, `Extra.array.0`. Нумерация значений в массиве начинается с 0. Вам нужно указать значение вручную. Для работы со значением из поля `Extra` на глубине 3 и ниже требуется использовать кавычки ``, например `Extra.lev1.lev2.lev3`. Оператор – =. Правый операнд – константа. Значение – значение, по которому требуется фильтровать события. Последовательность условий, указанных в фильтре селектора корреляционного правила, имеет значение и влияет на производительность системы. Мы рекомендуем на первое место в фильтре селектора ставить наиболее уникальный критерий отбора. Рассмотрим два примера фильтров селектора, осуществляющих выборку событий успешной аутентификации в Microsoft Windows. Фильтр селектора 1: Условие 1 – `DeviceProduct = Microsoft Windows`. Условие 2 – `DeviceEventClassID = 4624`. Фильтр селектора 2: Условие 1 – `DeviceEventClassID = 4624`. Условие 2 – `DeviceProduct = Microsoft Windows`. Последовательность условий, указанная в фильтре селектора 2, является более предпочтительной, так как показывает меньшую нагрузку на систему.

На вкладке Локальные переменные вы можете добавить переменные, которые будут действовать в пределах правила корреляции. Для добавления переменной нажмите на кнопку + Добавить, после чего укажите переменную и ее значение. Вы можете добавить несколько переменных и удалить переменные. Для удаления переменной установите рядом с ней флажок и нажмите на кнопку Удалить.

В селекторе корреляционного правила могут быть использованы регулярные выражения, соответствующие стандарту RE2. Применение регулярных выражений в корреляционных правилах создаёт большую нагрузку в сравнении с другими операциями. При разработке корреляционных правил мы рекомендуем ограничить использование регулярных выражений до необходимого минимума и применять другие доступные операции.

Для использования регулярного выражения вам нужно применить оператор сравнения match. Регулярное выражение должно быть размещено в константе. Применение capture-групп в регулярных выражениях не обязательно. Для срабатывания корреляционного правила текст поля, сопоставляемый с regexp, должен полностью совпасть с регулярным выражением.

Для ознакомления с синтаксисом и примерами корреляционных правил, в селекторах которых есть регулярные выражения, вы можете использовать следующие правила, поставляемые с KUMA:

R105_04_Подозрительные PowerShell-команды. Подозрение на обфускацию.
R333_Подозрительное создание файлов в директории автозапуска.

Вкладка Действия

Эта вкладка используется для настройки триггеров правила корреляции. Вы можете настроить триггеры на следующих вкладках:

На первом срабатывании правила – триггер срабатывает, когда контейнер регистрирует первое в течение срока своей жизни срабатывание селектора.
На последующих срабатываниях правила – триггер срабатывает, когда контейнер регистрирует в течение срока своей жизни второе и последующие срабатывания селектора.
На каждом срабатывании правила – триггер срабатывает каждый раз, когда контейнер регистрирует срабатывание селектора.
По истечении времени жизни контейнера – триггер срабатывает по истечении времени жизни контейнера и используется в связке с селектором, в параметрах которого включен переключатель Обнуление. Таким образом, триггер срабатывает, если в течение указанного времени жизни ситуация, обнаруженная правилом корреляции, не разрешается.

Доступные параметры триггеров описаны в таблице ниже.

Параметр

Описание

В дальнейшую обработку

Флажок, включающий отправку корреляционных событий на пост-обработку – на внешнее обогащение вне корреляционного правила, для реагирования и в точки назначения. По умолчанию этот флажок снят.

В коррелятор

Флажок, включающий обработку созданного корреляционного события цепочкой правил текущего коррелятора. Это позволят достичь иерархической корреляции. По умолчанию этот флажок снят.

Если вы устанавливаете флажки В дальнейшую обработку и В коррелятор, правило корреляции будет отправлено сначала на пост-обработку, а затем в селекторы текущего правила корреляции.

Не создавать алерт

Флажок, выключающий создание алертов при срабатывании правила корреляции. По умолчанию этот флажок снят.

Если вы хотите, чтобы алерт не создавался при срабатывании правила корреляции, но корреляционное событие все-равно отправлялось в хранилище, установите флажки В дальнейшую обработку и Не создавать алерт. Если установлен только флажок Не создавать алерт, корреляционное событие не будет сохраняться в хранилище.

Обогащение

Правила обогащения для изменения значений полей корреляционных событий. Правила обогащения хранятся в правиле корреляции, в котором они были созданы. Для создания правила обогащения нажмите на кнопку + Добавить обогащение.

Доступные параметры правила обогащения:

Исходный тип – тип обогащения. При выборе определенных типов обогащения могут стать доступны дополнительные параметры, для которых вам нужно указать значения.

Доступные типы обогащения:

константа

словарь

Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Словарь. Доступные параметры типа обогащения описаны в таблице ниже.

Доступные параметры типа обогащения

Параметр	Описание
Название словаря	Словарь, из которого будут браться значения.
Ключевые поля	Поля событий, значения которых будут использоваться для выбора записи словаря. Для добавления поля события нажмите на кнопку Добавить поле. Вы можете добавить несколько полей событий.

Если вы используете обогащение событий, у которого в качестве параметра Тип источника данных выбрано значение словарь, а в параметре Ключевые поля обогащения указано поле-массив, при передаче массива в качестве ключа словаря массив будет сериализован в строку согласно правилам сериализации одного значения в формате TSV.

Пример: в параметре Ключевые поля обогащения используется поле расширенной схемы SA.StringArrayOne. В поле расширенной схемы SA.StringArrayOne находятся значения "a", "b", "c". В качестве ключа в словарь будут переданы значения ['a','b','c'].

Если в параметре Ключевые поля обогащения используется поле-массив расширенной схемы и обычное поле схемы событий, значения полей при обращении в словарь будут разделены символом «|».

Пример: в параметре Ключевые поля обогащения используется поле расширенной схемы SA.StringArrayOne и строковое поле Code. В поле расширенной схемы SA.StringArrayOne находятся значения "a", "b", "c", а строковое поле Code содержит последовательность символов myCode. В качестве ключа в словарь будут переданы значения ['a','b','c']|myCode.

таблица

Этот тип обогащения используется, если в поле события необходимо добавить значение из словаря типа Таблица. Доступные параметры типа обогащения описаны в таблице ниже.

Доступные параметры типа обогащения

Параметр

Описание

Название словаря

Словарь, из которого будут браться значения.

Ключевые поля

Поля событий, значения которых будут использоваться для выбора записи словаря. Для добавления поля события нажмите на кнопку Добавить поле. Вы можете добавить несколько полей событий.

Сопоставление

Поля событий для передачи данных:

Поле словаря – поля словаря, из которых будут передаваться данные. Доступные поля зависят от выбранного ресурса словаря.
Поле KUMA – поля событий, в которые будут передаваться данные. Для некоторых выбранных полей (*custom* и *flex*) в столбце Подпись вы можете задать название для помещаемых данных.

Первое поле в таблице (Поле словаря) считается ключом, с которым будут сопоставляться поля, выбранные из события в качестве ключевых (Поле KUMA). В качестве ключа в Поле словаря вам нужно выбрать индикатор компрометации, по которому будет осуществляться обогащение, например IP-адрес, URL-адрес или хеш. В правиле необходимо выбрать поле события, соответствующее выбранному индикатору в поле словаря.

Если вы хотите выбрать несколько ключевых полей, вы можете указать их через разделитель | (при указании через веб-интерфейс или импорте через CSV-файл), например <IP-адрес>|<имя пользователя>.

Вы можете добавлять новые строки таблицы и удалять строки таблицы. Для добавления новой строки таблицы нажмите на кнопку Добавить элемент. Для удаления строки таблицы нажмите на кнопку cross .

событие

Этот тип обогащения используется, если в поле события необходимо записать значение другого поля события. Доступные параметры типа обогащения описаны в таблице ниже.

Доступные параметры типа обогащения

Параметр	Описание
Целевое поле	Поле события KUMA, в которое требуется поместить данные.
Исходное поле	Поле события, значение которого будет записано в целевое поле.

Если нажать на кнопку wrench-new , откроется окно Преобразование, в котором вы можете с помощью кнопки Добавить преобразование создавать правила для изменения исходных данных перед записью в поля событий KUMA. Вы можете менять местами и удалять созданные правила. Для изменения места правила используйте значок DragIcon рядом с ним. Для удаления правила нажмите рядом с ним на значок cross-black .

Доступные преобразования

Преобразования – это изменения, которые применяются к значению перед записью в поле события. Вы можете выбрать в раскрывающемся списке один из следующих типов преобразования:

entropy – используется для преобразования значения исходного поля с помощью функции вычисления информационной энтропии и помещения результата преобразования в целевое поле типа float. Результатом преобразования будет число. Показатель вычисления информационной энтропии позволяет выявлять DNS-туннели и компрометацию паролей, например когда пользователь ввел пароль вместо логина и пароль записывается в журнал в открытом виде.
lower – используется для перевода всех символов значения в нижний регистр.
upper – используется для перевода всех символов значения в верхний регистр.
regexp – используется для преобразования значения с помощью указанного регулярного выражения RE2. При выборе этого типа преобразования отображается поле, в котором вам нужно указать регулярное выражение RE2.
substring – используется для извлечения символов в указанном диапазоне позиций. При выборе этого типа преобразования отображаются поля Начало и Конец, в которых вам нужно указать диапазон позиций.
replace – используется для замены указанной последовательности символов на другую последовательность символов. При выборе этого типа преобразования отображаются следующие поля:
- Символы на замену – последовательность символов, которую требуется заменить.
- Чем заменить – последовательность символов, которую требуется использовать вместо заменяемой последовательности символов.
trim – используется для удаления указанных символов одновременно с начала и с конца значения поля события. При выборе этого типа преобразования отображается поле Символы, в котором вам нужно указать символы. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, новым значением будет soft-Windows-Sys.
append – используется для добавления указанных символов в конец значения поля события. При выборе этого типа преобразования отображается поле Константа, в котором вам нужно указать символы.
prepend – используется для добавления указанных символов к началу значения поля события. При выборе этого типа преобразования отображается поле Константа, в котором вам нужно указать символы.
replace with regexp – используется для замены результатов регулярного выражения RE2 на указанную последовательность символов. При выборе этого типа преобразования отображаются следующие поля:
- Выражение – регулярное выражение RE2, результаты которого требуется заменить.
- Чем заменить – последовательность символов, которую требуется использовать вместо заменяемой последовательности символов.
Конвертация закодированных строк в текст:
- decodeHexString – используется для конвертации HEX-строки в текст.
- decodeBase64String – используется для конвертации Base64-строки в текст.
- decodeBase64URLString – используется для конвертации Base64url-строки в текст.
При конвертации поврежденной строки или при ошибках конвертации в поле события могут быть записаны поврежденные данные.

При обогащении событий, если длина закодированной строки превышает размер поля нормализованного события, строка будет обрезана и не будет раскодирована.

Если длина раскодированной строки превышает размер поля события, в которое должно быть помещено раскодированное значение, строка будет обрезана до размера этого поля события.

Преобразования при использовании расширенной схемы событий

Возможность использования преобразования зависит от типа используемого поля расширенной схемы событий:

для дополнительного поля с типом «Строка» доступны все типы преобразования.
для полей с типами «Число» и «Число с плавающей точкой» доступны следующие типы преобразования: regexp, substring, replace, trim, append, prepend, replaceWithRegexp, decodeHexString, decodeBase64String и decodeBase64URLString.
для полей с типами «Массив строк», «Массив чисел» и «Массив чисел с плавающей точкой» доступны следующие типы преобразования: append и prepend.

При использовании обогащения событий, у которых в качестве параметра Тип источника данных выбрано значение событие, а в качестве аргументов используются поля расширенной схемы событий, необходимо учесть следующие особенности:

Если исходное поле расширенной схемы событий имеет тип «Массив строк», а целевое поле расширенной схемы событий имеет тип «Строка», значения будут размещены в целевом поле расширенной схемы событий в формате TSV.
Пример: в поле расширенной схемы событий SA.StringArray, находятся значения «string1», «string2», «string3». Выполняется операция обогащения событий. Результат выполнения операции обогащения событий заносится в поле расширенной схемы событий DeviceCustomString1. В поле расширенной схемы событий DeviceCustomString1 будут находиться значения [«string1», «string2», «string3»].
Если исходное и целевое поля расширенной схемы событий имеют тип «Массив строк», значения целевого поля расширенной схемы событий будут дополнены значениями исходного поля расширенной схемы событий, а качестве символа-разделителя будет использован символ «,».
Пример: в поле расширенной схемы событий SA.StringArrayOne, находятся значения [«string1», «string2», «string3»], а в поле расширенной схемы событий SA.StringArrayTwo находятся значения [«string4», «string5», «string6»]. Выполняется операция обогащения событий. Результат выполнения операции обогащения событий заносится в поле расширенной схемы событий SA.StringArrayTwo. В поле расширенной схемы событий SA.StringArrayTwo будут находиться значения[«string4», «string5», «string6», «string1», «string2», «string3»].

шаблон

Обязательный параметр.

Отладка – переключатель, включающий логирование ресурса. По умолчанию этот переключатель выключен.
Теги –

Вы можете создать несколько правил обогащения, изменить порядок правил обогащения и удалить правила обогащения. Для изменения порядка правил обогащения используйте значки изменения порядка DragIcon . Для удаления правила обогащения нажмите рядом с ним на значок удаления cross-black .

Изменение категорий

Правила категоризации для изменения категорий активов, указанных в событии. С помощью правил категоризации вы можете привязывать и отвязывать от активов только реактивные категории. Для создания правила категоризации нажмите на кнопку + Добавить категоризацию.

Доступные параметры правила категоризации:

Действие – операция, выполняемая над категорией:
- Добавить – привязать категорию к активу.
- Удалить – отвязать категорию от актива.
Обязательный параметр.
Поле события – поле события, содержащее актив, над которым будет выполнена операция.
Обязательный параметр.
Идентификатор категории – категория, над которой будет совершена операция.
Обязательный параметр.

Вы можете создать несколько правил категоризации, изменить порядок правил категоризации и удалить правила категоризации. Для изменения порядка правил категоризации используйте значки изменения порядка DragIcon . Для удаления правила категоризации нажмите рядом с ним на значок удаления cross-black .

Обновление активных листов

Операции с активными листами. Для создания операции с активным листом нажмите на кнопку + Добавить действие с активным листом.

Доступные параметры операции с активным листом:

Название – активный лист, с которым выполняется операция. Если вы хотите изменить параметры активного листа, нажмите рядом с ним на значок карандаша .
Обязательный параметр.
Операция – операция, которая выполняется с активным листом:
- Сложить – прибавить константу, значение поля корреляционного события или значение локальной переменной к значению активного листа.
- Установить – записать значения указанных полей корреляционного события в активный лист, создав новую или обновив существующую запись активного листа. При обновлении записи активного листа данные объединяются, и только указанные поля перезаписываются.
- Получить – получить запись активного листа и записать значения указанных полей в корреляционное событие.
- Удалить – удалить запись из активного листа.
Обязательный параметр.
Ключевые поля – поля события, которые используются для создания записи активного листа. Указанные поля событий также используются в качестве ключа записи активного листа.
Ключ записи активного листа зависит только от состава полей событий и не зависит от порядка их отображения в веб-интерфейсе KUMA.

Обязательный параметр.
Сопоставление – правила сопоставления полей активного листа с полями событий. Вы можете использовать правила сопоставления, если в раскрывающемся списке Операция вы выбрали значение Получить или Установить. Для создания правила сопоставления нажмите на кнопку + Добавить.
Доступные параметры правила сопоставления:
- Поле активного листа – поле активного листа, которое сопоставляется с полем события. Поле не должно содержать специальные символы или только цифры.
- Поле KUMA – поле события, с которым сопоставляется поле активного листа.
- Константа – константа, которая назначается полю активного листа. Вам нужно указать консанту, если в раскрывающемся списке Операция вы выбрали значение Установить.
Вы можете создать несколько правил сопоставления и удалить правила сопоставления. Для удаления правила сопоставления установите рядом с ним флажок и нажмите на кнопку Удалить.

Вы можете создать несколько операций с активными листами, изменить порядок операций с активными листами и удалить операции с активными листами. Для изменения порядка операций с активными листами используйте значки изменения порядка DragIcon . Для удаления операции с активным листом нажмите рядом с ней на значок удаления cross-black .

Обновление контекстных таблиц

Операции с контекстными таблицами. Для создания операции с контекстной таблицей нажмите на кнопку + Добавить действие с контекстной таблицей.

Доступные параметры операции с контекстной таблицей:

Название – контекстная таблица, с которой выполняется операция. Если вы хотите изменить параметры контекстной таблицы, нажмите рядом с ней на значок карандаша .
Обязательный параметр.
Операция – операция, которая выполняется с контекстной таблицей:
- Сложить – прибавить константу, значение поля корреляционного события или значение локальной переменной к значению указанного поля контекстной таблицы. Операция используется только для полей с типом «Число» и «Число с плавающей точкой».
- Установить – записать значения указанных полей корреляционного события в контекстную таблицу, создав новую или обновив существующую запись контекстной таблицы. При обновлении записи контекстной таблицы данные объединяются, и только указанные поля перезаписываются.
- Объединить – дописать значение поля корреляционного события, локальной переменной или константы к существующему значению поля контекстной таблицы.
- Получить – получить поля контекстной таблицы и записать значения указанных полей в корреляционное событие. Поля таблицы типа булево значение и список булевых значений исключаются из сопоставления, потому что в событии нет полей булева типа.
- Удалить – удалить запись из контекстной таблицы.
Обязательный параметр.
Сопоставление – правила сопоставления полей контекстной таблицы с полями событий или переменными. Вы можете использовать правила сопоставления, если в раскрывающемся списке Операция вы не выбрали значение Удалить. Для создания правила сопоставления нажмите на кнопку + Добавить.
Доступные параметры правила сопоставления:
- Поле контекстной таблицы – поле контекстной таблицы, которое сопоставляется с полем события. Вы не можете указать поле контекстной таблицы, которое уже используется в сопоставлении. Вы можете указать табуляцию, специальные символы или только цифры. Максимальное длина названия поля контекстной таблицы составляет 128 символов. Название поля контекстной таблицы не может начинаться с нижнего подчеркивания.
- Поле KUMA – поле события или локальная переменная, с которой сопоставляется поле контекстной таблицы.
- Константа – константа, которая назначается полю контекстной таблицы. Вам нужно указать консанту, если в раскрывающемся списке Операция вы выбрали значение Установить, Объединить или Сложить. Максимальное длина константы составляет 1024 символа.
Вы можете создать несколько правил сопоставления и удалить правила сопоставления. Для удаления правила сопоставления установите рядом с ним флажок и нажмите на кнопку Удалить.

Вы можете создать несколько операций с контекстными таблицами, изменить порядок операций с контекстными таблицами и удалить операции с контекстными таблицами. Для изменения порядка операций с контекстными таблицами используйте значки изменения порядка DragIcon . Для удаления операции с контекстной таблицей нажмите рядом с ней на значок удаления cross-black .

Вкладка Корреляторы

Эта вкладка отображается только при изменении параметров созданного правила корреляции и используется для привязки корреляторов к правилу корреляции.

Для добавления корреляторов нажмите на кнопку + Добавить, в открывшемся окне укажите один или несколько корреляторов и нажмите на кнопку ОК. Правило корреляции будет привязано к указанным корреляторам и добавлено последним в очередь для выполнения в параметрах корреляторов. Если вы хотите изменить позицию правила корреляции в очереди для выполнения, перейдите в раздел Ресурсы → Коррелятор, нажмите на коррелятор, в открывшемся окне перейдите в раздел Корреляция, установите флажок рядом с правилом корреляции и измените позицию правила корреляции, нажимая на кнопки Поднять и Опустить.

Вы можете добавить несколько корреляторов и удалить корреляторы. Для удаления коррелятора установите рядом с ним флажок и нажмите на кнопку Удалить.

В начало