Точки назначения
Точки назначения задают сетевые параметры для передачи нормализованных событий. Точки назначения используются в коллекторах и корреляторах для описания того, куда передавать обработанные события. Как правило, в роли точек назначения выступают коррелятор и хранилище.
Вы можете указать параметры точек назначения на вкладках Основные параметры и Дополнительные параметры. Набор доступных параметров зависит от выбранного типа точки назначения.
Существуют следующие типы точек назначения:
- internal – используются для приема данных от сервисов KUMA по протоколу internal.
- nats-jetstream – используются для коммуникации через NATS.
- tcp – используются для связи по протоколу TCP.
- http – используются для связи по протоколу HTTP.
- diode – используются для передачи событий с помощью диода данных.
- kafka – используются для коммуникаций с помощью kafka..
- file – используются для записи в файл.
- storage – используются для передачи данных в хранилище.
- correlator – используются для передачи данных в коррелятор.
- eventRouter – используются для передачи событий в маршрутизатор событий.
В начало
[Topic 217842]
Точка назначения, тип nats-jetstream
Развернуть всё | Свернуть всё
Точки назначения с типом nats-jetstream используются для коммуникации через NATS. Доступные параметры точки назначения с типом nats-jetsream описаны в таблицах ниже.
Вкладка Основные параметры
Параметр
|
Описание
|
Название
|
Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.
Обязательный параметр.
|
Тенант
|
Название тенанта, которому принадлежит ресурс.
Обязательный параметр.
|
Состояние
|
Переключатель, включающий отправку событий в точку назначения. По умолчанию этот переключатель включен.
|
Тип
|
Тип точки назначения – nats-jetstream.
Обязательный параметр.
|
URL
|
URL-адрес, с которым требуется установить связь. Поддерживаются следующие форматы URL-адресов:
Вы можете добавить несколько URL-адресов и удалить URL-адрес. KUMA не позволяет сохранить ресурс или сервис если в поле URL есть знак табуляции или пробел. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления  .
Обязательный параметр.
|
Тема
|
Тема сообщений NATS. Символы вводятся в кодировке Unicode.
Обязательный параметр.
|
Авторизация
|
Тип авторизации при подключении к URL-адресу, указанному в поле URL:
|
Теги
|
|
Описание
|
Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.
|
Вкладка Дополнительные параметры
Параметр
|
Описание
|
Размер буфера
|
Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
|
Интервал очистки буфера
|
Интервал в секундах для отправки событий в точку назначения. Значение по умолчанию: 1 секунда.
|
Размер дискового буфера
|
Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ.
|
Обработчики
|
Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2.
Допускается указать целое положительное число не больше 999.
|
Выходной формат
|
Формат, в котором события отправляются во внешний источник:
- JSON.
- CEF. При выборе этого значения в отправляемых событиях содержится заголовок CEF и только поля с непустыми значениями.
|
Режим TLS
|
Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения:
- Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию.
- Включено – использовать шифрование TLS, но без верификации сертификатов.
С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates.
- Нестандартный CA – использовать шифрование TLS с верификацией сертификата, подписанного центром сертификации. При выборе этого значения в раскрывающемся списке Нестандартный CA укажите секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать.
Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша  .
Как создать сертификат, подписанный центром сертификации?
Вы можете создать сертификат, подписанный центром сертификации, на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL).
Чтобы создать сертификат, подписанный центром сертификации:
- Создайте ключ, который будет использоваться центром сертификации, например:
openssl genrsa -out ca.key 2048
- Создайте сертификат для созданного ключа, например:
openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt
- Создайте приватный ключ и запрос на его подписание в центре сертификации, например:
openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr
- Создайте сертификат, подписанный центром сертификации. Вам нужно включить в переменную
subjectAltName доменные имена или IP-адреса сервера, для которого вы создаете сертификат, например:openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
- Загрузите созданный сертификат
server.crt в веб-интерфейсе KUMA в секрет с типом certificate, после чего в раскрывающемся списке Нестандартный CA выберите секрет с типом certificate.
Для использования сертификатов KUMA на сторонних устройствах вам нужно изменить расширение файла сертификата с CERT на CRT. В противном случае вы можете получить ошибку x509: certificate signed by unknown authority.
- Нестандартный PFX – использовать шифрование TLS с PFX-секретом. Вам нужно сформировать PFX-сертификат с закрытым ключом в формате PKCS#12-контейнера, после чего загрузить PFX-сертификат в веб-интерфейс KUMA в виде PFX-секрета. При выборе этого значения в раскрывающемся списке PFX секрет укажите PFX-секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий PFX-секрет или создать новый PFX-секрет. Для создания нового PFX-секрета выберите значение Создать.
Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша .
Как создать PFX-секрет?
Чтобы создать PFX-секрет:
- В поле Название введите название PFX-секрета.
- Нажмите на кнопку Загрузить PFX и выберите файл в формате PKCS#12-контейнера, в который вы экспортировали PFX-сертификат с закрытым ключом.
- В поле Пароль введите пароль для защиты PFX-сертификата, указанный в мастере экспорта PFX-сертификата.
- Нажмите на кнопку Создать.
PFX-секрет будет создан и отобразится в раскрывающемся списке PFX секрет.
|
Сжатие
|
Раскрывающийся список, позволяющий настроить использование сжатия Snappy:
- Выключено. Это значение выбрано по умолчанию.
- С помощью Snappy.
|
Разделитель
|
Символ, определяющий границу между событиями:
Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.
|
Дисковый буфер
|
Переключатель, включающий использование дискового буфера. По умолчанию этот переключатель включен.
Дисковый буфер используется, если коллектор не может отправить в точку назначения нормализованные события. Вы можете указать размер дискового буфера в поле Размер дискового буфера. Если в дисковом буфере не останется свободного пространства, новые нормализованные события будут перезаписывать старые нормализованные события, начиная с самого старого.
|
Время ожидания
|
Время в секундах, в течение которого точка назначения ожидает ответа другого сервиса или компонента.
|
Отладка
|
Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
|
Фильтр
|
Фильтр для определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать.
Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша .
Как создать фильтр?
Чтобы создать фильтр:
- В раскрывающемся списке Фильтр выберите Создать.
- Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
- Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
- В блоке параметров Условия укажите условия, которым должны соответствовать события:
- Нажмите на кнопку Добавить условие.
- В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
- В раскрывающемся списке оператор выберите оператор.
Операторы фильтров
- = – левый операнд равен правому операнду.
- < – левый операнд меньше правого операнда.
- <= – левый операнд меньше или равен правому операнду.
- > – левый операнд больше правого операнда.
- >= – левый операнд больше или равен правому операнду.
- inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
- contains – левый операнд содержит значения правого операнда.
- startsWith – левый операнд начинается с одного из значений правого операнда.
- endsWith – левый операнд заканчивается одним из значений правого операнда.
- match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
- hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.
Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.
- hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.
- inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
- inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
- inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
- inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
- TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
- inContextTable – присутствует ли в указанной контекстной таблице запись.
- intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
- Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
- Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
Вы можете добавить несколько условий или группу условий.
- Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
- Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку
 .
|
[Topic 232952]
Точка назначения, тип tcp
Точки назначения с типом tcp используются для связи по протоколу TCP. Доступные параметры точки назначения с типом tcp описаны в таблицах ниже.
Вкладка Основные параметры
Параметр
|
Описание
|
Название
|
Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.
Обязательный параметр.
|
Тенант
|
Название тенанта, которому принадлежит ресурс.
Обязательный параметр.
|
Состояние
|
Переключатель, включающий отправку событий в точку назначения. По умолчанию этот переключатель включен.
|
Тип
|
Тип точки назначения – tcp.
Обязательный параметр.
|
URL
|
URL-адрес, с которым требуется установить связь. Поддерживаются следующие форматы URL-адресов:
Вы можете добавить несколько URL-адресов и удалить URL-адрес. KUMA не позволяет сохранить ресурс или сервис если в поле URL есть знак табуляции или пробел. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления .
Обязательный параметр.
|
Теги
|
|
Описание
|
Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.
|
Вкладка Дополнительные параметры
Параметр
|
Описание
|
Размер буфера
|
Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
|
Интервал очистки буфера
|
Интервал в секундах для отправки событий в точку назначения. Значение по умолчанию: 1 секунда.
|
Размер дискового буфера
|
Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ.
|
Обработчики
|
Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2.
Допускается указать целое положительное число не больше 999.
|
Выходной формат
|
Формат, в котором события отправляются во внешний источник:
- JSON.
- CEF. При выборе этого значения в отправляемых событиях содержится заголовок CEF и только поля с непустыми значениями.
|
Режим TLS
|
Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения:
- Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию.
- Включено – использовать шифрование TLS, но без верификации сертификатов.
- С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates.
|
Сжатие
|
Раскрывающийся список, позволяющий настроить использование сжатия Snappy:
- Выключено. Это значение выбрано по умолчанию.
- С помощью Snappy.
|
Политика выбора URL
|
Способ определения URL-адресов, на которые события отправляются в первую очередь, если вы добавили несколько URL-адресов в поле URL на вкладке Основные параметры:
- Любой – события отправляются на случайно выбранный доступный URL-адрес до тех пор, пока URL-адрес принимает события. Если URL-адрес станет недоступным, события будут отправляться на другой случайно выбранный доступный URL-адрес. Это значение выбрано по умолчанию.
- Сначала первый – события отправляются на первый добавленный URL-адрес. Если URL-адрес станет недоступным, события будут отправляться на следующий добавленный доступный URL-адрес. Если первый добавленный URL-адрес снова станет доступным, события будут отправляться на него.
- Сбалансированный – события равномерно распределяются между доступными URL-адресами. Этот способ определения URL-адресов не гарантирует равномерного распределения событий по URL-адресам, так как буфер может быть переполнен или события могут быть отправлены в точку назначения. Вы можете указать размер буфера в байтах в поле Размер буфера, а также указать интервал в секундах для отправки событий в точку назначения в поле Интервал очистки буфера.
|
Разделитель
|
Символ, определяющий границу между событиями:
Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.
|
Дисковый буфер
|
Переключатель, включающий использование дискового буфера. По умолчанию этот переключатель включен.
Дисковый буфер используется, если коллектор не может отправить в точку назначения нормализованные события. Вы можете указать размер дискового буфера в поле Размер дискового буфера. Если в дисковом буфере не останется свободного пространства, новые нормализованные события будут перезаписывать старые нормализованные события, начиная с самого старого.
|
Время ожидания
|
Время в секундах, в течение которого точка назначения ожидает ответа другого сервиса или компонента.
|
Отладка
|
Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
|
Фильтр
|
Фильтр для определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать.
Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша .
Как создать фильтр?
Чтобы создать фильтр:
- В раскрывающемся списке Фильтр выберите Создать.
- Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
- Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
- В блоке параметров Условия укажите условия, которым должны соответствовать события:
- Нажмите на кнопку Добавить условие.
- В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
- В раскрывающемся списке оператор выберите оператор.
Операторы фильтров
- = – левый операнд равен правому операнду.
- < – левый операнд меньше правого операнда.
- <= – левый операнд меньше или равен правому операнду.
- > – левый операнд больше правого операнда.
- >= – левый операнд больше или равен правому операнду.
- inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
- contains – левый операнд содержит значения правого операнда.
- startsWith – левый операнд начинается с одного из значений правого операнда.
- endsWith – левый операнд заканчивается одним из значений правого операнда.
- match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
- hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.
Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.
- hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.
- inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
- inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
- inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
- inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
- TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
- inContextTable – присутствует ли в указанной контекстной таблице запись.
- intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
- Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
- Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
Вы можете добавить несколько условий или группу условий.
- Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
- Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .
|
[Topic 232960]
Точка назначения, тип http
Точки назначения с типом http используются для связи по протоколу HTTP. Доступные параметры точки назначения с типом http описаны в таблицах ниже.
Вкладка Основные параметры
Параметр
|
Описание
|
Название
|
Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.
Обязательный параметр.
|
Тенант
|
Название тенанта, которому принадлежит ресурс.
Обязательный параметр.
|
Состояние
|
Переключатель, включающий отправку событий в точку назначения. По умолчанию этот переключатель включен.
|
Тип
|
Тип точки назначения – http.
Обязательный параметр.
|
URL
|
URL-адрес, с которым требуется установить связь. Поддерживаются следующие форматы URL-адресов:
Вы можете добавить несколько URL-адресов и удалить URL-адрес. KUMA не позволяет сохранить ресурс или сервис если в поле URL есть знак табуляции или пробел. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления .
Обязательный параметр.
|
Авторизация
|
Тип авторизации при подключении к URL-адресу, указанному в поле URL:
|
Теги
|
|
Описание
|
Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.
|
Вкладка Дополнительные параметры
Параметр
|
Описание
|
Размер буфера
|
Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
|
Интервал очистки буфера
|
Интервал в секундах для отправки событий в точку назначения. Значение по умолчанию: 1 секунда.
|
Размер дискового буфера
|
Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ.
|
Обработчики
|
Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2.
Допускается указать целое положительное число не больше 999.
|
Выходной формат
|
Формат, в котором события отправляются во внешний источник:
- JSON.
- CEF. При выборе этого значения в отправляемых событиях содержится заголовок CEF и только поля с непустыми значениями.
|
Режим TLS
|
Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения:
- Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию.
- Включено – использовать шифрование TLS, но без верификации сертификатов.
С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates.
- Нестандартный CA – использовать шифрование TLS с верификацией сертификата, подписанного центром сертификации. При выборе этого значения в раскрывающемся списке Нестандартный CA укажите секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать.
Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша .
Как создать сертификат, подписанный центром сертификации?
Вы можете создать сертификат, подписанный центром сертификации, на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL).
Чтобы создать сертификат, подписанный центром сертификации:
- Создайте ключ, который будет использоваться центром сертификации, например:
openssl genrsa -out ca.key 2048
- Создайте сертификат для созданного ключа, например:
openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt
- Создайте приватный ключ и запрос на его подписание в центре сертификации, например:
openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr
- Создайте сертификат, подписанный центром сертификации. Вам нужно включить в переменную
subjectAltName доменные имена или IP-адреса сервера, для которого вы создаете сертификат, например:openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
- Загрузите созданный сертификат
server.crt в веб-интерфейсе KUMA в секрет с типом certificate, после чего в раскрывающемся списке Нестандартный CA выберите секрет с типом certificate.
Для использования сертификатов KUMA на сторонних устройствах вам нужно изменить расширение файла сертификата с CERT на CRT. В противном случае вы можете получить ошибку x509: certificate signed by unknown authority.
- Нестандартный PFX – использовать шифрование TLS с PFX-секретом. Вам нужно сформировать PFX-сертификат с закрытым ключом в формате PKCS#12-контейнера, после чего загрузить PFX-сертификат в веб-интерфейс KUMA в виде PFX-секрета. При выборе этого значения в раскрывающемся списке PFX секрет укажите PFX-секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий PFX-секрет или создать новый PFX-секрет. Для создания нового PFX-секрета выберите значение Создать.
Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша .
Как создать PFX-секрет?
Чтобы создать PFX-секрет:
- В поле Название введите название PFX-секрета.
- Нажмите на кнопку Загрузить PFX и выберите файл в формате PKCS#12-контейнера, в который вы экспортировали PFX-сертификат с закрытым ключом.
- В поле Пароль введите пароль для защиты PFX-сертификата, указанный в мастере экспорта PFX-сертификата.
- Нажмите на кнопку Создать.
PFX-секрет будет создан и отобразится в раскрывающемся списке PFX секрет.
|
Прокси-сервер
|
Прокси-сервер для точки назначения. Вы можете выбрать существующий прокси-сервер или создать новый прокси-сервер. Для создания нового прокси-сервера выберите Создать.
Если вы хотите изменить параметры существующего прокси-сервера, нажмите рядом с ним на значок карандаша .
|
Сжатие
|
Раскрывающийся список, позволяющий настроить использование сжатия Snappy:
- Выключено. Это значение выбрано по умолчанию.
- С помощью Snappy.
|
Политика выбора URL
|
Способ определения URL-адресов, на которые события отправляются в первую очередь, если вы добавили несколько URL-адресов в поле URL на вкладке Основные параметры:
- Любой – события отправляются на случайно выбранный доступный URL-адрес до тех пор, пока URL-адрес принимает события. Если URL-адрес станет недоступным, события будут отправляться на другой случайно выбранный доступный URL-адрес. Это значение выбрано по умолчанию.
- Сначала первый – события отправляются на первый добавленный URL-адрес. Если URL-адрес станет недоступным, события будут отправляться на следующий добавленный доступный URL-адрес. Если первый добавленный URL-адрес снова станет доступным, события будут отправляться на него.
- Сбалансированный – события равномерно распределяются между доступными URL-адресами. Этот способ определения URL-адресов не гарантирует равномерного распределения событий по URL-адресам, так как буфер может быть переполнен или события могут быть отправлены в точку назначения. Вы можете указать размер буфера в байтах в поле Размер буфера, а также указать интервал в секундах для отправки событий в точку назначения в поле Интервал очистки буфера.
|
Разделитель
|
Символ, определяющий границу между событиями:
Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.
|
Путь
|
Путь, который требуется добавить в запрос к URL-адресу, указанному в поле URL на вкладке Основные параметры. Например, если вы укажете путь /input, а в качестве URL-адреса укажете 10.10.10.10, от точки назначения будут исходить запросы 10.10.10.10/input.
|
Путь проверки работоспособности
|
URL-адрес для отправки запросов для получения данных о работоспособности системы, с которой ресурс точки назначения устанавливает связь.
|
Проверка работоспособности
|
Переключатель, включающий проверку работоспособности. По умолчанию этот переключатель выключен.
|
Дисковый буфер
|
Переключатель, включающий использование дискового буфера. По умолчанию этот переключатель включен.
Дисковый буфер используется, если коллектор не может отправить в точку назначения нормализованные события. Вы можете указать размер дискового буфера в поле Размер дискового буфера. Если в дисковом буфере не останется свободного пространства, новые нормализованные события будут перезаписывать старые нормализованные события, начиная с самого старого.
|
Время ожидания
|
Время в секундах, в течение которого точка назначения ожидает ответа другого сервиса или компонента.
|
Отладка
|
Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
|
Фильтр
|
Фильтр для определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать.
Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша .
Как создать фильтр?
Чтобы создать фильтр:
- В раскрывающемся списке Фильтр выберите Создать.
- Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
- Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
- В блоке параметров Условия укажите условия, которым должны соответствовать события:
- Нажмите на кнопку Добавить условие.
- В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
- В раскрывающемся списке оператор выберите оператор.
Операторы фильтров
- = – левый операнд равен правому операнду.
- < – левый операнд меньше правого операнда.
- <= – левый операнд меньше или равен правому операнду.
- > – левый операнд больше правого операнда.
- >= – левый операнд больше или равен правому операнду.
- inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
- contains – левый операнд содержит значения правого операнда.
- startsWith – левый операнд начинается с одного из значений правого операнда.
- endsWith – левый операнд заканчивается одним из значений правого операнда.
- match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
- hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.
Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.
- hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.
- inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
- inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
- inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
- inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
- TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
- inContextTable – присутствует ли в указанной контекстной таблице запись.
- intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
- Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
- Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
Вы можете добавить несколько условий или группу условий.
- Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
- Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .
|
[Topic 232961]
Точка назначения, тип diode
Развернуть всё | Свернуть всё
Точки назначения с типом diode используются для передачи событий с помощью диода данных. Доступные параметры точки назначения с типом diode описаны в таблицах ниже.
Вкладка Основные параметры
Параметр
|
Описание
|
Название
|
Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.
Обязательный параметр.
|
Тенант
|
Название тенанта, которому принадлежит ресурс.
Обязательный параметр.
|
Состояние
|
Переключатель, включающий отправку событий в точку назначения. По умолчанию этот переключатель включен.
|
Тип
|
Тип точки назначения – diode.
Обязательный параметр.
|
Директория, из которой диод данных получает события
|
Путь к директории, из которой диод данных перемещает события. Максимальная длина пути составляет до 255 символов в кодировке Unicode.
Ограничения при использовании префиксов к путям на серверах Windows
На серверах Windows необходимо указывать абсолютные пути к директориям. Невозможно использовать директории, названия которых соответствуют указанным ниже регулярным выражениям:
^[a-zA-Z]:\\Program Files^[a-zA-Z]:\\Program Files \(x86\)^[a-zA-Z]:\\Windows^[a-zA-Z]:\\ProgramData\\Kaspersky Lab\\KUMA
Ограничения при использовании префиксов к путям на серверах Linux
Префиксы, которые невозможно использовать при указании путей к файлам:
/*/bin/boot/dev/etc/home/lib/lib64/proc/root/run/sys/tmp/usr/*/usr/bin//usr/local/*/usr/local/sbin//usr/local/bin//usr/sbin//usr/lib//usr/lib64//var/*/var/lib//var/run//opt/kaspersky/kuma/
Файлы по указанным ниже путям доступны:
/opt/kaspersky/kuma/clickhouse/logs//opt/kaspersky/kuma/mongodb/log//opt/kaspersky/kuma/victoria-metrics/log/
Пути, указанные в полях Директория, из которой диод данных получает события и Временная директория, не должны совпадать.
|
Временная директория
|
Путь к директории, в которой события готовятся для передачи диоду данных. Максимальная длина пути составляет до 255 символов в кодировке Unicode.
События собираются в файл по истечении времени ожидания или при переполнении буфера. По умолчанию время ожидания составляет 10 секунд. Подготовленный файл с событиями перемещается в директорию, указанную в поле Директория, из которой диод данных получает события. В качестве названия файла с событиями используется хеш-сумма (SHA-256) содержимого файла с событиями.
Пути, указанные в полях Директория, из которой диод данных получает события и Временная директория, не должны совпадать.
|
Теги
|
|
Описание
|
Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.
|
Вкладка Дополнительные параметры
Параметр
|
Описание
|
Размер буфера
|
Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
|
Интервал очистки буфера
|
Интервал в секундах для отправки событий в точку назначения. Значение по умолчанию: 1 секунда.
|
Обработчики
|
Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2.
Допускается указать целое положительное число не больше 999.
|
Сжатие
|
Раскрывающийся список, позволяющий настроить использование сжатия Snappy:
- Выключено. Это значение выбрано по умолчанию.
- С помощью Snappy.
|
Разделитель
|
Символ, определяющий границу между событиями:
Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.
|
Отладка
|
Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
|
Фильтр
|
Фильтр для определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать.
Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша .
Как создать фильтр?
Чтобы создать фильтр:
- В раскрывающемся списке Фильтр выберите Создать.
- Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
- Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
- В блоке параметров Условия укажите условия, которым должны соответствовать события:
- Нажмите на кнопку Добавить условие.
- В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
- В раскрывающемся списке оператор выберите оператор.
Операторы фильтров
- = – левый операнд равен правому операнду.
- < – левый операнд меньше правого операнда.
- <= – левый операнд меньше или равен правому операнду.
- > – левый операнд больше правого операнда.
- >= – левый операнд больше или равен правому операнду.
- inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
- contains – левый операнд содержит значения правого операнда.
- startsWith – левый операнд начинается с одного из значений правого операнда.
- endsWith – левый операнд заканчивается одним из значений правого операнда.
- match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
- hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.
Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.
- hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.
- inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
- inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
- inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
- inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
- TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
- inContextTable – присутствует ли в указанной контекстной таблице запись.
- intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
- Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
- Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
Вы можете добавить несколько условий или группу условий.
- Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
- Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .
|
[Topic 232967]
Точка назначения, тип kafka
Развернуть всё | Свернуть всё
Точки назначения с типом kafka используются для коммуникаций с помощью kafka. Доступные параметры точки назначения с типом kafka описаны в таблицах ниже.
Вкладка Основные параметры
Параметр
|
Описание
|
Название
|
Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.
Обязательный параметр.
|
Тенант
|
Название тенанта, которому принадлежит ресурс.
Обязательный параметр.
|
Состояние
|
Переключатель, включающий отправку событий в точку назначения. По умолчанию этот переключатель включен.
|
Тип
|
Тип точки назначения – kafka.
Обязательный параметр.
|
URL
|
URL-адрес, с которым требуется установить связь. Поддерживаются следующие форматы URL-адресов:
Вы можете добавить несколько URL-адресов и удалить URL-адрес. KUMA не позволяет сохранить ресурс или сервис если в поле URL есть знак табуляции или пробел. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления .
Обязательный параметр.
|
Топик
|
Тема сообщений Kafka. Максимальная длина темы составляет до 255 символов. Вы можете использовать следующие символы: a–z, A–Z, 0–9, ".", "_", "-".
Обязательный параметр.
|
Авторизация
|
Тип авторизации при подключении к URL-адресу, указанному в поле URL:
- Выключена. Это значение выбрано по умолчанию.
- Обычная. При выборе этого значения в раскрывающемся списке Секрет укажите секрет, содержащий данные учетной записи пользователя для авторизации при подключении к точке назначения. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать.
Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша .
Как создать секрет?
Чтобы создать секрет:
- В поле Название введите название секрета.
- В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору.
- При необходимости в поле Описание введите описание секрета.
- Нажмите на кнопку Создать.
Секрет будет добавлен и отобразится в раскрывающемся списке Секрет.
- PFX – использовать шифрование TLS с PFX-секретом. Вам нужно сформировать PFX-сертификат с закрытым ключом в формате PKCS#12-контейнера во внешнем центре сертификации, экспортировать PFX-сертификат из хранилища, после чего загрузить PFX-сертификат в веб-интерфейс KUMA в виде PFX-секрета. При выборе этого значения в раскрывающемся списке PFX секрет укажите PFX-секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий PFX-секрет или создать новый PFX-секрет. Для создания нового PFX-секрета выберите значение Создать.
Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша .
Как создать PFX-секрет?
Чтобы создать PFX-секрет:
- В поле Название введите название PFX-секрета.
- Нажмите на кнопку Загрузить PFX и выберите файл в формате PKCS#12-контейнера, в который вы экспортировали PFX-сертификат с закрытым ключом.
- В поле Пароль введите пароль для защиты PFX-сертификата, указанный в мастере экспорта PFX-сертификата.
- Нажмите на кнопку Создать.
PFX-секрет будет создан и отобразится в раскрывающемся списке PFX секрет.
|
Теги
|
|
Описание
|
Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.
|
Вкладка Дополнительные параметры
Параметр
|
Описание
|
Размер буфера
|
Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
|
Интервал очистки буфера
|
Интервал в секундах для отправки событий в точку назначения. Значение по умолчанию: 1 секунда.
|
Размер дискового буфера
|
Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ.
|
Обработчики
|
Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2.
Допускается указать целое положительное число не больше 999.
|
Выходной формат
|
Формат, в котором события отправляются во внешний источник:
- JSON.
- CEF. При выборе этого значения в отправляемых событиях содержится заголовок CEF и только поля с непустыми значениями.
|
Режим TLS
|
Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения:
- Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию.
- Включено – использовать шифрование TLS, но без верификации сертификатов.
- С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates.
- Нестандартный CA – использовать шифрование TLS с верификацией сертификата, подписанного центром сертификации. При выборе этого значения в раскрывающемся списке Нестандартный CA укажите секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать.
Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша .
Как создать сертификат, подписанный центром сертификации?
Вы можете создать сертификат, подписанный центром сертификации, на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL).
Чтобы создать сертификат, подписанный центром сертификации:
- Создайте ключ, который будет использоваться центром сертификации, например:
openssl genrsa -out ca.key 2048
- Создайте сертификат для созданного ключа, например:
openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt
- Создайте приватный ключ и запрос на его подписание в центре сертификации, например:
openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr
- Создайте сертификат, подписанный центром сертификации. Вам нужно включить в переменную
subjectAltName доменные имена или IP-адреса сервера, для которого вы создаете сертификат, например:openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
- Загрузите созданный сертификат
server.crt в веб-интерфейсе KUMA в секрет с типом certificate, после чего в раскрывающемся списке Нестандартный CA выберите секрет с типом certificate.
Для использования сертификатов KUMA на сторонних устройствах вам нужно изменить расширение файла сертификата с CERT на CRT. В противном случае вы можете получить ошибку x509: certificate signed by unknown authority.
|
Разделитель
|
Символ, определяющий границу между событиями:
Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.
|
Дисковый буфер
|
Переключатель, включающий использование дискового буфера. По умолчанию этот переключатель включен.
Дисковый буфер используется, если коллектор не может отправить в точку назначения нормализованные события. Вы можете указать размер дискового буфера в поле Размер дискового буфера. Если в дисковом буфере не останется свободного пространства, новые нормализованные события будут перезаписывать старые нормализованные события, начиная с самого старого.
|
Время ожидания
|
Время в секундах, в течение которого точка назначения ожидает ответа другого сервиса или компонента.
|
Отладка
|
Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
|
Фильтр
|
Фильтр для определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать.
Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша .
Как создать фильтр?
Чтобы создать фильтр:
- В раскрывающемся списке Фильтр выберите Создать.
- Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
- Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
- В блоке параметров Условия укажите условия, которым должны соответствовать события:
- Нажмите на кнопку Добавить условие.
- В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
- В раскрывающемся списке оператор выберите оператор.
Операторы фильтров
- = – левый операнд равен правому операнду.
- < – левый операнд меньше правого операнда.
- <= – левый операнд меньше или равен правому операнду.
- > – левый операнд больше правого операнда.
- >= – левый операнд больше или равен правому операнду.
- inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
- contains – левый операнд содержит значения правого операнда.
- startsWith – левый операнд начинается с одного из значений правого операнда.
- endsWith – левый операнд заканчивается одним из значений правого операнда.
- match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
- hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.
Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.
- hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.
- inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
- inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
- inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
- inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
- TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
- inContextTable – присутствует ли в указанной контекстной таблице запись.
- intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
- Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
- Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
Вы можете добавить несколько условий или группу условий.
- Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
- Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .
|
[Topic 232962]
Точка назначения, тип file
Точки назначения с типом file используются для записи в файл. Доступные параметры точки назначения с типом file описаны в таблицах ниже.
При удалении точки назначения с типом file, используемой в сервисе, вам нужно перезапустить сервис.
Вкладка Основные параметры
Параметр
|
Описание
|
Название
|
Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.
Обязательный параметр.
|
Тенант
|
Название тенанта, которому принадлежит ресурс.
Обязательный параметр.
|
Состояние
|
Переключатель, включающий отправку событий в точку назначения. По умолчанию этот переключатель включен.
|
Тип
|
Тип точки назначения – file.
Обязательный параметр.
|
URL
|
Путь к файлу, в который требуется записать события.
Ограничения при использовании префиксов к путям файлов
Префиксы, которые невозможно использовать при указании путей к файлам:
/*/bin/boot/dev/etc/home/lib/lib64/proc/root/run/sys/tmp/usr/*/usr/bin//usr/local/*/usr/local/sbin//usr/local/bin//usr/sbin//usr/lib//usr/lib64//var/*/var/lib//var/run//opt/kaspersky/kuma/
Файлы по указанным ниже путям доступны:
/opt/kaspersky/kuma/clickhouse/logs//opt/kaspersky/kuma/mongodb/log//opt/kaspersky/kuma/victoria-metrics/log/
Обязательный параметр.
|
Теги
|
|
Описание
|
Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.
|
Вкладка Дополнительные параметры
Параметр
|
Описание
|
Размер буфера
|
Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
|
Интервал очистки буфера
|
Интервал в секундах для отправки событий в точку назначения. Значение по умолчанию: 1 секунда.
|
Размер дискового буфера
|
Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ.
|
Обработчики
|
Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2.
Допускается указать целое положительное число не больше 999.
|
Выходной формат
|
Формат, в котором события отправляются во внешний источник:
- JSON.
- CEF. При выборе этого значения в отправляемых событиях содержится заголовок CEF и только поля с непустыми значениями.
|
Разделитель
|
Символ, определяющий границу между событиями:
Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.
|
Дисковый буфер
|
Переключатель, включающий использование дискового буфера. По умолчанию этот переключатель включен.
Дисковый буфер используется, если коллектор не может отправить в точку назначения нормализованные события. Вы можете указать размер дискового буфера в поле Размер дискового буфера. Если в дисковом буфере не останется свободного пространства, новые нормализованные события будут перезаписывать старые нормализованные события, начиная с самого старого.
|
Отладка
|
Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
|
Фильтр
|
Фильтр для определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать.
Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша .
Как создать фильтр?
Чтобы создать фильтр:
- В раскрывающемся списке Фильтр выберите Создать.
- Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
- Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
- В блоке параметров Условия укажите условия, которым должны соответствовать события:
- Нажмите на кнопку Добавить условие.
- В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
- В раскрывающемся списке оператор выберите оператор.
Операторы фильтров
- = – левый операнд равен правому операнду.
- < – левый операнд меньше правого операнда.
- <= – левый операнд меньше или равен правому операнду.
- > – левый операнд больше правого операнда.
- >= – левый операнд больше или равен правому операнду.
- inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
- contains – левый операнд содержит значения правого операнда.
- startsWith – левый операнд начинается с одного из значений правого операнда.
- endsWith – левый операнд заканчивается одним из значений правого операнда.
- match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
- hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.
Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.
- hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.
- inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
- inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
- inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
- inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
- TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
- inContextTable – присутствует ли в указанной контекстной таблице запись.
- intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
- Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
- Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
Вы можете добавить несколько условий или группу условий.
- Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
- Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .
|
[Topic 232965]
Точка назначения, тип storage
Точки назначения с типом storage используются для передачи данных в хранилище. Доступные параметры точки назначения с типом storage описаны в таблицах ниже.
Вкладка Основные параметры
Параметр
|
Описание
|
Название
|
Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.
Обязательный параметр.
|
Тенант
|
Название тенанта, которому принадлежит ресурс.
Обязательный параметр.
|
Состояние
|
Переключатель, включающий отправку событий в точку назначения. По умолчанию этот переключатель включен.
|
Тип
|
Тип точки назначения – storage.
Обязательный параметр.
|
URL
|
URL-адрес, с которым требуется установить связь. Поддерживаются следующие форматы URL-адресов:
Вы можете добавить несколько URL-адресов и удалить URL-адрес. KUMA не позволяет сохранить ресурс или сервис если в поле URL есть знак табуляции или пробел. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления .
Обязательный параметр.
|
Теги
|
|
Описание
|
Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.
|
Вкладка Дополнительные параметры
Параметр
|
Описание
|
Размер буфера
|
Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
|
Интервал очистки буфера
|
Интервал в секундах для отправки событий в точку назначения. Значение по умолчанию: 1 секунда.
|
Размер дискового буфера
|
Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ.
|
Обработчики
|
Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2.
Допускается указать целое положительное число не больше 999.
|
Прокси-сервер
|
Прокси-сервер для точки назначения. Вы можете выбрать существующий прокси-сервер или создать новый прокси-сервер. Для создания нового прокси-сервера выберите Создать.
Если вы хотите изменить параметры существующего прокси-сервера, нажмите рядом с ним на значок карандаша .
|
Политика выбора URL
|
Способ определения URL-адресов, на которые события отправляются в первую очередь, если вы добавили несколько URL-адресов в поле URL на вкладке Основные параметры:
- Любой – события отправляются на случайно выбранный доступный URL-адрес до тех пор, пока URL-адрес принимает события. Если URL-адрес станет недоступным, события будут отправляться на другой случайно выбранный доступный URL-адрес. Это значение выбрано по умолчанию.
- Сначала первый – события отправляются на первый добавленный URL-адрес. Если URL-адрес станет недоступным, события будут отправляться на следующий добавленный доступный URL-адрес. Если первый добавленный URL-адрес снова станет доступным, события будут отправляться на него.
- Сбалансированный – события равномерно распределяются между доступными URL-адресами. Этот способ определения URL-адресов не гарантирует равномерного распределения событий по URL-адресам, так как буфер может быть переполнен или события могут быть отправлены в точку назначения. Вы можете указать размер буфера в байтах в поле Размер буфера, а также указать интервал в секундах для отправки событий в точку назначения в поле Интервал очистки буфера.
|
Ожидание проверки работоспособности
|
Интервал в секундах для проверки работоспособности точки назначения.
|
Дисковый буфер
|
Переключатель, включающий использование дискового буфера. По умолчанию этот переключатель включен.
Дисковый буфер используется, если коллектор не может отправить в точку назначения нормализованные события. Вы можете указать размер дискового буфера в поле Размер дискового буфера. Если в дисковом буфере не останется свободного пространства, новые нормализованные события будут перезаписывать старые нормализованные события, начиная с самого старого.
|
Время ожидания
|
Время в секундах, в течение которого точка назначения ожидает ответа другого сервиса или компонента.
|
Отладка
|
Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
|
Фильтр
|
Фильтр для определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать.
Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша .
Как создать фильтр?
Чтобы создать фильтр:
- В раскрывающемся списке Фильтр выберите Создать.
- Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
- Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
- В блоке параметров Условия укажите условия, которым должны соответствовать события:
- Нажмите на кнопку Добавить условие.
- В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
- В раскрывающемся списке оператор выберите оператор.
Операторы фильтров
- = – левый операнд равен правому операнду.
- < – левый операнд меньше правого операнда.
- <= – левый операнд меньше или равен правому операнду.
- > – левый операнд больше правого операнда.
- >= – левый операнд больше или равен правому операнду.
- inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
- contains – левый операнд содержит значения правого операнда.
- startsWith – левый операнд начинается с одного из значений правого операнда.
- endsWith – левый операнд заканчивается одним из значений правого операнда.
- match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
- hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.
Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.
- hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.
- inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
- inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
- inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
- inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
- TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
- inContextTable – присутствует ли в указанной контекстной таблице запись.
- intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
- Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
- Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
Вы можете добавить несколько условий или группу условий.
- Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
- Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .
|
[Topic 232973]
Точка назначения, тип correlator
Точки назначения с типом correlator используются для передачи данных в коррелятор. Доступные параметры точки назначения с типом correlator описаны в таблицах ниже.
Вкладка Основные параметры
Параметр
|
Описание
|
Название
|
Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.
Обязательный параметр.
|
Тенант
|
Название тенанта, которому принадлежит ресурс.
Обязательный параметр.
|
Состояние
|
Переключатель, включающий отправку событий в точку назначения. По умолчанию этот переключатель включен.
|
Тип
|
Тип точки назначения – correlator.
Обязательный параметр.
|
URL
|
URL-адрес, с которым требуется установить связь. Поддерживаются следующие форматы URL-адресов:
Вы можете добавить несколько URL-адресов и удалить URL-адрес. KUMA не позволяет сохранить ресурс или сервис если в поле URL есть знак табуляции или пробел. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления .
Обязательный параметр.
|
Теги
|
|
Описание
|
Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.
|
Вкладка Дополнительные параметры
Параметр
|
Описание
|
Размер буфера
|
Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
|
Интервал очистки буфера
|
Интервал в секундах для отправки событий в точку назначения. Значение по умолчанию: 1 секунда.
|
Размер дискового буфера
|
Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ.
|
Обработчики
|
Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2.
Допускается указать целое положительное число не больше 999.
|
Прокси-сервер
|
Прокси-сервер для точки назначения. Вы можете выбрать существующий прокси-сервер или создать новый прокси-сервер. Для создания нового прокси-сервера выберите Создать.
Если вы хотите изменить параметры существующего прокси-сервера, нажмите рядом с ним на значок карандаша .
|
Политика выбора URL
|
Способ определения URL-адресов, на которые события отправляются в первую очередь, если вы добавили несколько URL-адресов в поле URL на вкладке Основные параметры:
- Любой – события отправляются на случайно выбранный доступный URL-адрес до тех пор, пока URL-адрес принимает события. Если URL-адрес станет недоступным, события будут отправляться на другой случайно выбранный доступный URL-адрес. Это значение выбрано по умолчанию.
- Сначала первый – события отправляются на первый добавленный URL-адрес. Если URL-адрес станет недоступным, события будут отправляться на следующий добавленный доступный URL-адрес. Если первый добавленный URL-адрес снова станет доступным, события будут отправляться на него.
- Сбалансированный – события равномерно распределяются между доступными URL-адресами. Этот способ определения URL-адресов не гарантирует равномерного распределения событий по URL-адресам, так как буфер может быть переполнен или события могут быть отправлены в точку назначения. Вы можете указать размер буфера в байтах в поле Размер буфера, а также указать интервал в секундах для отправки событий в точку назначения в поле Интервал очистки буфера.
|
Ожидание проверки работоспособности
|
Интервал в секундах для проверки работоспособности точки назначения.
|
Дисковый буфер
|
Переключатель, включающий использование дискового буфера. По умолчанию этот переключатель включен.
Дисковый буфер используется, если коллектор не может отправить в точку назначения нормализованные события. Вы можете указать размер дискового буфера в поле Размер дискового буфера. Если в дисковом буфере не останется свободного пространства, новые нормализованные события будут перезаписывать старые нормализованные события, начиная с самого старого.
|
Время ожидания
|
Время в секундах, в течение которого точка назначения ожидает ответа другого сервиса или компонента.
|
Отладка
|
Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
|
Фильтр
|
Фильтр для определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать.
Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша .
Как создать фильтр?
Чтобы создать фильтр:
- В раскрывающемся списке Фильтр выберите Создать.
- Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
- Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
- В блоке параметров Условия укажите условия, которым должны соответствовать события:
- Нажмите на кнопку Добавить условие.
- В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
- В раскрывающемся списке оператор выберите оператор.
Операторы фильтров
- = – левый операнд равен правому операнду.
- < – левый операнд меньше правого операнда.
- <= – левый операнд меньше или равен правому операнду.
- > – левый операнд больше правого операнда.
- >= – левый операнд больше или равен правому операнду.
- inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
- contains – левый операнд содержит значения правого операнда.
- startsWith – левый операнд начинается с одного из значений правого операнда.
- endsWith – левый операнд заканчивается одним из значений правого операнда.
- match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
- hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.
Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.
- hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.
- inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
- inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
- inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
- inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
- TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
- inContextTable – присутствует ли в указанной контекстной таблице запись.
- intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
- Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
- Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
Вы можете добавить несколько условий или группу условий.
- Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
- Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .
|
[Topic 232976]
Точка назначения, тип eventRouter
Точки назначения с типом eventRouter используются для передачи событий в маршрутизатор событий. Доступные параметры точки назначения с типом eventRouter описаны в таблицах ниже.
Вкладка Основные параметры
Параметр
|
Описание
|
Название
|
Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.
Обязательный параметр.
|
Тенант
|
Название тенанта, которому принадлежит ресурс.
Обязательный параметр.
|
Состояние
|
Переключатель, включающий отправку событий в точку назначения. По умолчанию этот переключатель включен.
|
Тип
|
Тип точки назначения – eventRouter.
Обязательный параметр.
|
URL
|
URL-адрес, с которым требуется установить связь. Поддерживаются следующие форматы URL-адресов:
Вы можете добавить несколько URL-адресов и удалить URL-адрес. KUMA не позволяет сохранить ресурс или сервис если в поле URL есть знак табуляции или пробел. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления .
Обязательный параметр.
|
Теги
|
|
Описание
|
Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.
|
Вкладка Дополнительные параметры
Параметр
|
Описание
|
Размер буфера
|
Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).
|
Интервал очистки буфера
|
Интервал в секундах для отправки событий в точку назначения. Значение по умолчанию: 1 секунда.
|
Размер дискового буфера
|
Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ.
|
Обработчики
|
Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2.
Допускается указать целое положительное число не больше 999.
|
Выходной формат
|
Формат, в котором события отправляются во внешний источник:
- JSON.
- CEF. При выборе этого значения в отправляемых событиях содержится заголовок CEF и только поля с непустыми значениями.
|
Прокси-сервер
|
Прокси-сервер для точки назначения. Вы можете выбрать существующий прокси-сервер или создать новый прокси-сервер. Для создания нового прокси-сервера выберите Создать.
Если вы хотите изменить параметры существующего прокси-сервера, нажмите рядом с ним на значок карандаша .
|
Политика выбора URL
|
Способ определения URL-адресов, на которые события отправляются в первую очередь, если вы добавили несколько URL-адресов в поле URL на вкладке Основные параметры:
- Любой – события отправляются на случайно выбранный доступный URL-адрес до тех пор, пока URL-адрес принимает события. Если URL-адрес станет недоступным, события будут отправляться на другой случайно выбранный доступный URL-адрес. Это значение выбрано по умолчанию.
- Сначала первый – события отправляются на первый добавленный URL-адрес. Если URL-адрес станет недоступным, события будут отправляться на следующий добавленный доступный URL-адрес. Если первый добавленный URL-адрес снова станет доступным, события будут отправляться на него.
- Сбалансированный – события равномерно распределяются между доступными URL-адресами. Этот способ определения URL-адресов не гарантирует равномерного распределения событий по URL-адресам, так как буфер может быть переполнен или события могут быть отправлены в точку назначения. Вы можете указать размер буфера в байтах в поле Размер буфера, а также указать интервал в секундах для отправки событий в точку назначения в поле Интервал очистки буфера.
|
Ожидание проверки работоспособности
|
Интервал в секундах для проверки работоспособности точки назначения.
|
Дисковый буфер
|
Переключатель, включающий использование дискового буфера. По умолчанию этот переключатель включен.
Дисковый буфер используется, если коллектор не может отправить в точку назначения нормализованные события. Вы можете указать размер дискового буфера в поле Размер дискового буфера. Если в дисковом буфере не останется свободного пространства, новые нормализованные события будут перезаписывать старые нормализованные события, начиная с самого старого.
|
Время ожидания
|
Время в секундах, в течение которого точка назначения ожидает ответа другого сервиса или компонента.
|
Отладка
|
Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
|
Фильтр
|
Фильтр для определения событий, которые будут обрабатываться ресурсом. Вы можете выбрать существующий фильтр или создать новый фильтр. Для создания нового фильтра выберите значение Создать.
Если вы хотите изменить параметры существующего фильтра, нажмите рядом с ним на значок карандаша .
Как создать фильтр?
Чтобы создать фильтр:
- В раскрывающемся списке Фильтр выберите Создать.
- Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
- Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
- В блоке параметров Условия укажите условия, которым должны соответствовать события:
- Нажмите на кнопку Добавить условие.
- В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
- В раскрывающемся списке оператор выберите оператор.
Операторы фильтров
- = – левый операнд равен правому операнду.
- < – левый операнд меньше правого операнда.
- <= – левый операнд меньше или равен правому операнду.
- > – левый операнд больше правого операнда.
- >= – левый операнд больше или равен правому операнду.
- inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
- contains – левый операнд содержит значения правого операнда.
- startsWith – левый операнд начинается с одного из значений правого операнда.
- endsWith – левый операнд заканчивается одним из значений правого операнда.
- match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
- hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.
Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.
- hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.
- inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
- inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
- inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
- inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
- TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
- inContextTable – присутствует ли в указанной контекстной таблице запись.
- intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
- Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
- Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
Вы можете добавить несколько условий или группу условий.
- Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
- Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку .
|
[Topic 274640]
Предустановленные точки назначения
В поставку KUMA включены перечисленные в таблице ниже точки назначения.
Предустановленные точки назначения
Название точки назначения
|
Описание
|
[OOTB] Correlator
|
Отправляет события в коррелятор.
|
[OOTB] Storage
|
Отправляет события в хранилище.
|
[Topic 250830]