Категоризация событий
Категоризация позволяет описать однотипные события из разных источников с помощью специальных тегов (категорий). Это упрощает задачу поиска событий, относящихся, например, к аутентификации пользователя или выполнению команды, а также помогает в написании корреляционной логики или отображении данных на панели мониторинга или в отчетах. С помощью набора ресурсов KUMA можно выполнить категоризацию некоторых типов событий для определенных типов источников событий.
Для категоризации событий используются следующие типы ресурсов KUMA:
- словарь с категориями событий;
- правила обогащения для дополнения событий информацией;
- нормализатор для создания поля расширенной схемы событий, используемого в правилах обогащения.
В процессе категоризации к событию могут быть добавлены следующие атрибуты:
- Object – объект.
- Action – действие.
- Result – результат.
- Threat – угроза.
- Source type – тип источника события.
Событию могут быть присвоены дополнительные атрибуты, которые сохраняются в поле SA.KL_EventCategory расширенной схемы событий.
Описания возможных значений атрибутов, используемых при категоризации событий, приведены в таблицах Атрибут Object, Атрибут Action, Атрибут Result, Атрибут Threat, Атрибут Source type.
Чтобы настроить категоризацию событий на коллекторе:
- Импортируйте пакет [OOTB] Event Categorization из репозитория KUMA.
- В коллекторе на шаге Обогащение событий примените правило обогащения событий.
Вы можете применить правило обогащения как при создании нового коллектора, так и для уже существующего коллектора. Правило, которое необходимо применить, зависит от источника событий. Вы можете выбрать правило из таблицы Правила категоризации по источнику событий.
Категоризация событий работает только при использовании нормализаторов, поставляемых "Лабораторией Касперского".
- В веб-интерфейс KUMA выберите раздел Ресурсы → Активные сервисы.
- Установите флажок рядом с измененным коллектором и нажмите на кнопку Обновить параметры.
Правило обогащения применено, категоризация событий выполняется.
Правила категоризации по источнику событий
Название системы |
Название нормализатора |
Название правила обогащения |
Microsoft, журналы событий ОС |
[OOTB] Microsoft Products for KUMA 3 |
[OOTB] Event categorization. Microsoft Products |
Microsoft Sysmon |
[OOTB] Microsoft Products for KUMA 3 |
[OOTB] Event categorization. Microsoft Products |
Auditd |
[OOTB] Linux auditd syslog for KUMA 3.2 |
[OOTB] Event categorization. Auditd |
Kaspersky Security Center |
[OOTB] KSC from SQL |
[OOTB] Event categorization. Kaspersky Security Center |
Kaspersky Security for Linux Mail Server |
[OOTB] KLMS syslog CEF |
[OOTB] Event categorization. Kaspersky Security for Linux Mail Server |
Kaspersky IoT Secure Gateway |
[OOTB] Kaspersky KISG syslog |
[OOTB] Event categorization. Kaspersky IoT Secure Gateway |
Kaspersky Container Security |
[OOTB] Syslog-CEF |
[OOTB] Event categorization. Kaspersky Container Security |
Kaspersky Industrial CyberSecurity for Networks |
[OOTB] Kaspersky Industrial CyberSecurity for Networks 4.2 syslog |
[OOTB] Event categorization. Kaspersky Industrial CyberSecurity for Networks |
Kaspersky Web Traffic Security |
[OOTB] KWTS syslog CEF |
[OOTB] Event categorization. Kaspersky Web Traffic Security |
Kaspersky Mail Security Gateway |
[OOTB] KSMG syslog CEF |
[OOTB] Event categorization. Kaspersky Mail Security Gateway |
Атрибут Object
Значение атрибута Object |
Описание |
account |
Учетные записи |
configuration |
Параметры |
connection |
Сетевое соединение |
container |
Контейнеры |
data |
Данные или таблицы в БД |
dns |
DNS-запросы |
file |
Файлы |
group |
Группы |
host |
Хост |
http |
WEB-запросы |
image |
DLL-библиотеки и драйвера |
malware |
Вредоносный объект |
permission |
Права и привилегии |
process |
Процесс |
registry |
Ключи и ветки реестра |
service |
Службы и демоны |
task |
Задачи |
VM |
Виртуальная машина |
device |
Токен, USB-устройство, подключаемое устройство |
certificate |
Сертификат |
Атрибут Action
Значение атрибута Action |
Описание |
access |
Запрос или предоставление доступа к объекту |
add |
Создание или добавление |
authentication |
Аутентификация |
block |
Блокировка, предотвращение |
delete |
Удаление |
detect |
Обнаружение или помещение в карантин |
end |
Конец процесса |
info |
Информационное событие об объекте |
load |
Загрузка объекта |
modify |
Изменение настроек или состояния объекта |
read |
Чтение |
receive |
Получение |
request |
Запрос |
send |
Отправка |
start |
Начало процесса |
write |
Запись |
Атрибут Result
Значение атрибута Result |
Описание |
error |
Ошибка |
failure |
Неуспешно |
success |
Успешно |
Атрибут Threat
Значение атрибута Threat |
Описание |
malware |
Вредоносный объект на файловой системе |
vulnerability |
Эксплуатации уязвимости |
attack |
Атака |
ddos |
Признаки DDoS-атаки |
phishing |
Признаки фишинга |
c2 |
Command and Control |
discovery |
Разведка |
policy violation |
Нарушение политик безопасности |
tools |
Использование подозрительных инструментов |
escalation |
Повышение привилегий |
Атрибут Source type
Значение атрибута Source type |
Описание |
application |
События уровня приложений: входы, изменения конфигураций, ошибки и другое. |
AV |
События, поступающие от систем антивирусной защиты. |
database |
События, поступающие от баз данных, относящиеся к манипуляции с данными. |
IDS |
События, поступающие от анализаторов трафика и сетевых средств защиты. |
network |
События, содержащие сведения о сетевых соединениях, поступающие от межсетевых экранов или же события Netflow, Jflow и другое. |
OS |
События, поступающие от операционной системы, например, Windows, Linux, Cisco IOS, HP-UX и другое. Провайдером событий могут быть как штатные инструментыоперационной системы, так и EDR. |
vpn |
События о VPN-сессиях. |
web |
События, поступающие от WEB-приложений и Proxy. События о HTTP-соединениях на уровне приложения. |
container |
События, содержащие сведения о работе контейнеров. |