Для расследования данных необходимо, чтобы идентификаторы события и процесса KATA/EDR попадали в определенные поля нормализованного события. Для построения дерева процессов для событий, поступающих из KATA/EDR, необходимо настроить копирование данных из полей исходных событий в поля нормализованного события в нормализаторах в KUMA следующим образом:
EventType должно копироваться в поле нормализованного события KUMA DeviceEventCategory;HostName должно копироваться в поле нормализованного события KUMA DeviceHostName.DeviceProduct = 'KATA' должна быть настроена нормализация в соответствии таблице ниже.Нормализация полей событий из KATA/EDR
Поле в событии KATA/EDR |
Поле нормализованного события |
|---|---|
IOATag
|
DeviceCustomIPv6Address2 |
IOATag |
|
IOAImportance
|
DeviceCustomIPv6Address1 |
IOAImportance |
|
FilePath |
FilePath |
FileName |
FileName |
Md5 |
FileHash |
FileSize |
FileSize |
Дополнительная нормализация с копированием полей событий из KATA/EDR
Событие |
Поле исходного события |
Поле нормализованного события |
|---|---|---|
Process
|
UniqueParentPid |
FlexString1 |
UniquePid |
FlexString2 |
|
HostName |
DeviceHostName |
|
FileName |
FileName |
|
AppLock
|
UniquePid |
FlexString2 |
HostName |
DeviceHostName |
|
FileName |
FileName |
|
BlockedDocument
|
UniquePid |
FlexString2 |
HostName |
DeviceHostName |
|
FileName |
FileName |
|
Module
|
UniquePid |
FlexString2 |
HostName |
DeviceHostName |
|
FileName |
FileName |
|
FileChange
|
UniquePid |
FlexString2 |
HostName |
DeviceHostName |
|
FileName |
FileName |
|
Driver
|
HostName |
DeviceHostName |
FileName |
FileName |
|
ProductName
|
DeviceCustomString5, |
|
ProductName |
||
ProductVendor
|
DeviceCustomString6 |
|
ProductVendor |
||
Connection
|
UniquePid |
FlexString2 |
HostName |
DeviceHostName |
|
URI |
RequestURL |
|
RemoteIP |
DestinationAddress |
|
RemotePort |
DestinationPort |
|
PortListen
|
UniquePid |
FlexString2 |
HostName |
DeviceHostName |
|
LocalIP |
SourceAddress |
|
LocalPort |
SourcePort |
|
Registry
|
UniquePid |
FlexString2 |
HostName |
DeviceHostName |
|
ValueName
|
DeviceCustomString5 |
|
New Value Name |
||
KeyName
|
DeviceCustomString4 |
|
New Key Name |
||
PreviousKeyName
|
FlexString2 |
|
Old Key Name |
||
ValueData
|
DeviceCustomString6 |
|
New Value Data |
||
PreviousValueData
|
FlexString1 |
|
Old Value Data |
||
ValueType
|
FlexNumber1 |
|
Value Type |
||
PreviousValueType
|
FlexNumber2 |
|
Previous Value Type |
||
SystemEventLog
|
UniquePid |
FlexString2 |
HostName |
DeviceHostName |
|
OperationResult |
EventOutcome |
|
EventId
|
DeviceCustomNumber3 |
|
EventId |
||
EventRecordId
|
DeviceCustomNumber2 |
|
EventRecordId |
||
Channel
|
DeviceCustomString6 |
|
Channel |
||
ProviderName |
SourceUserID |
|
ThreatDetect
|
UniquePid |
FlexString2 |
HostName |
DeviceHostName |
|
VerdictName |
EventOutcome |
|
DetectedObjectType |
OldFileType |
|
isSilent
|
FlexString1 |
|
Is Silent |
||
RecordId
|
DeviceCustomString5 |
|
Record ID |
||
DatabaseTimestamp
|
DeviceCustomDate2 |
|
Database Timestamp |
||
ThreatDetectProcessingResult
|
UniquePid |
FlexString2 |
HostName |
DeviceHostName |
|
ThreatStatus
|
DeviceCustomString5 |
|
Threat Status |
||
PROCESS_INTERPRET_FILE_RUN
|
UniquePid |
FlexString2 |
HostName |
DeviceHostName |
|
FileName |
FileName |
|
InterpretedFilePath |
OldFilePath |
|
InterpretedFileSize |
OldFileSize |
|
InterpretedFileHash |
OldFileHash |
|
PROCESS_CONSOLE_INTERACTIVE_INPUT
|
UniquePid |
FlexString2 |
HostName |
DeviceHostName |
|
InteractiveInputText
|
DeviceCustomString4 |
|
Command Line |
||
AMSI SCAN
|
UniquePid |
FlexString2 |
HostName |
DeviceHostName |
|
ObjectContent
|
DeviceCustomString5 |
|
Object Content |