Правила сбора и анализа данных

Руководство пользователя > Ресурсы KUMA > Правила сбора и анализа данных

Правила сбора и анализа данных

Правила сбора и анализа данных используются для обнаружения инцидентов путем анализа событий, сохраненных в базе данных KUMA.

В отличие от потоковой корреляции и запуска ретроспективной проверки, правила сбора и анализа данных предусматривают предварительную обработку данных с помощью SQL-запросов (в том числе выполнение дополнительных вычислений, группировку и агрегацию через SQL) и регулярный запуск по расписанию. При наличии корректно настроенных правил сбора и анализа данных SIEM может помочь вам в обнаружении сложных атак.

Для работы с разделом вам необходимо иметь одну из следующих ролей: Главный администратор, Администратор тенанта, Аналитик первого уровня, Аналитик второго уровня.

При создании и изменении правил сбора и анализа данных требуется задать значения для параметров, указанных в таблице ниже.

Доступные параметры правила сбора и анализа данных

Параметр	Описание
Название	Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
Тенант	Обязательный параметр. Название тенанта, которому принадлежит ресурс. Если у вас есть доступ только к одному тенанту, поле заполняется автоматически. Если у вас есть доступ к нескольким тенантам, подставляется название первого тенанта из списка доступных вам тенантов. Вы можете выбрать любой тенант из этого списка.
Sql	Обязательный параметр. SQL-запрос должен содержать функцию агрегации c ограничением LIMIT и/или группировку данных c ограничением LIMIT. Значение LIMIT должно быть от 1 до 10 000. Примеры SQL-запросов: Запрос, содержащий только функцию агрегации: SELECT count(DeviceCustomFloatingPoint1) AS `Aggregate` FROM `events` WHERE Type = 1 ORDER BY Aggregate DESC LIMIT 10 Запрос, содержащий только группировку данных: SELECT SourceAddress,DeviceCustomFloatingPoint1 FROM `events` WHERE Type = 1 GROUP BY SourceAddress, DeviceCustomFloatingPoint1 ORDER BY DeviceCustomFloatingPoint1 DESC LIMIT 10 Запрос, содержащий функцию агрегации и групировку данных: SELECT SourceAddress, sum(DeviceCustomFloatingPoint1) FROM `events` WHERE Type = 1 GROUP BY SourceAddress, DeviceCustomFloatingPoint1 ORDER BY DeviceCustomFloatingPoint1 DESC LIMIT 10 Запрос, содержащий выражение из функций агрегации: SELECT stddevPop(DeviceCustomFloatingPoint1) + avg(DeviceCustomFloatingPoint1) AS `Aggregate` FROM `events` WHERE Type = 1 ORDER BY Aggregate DESC LIMIT 10 Вы также можете использовать наборы SQL-функци `enrich` и `lookup`.
Частота запуска запроса	Обязательный параметр. Интервал выполнения SQL-запроса. Вы можете указать интервал в минутах, часах и днях. Минимальный интервал – 1 минута. Время ожидания ответа на SQL-запрос по умолчанию равно интервалу, который вы задаете в этом поле. Если выполнение SQL-запроса превышает время ожидания, возникает ошибка. В этом случае рекомендуется увеличить интервал. Например, если значение интервала равно 1 минуте, при этом запрос выполняется 80 секунд, то рекомендуется увеличить значение интервала как минимум до 90 секунд.
Теги	Необязательный параметр. Теги для поиска ресурса.
Глубина	Необязательный параметр. Выражение для определения нижней границы интервала поиска событий в базе данных. Чтобы выбрать значение из списка либо задать глубину в формате относительного интервала, установите курсор в поле. Например, если вы хотите находить все события за период, прошедший с текущего момента назад на один час, установите относительный интервал `now-1h`.
Описание	Необязательный параметр. Описание правила сбора и анализа данных.
Сопоставление	Параметры для настройки сопоставления полей результата SQL-запроса с событиями КUMA: Исходное поле – поле результата SQL-запроса, которое вы хотите преобразовать в событие КUMA. Поле события – поле события КUMA. Вы можете выбрать одно из доступных значений в списке, установив курсор мыши в это поле. Подпись – уникальная пользовательская метка полей событий, которые начинаются с DeviceCustom*. Вы можете добавлять новые строки таблицы и удалять строки таблицы. Для добавления новой строки таблицы нажмите на кнопку Добавить сопоставление. Для удаления строки установите флажок рядом с нужной строкой и нажмите на кнопку . Если вы не хотите заполнять поля вручную, вы можете нажать на кнопку Добавить сопоставление из SQL. Значения полей SQL запроса, включая псевдонимы (при наличии), подставятся в таблицу сопоставления полей. Например, если поле в SQL-запросе имеет значение `SourceAddress` и это значение совпадает с названием поля события, это значение проставляется в столбце Поле события в таблице сопоставления полей. При повторном нажатии на кнопку Добавить сопоставление из SQL таблица не обновляется, а значения полей SQL запроса добавляются в нее повторно.

Вы можете создавать правило сбора и анализа данных одним из следующих способов:

В разделе Ресурсы→Ресурсы и сервисы→Правила сбора и анализа данных.
В разделе События.

Чтобы создать правило сбора и анализа данных в разделе События:

Создайте или сформируйте SQL-запрос и нажмите на кнопку .
В браузере откроется новая вкладка создания правила сбора и анализа данных с предзаполненными полями SQL запрос и Глубина. Таблица сопоставления полей также будет заполнена автоматически, если в SQL-запросе вы не использовали звездочку (*).
Заполните обязательные поля.
Если необходимо, вы можете изменить значение в поле Частота запуска запроса.
Сохраните параметры.

Правило сбора и анализа данных сохранено и доступно в разделе Ресурсы и сервисы→Правила сбора и анализа данных. Чтобы правило сбора и анализа данных выполнялось, вам нужно создать для него планировщик.

Идентификатор статьи: 295030, Последнее изменение: 25 апр. 2025 г.

В начало