Kaspersky Unified Monitoring and Analysis Platform

Настройка модели данных нормализованного события из KATA EDR

Для расследования данных необходимо, чтобы идентификаторы события и процесса KATA/EDR попадали в определенные поля нормализованного события. Для построения дерева процессов для событий, поступающих из KATA/EDR, необходимо настроить копирование данных из полей исходных событий в поля нормализованного события в нормализаторах в KUMA следующим образом:

1. Для любых событий KATA/EDR должна быть настроена нормализация с копированием следующих полей:
   • поле события KATA/EDR EventType должно копироваться в поле нормализованного события KUMA DeviceEventCategory;
   • поле события KATA/EDR HostName должно копироваться в поле нормализованного события KUMA DeviceHostName.
2. Для любого события, где поле DeviceProduct = 'KATA' должна быть настроена нормализация в соответствии таблице ниже.

   Нормализация полей событий из KATA/EDR

   Поле в событии KATA/EDR	Поле нормализованного события
   IOATag	DeviceCustomIPv6Address2
   	IOATag
   IOAImportance	DeviceCustomIPv6Address1
   	IOAImportance
   FilePath	FilePath
   FileName	FileName
   Md5	FileHash
   FileSize	FileSize

3. Для событий, перечисленными в таблице ниже, должна быть настроена дополнительная нормализация с копированием полей в соответствии с таблицей.

   Дополнительная нормализация с копированием полей событий из KATA/EDR

   Событие	Поле исходного события	Поле нормализованного события
   Process	UniqueParentPid	FlexString1
   	UniquePid	FlexString2
   	HostName	DeviceHostName
   	FileName	FileName
   AppLock	UniquePid	FlexString2
   	HostName	DeviceHostName
   	FileName	FileName
   BlockedDocument	UniquePid	FlexString2
   	HostName	DeviceHostName
   	FileName	FileName
   Module	UniquePid	FlexString2
   	HostName	DeviceHostName
   	FileName	FileName
   FileChange	UniquePid	FlexString2
   	HostName	DeviceHostName
   	FileName	FileName
   Driver	HostName	DeviceHostName
   	FileName	FileName
   	ProductName	DeviceCustomString5,
   		ProductName
   	ProductVendor	DeviceCustomString6
   		ProductVendor
   Connection	UniquePid	FlexString2
   	HostName	DeviceHostName
   	URI	RequestURL
   	RemoteIP	DestinationAddress
   	RemotePort	DestinationPort
   PortListen	UniquePid	FlexString2
   	HostName	DeviceHostName
   	LocalIP	SourceAddress
   	LocalPort	SourcePort
   Registry	UniquePid	FlexString2
   	HostName	DeviceHostName
   	ValueName	DeviceCustomString5
   		New Value Name
   	KeyName	DeviceCustomString4
   		New Key Name
   	PreviousKeyName	FlexString2
   		Old Key Name
   	ValueData	DeviceCustomString6
   		New Value Data
   	PreviousValueData	FlexString1
   		Old Value Data
   	ValueType	FlexNumber1
   		Value Type
   	PreviousValueType	FlexNumber2
   		Previous Value Type
   SystemEventLog	UniquePid	FlexString2
   	HostName	DeviceHostName
   	OperationResult	EventOutcome
   	EventId	DeviceCustomNumber3
   		EventId
   	EventRecordId	DeviceCustomNumber2
   		EventRecordId
   	Channel	DeviceCustomString6
   		Channel
   	ProviderName	SourceUserID
   ThreatDetect	UniquePid	FlexString2
   	HostName	DeviceHostName
   	VerdictName	EventOutcome
   	DetectedObjectType	OldFileType
   	isSilent	FlexString1
   		Is Silent
   	RecordId	DeviceCustomString5
   		Record ID
   	DatabaseTimestamp	DeviceCustomDate2
   		Database Timestamp
   ThreatDetectProcessingResult	UniquePid	FlexString2
   	HostName	DeviceHostName
   	ThreatStatus	DeviceCustomString5
   		Threat Status
   PROCESS_INTERPRET_FILE_RUN	UniquePid	FlexString2
   	HostName	DeviceHostName
   	FileName	FileName
   	InterpretedFilePath	OldFilePath
   	InterpretedFileSize	OldFileSize
   	InterpretedFileHash	OldFileHash
   PROCESS_CONSOLE_INTERACTIVE_INPUT	UniquePid	FlexString2
   	HostName	DeviceHostName
   	InteractiveInputText	DeviceCustomString4
   		Command Line
   AMSI SCAN	UniquePid	FlexString2
   	HostName	DeviceHostName
   	ObjectContent	DeviceCustomString5
   		Object Content