Kaspersky Unified Monitoring and Analysis Platform
- Справка Kaspersky Unified Monitoring and Analysis Platform
- О программе Kaspersky Unified Monitoring and Analysis Platform
- Архитектура программы
- Лицензирование программы
- О Лицензионном соглашении
- О лицензии
- О Лицензионном сертификате
- О лицензионном ключе
- О файле ключа
- О лицензионном коде
- Предоставление данных в Kaspersky Unified Monitoring and Analysis Platform
- Добавление лицензионного ключа в веб-интерфейс программы
- Просмотр информации о добавленном лицензионном ключе в веб-интерфейсе программы
- Удаление лицензионного ключа в веб-интерфейсе программы
- Руководство администратора
- Установка и удаление KUMA
- Требования к установке программы
- Порты, используемые KUMA при установке
- Скачивание CA-сертификатов
- Перевыпуск внутренних CA-сертификатов
- Изменение самоподписанного сертификата веб-консоли
- Синхронизация времени на серверах
- О файле инвентаря
- Установка на одном сервере
- Распределенная установка
- Распределенная установка в отказоустойчивой конфигурации
- Резервное копирование KUMA
- Изменение конфигурации KUMA
- Обновление предыдущих версий KUMA
- Устранение ошибок при обновлении
- Удаление KUMA
- Работа с тенантами
- Управление пользователями
- Сервисы KUMA
- Инструменты сервисов
- Наборы ресурсов для сервисов
- Создание хранилища
- Создание коррелятора
- Создание маршрутизатора событий
- Создание коллектора
- Предустановленные коллекторы
- Создание агента
- Создание набора ресурсов для агента
- Управление подключениями для агента
- Создание сервиса агента в веб-интерфейсе KUMA
- Установка агента в сетевой инфраструктуре KUMA
- Автоматически созданные агенты
- Обновление агентов
- Передача в KUMA событий из изолированных сегментов сети
- Передача в KUMA событий с машин Windows
- AI-сервисы
- Настройка источников событий
- Настройка получения событий Auditd
- Настройка получения событий KATA/EDR
- Настройка передачи событий Kaspersky Security Center в SIEM-систему KUMA
- Настройка получения событий Kaspersky Security Center из MS SQL
- Настройка получения событий с устройств Windows с помощью Агента KUMA (WEC)
- Настройка аудита событий с устройств Windows
- Настройка централизованного получения событий с устройств Windows с помощью службы Windows Event Collector
- Предоставление прав для просмотра событий Windows
- Предоставление прав входа в качестве службы
- Настройка коллектора KUMA для получения событий с устройств Windows
- Установка коллектора KUMA для получения событий с устройств Windows
- Настройка передачи в KUMA событий с устройств Windows с помощью Агента KUMA (WEC)
- Настройка получения событий с устройств Windows с помощью Агента KUMA (WMI)
- Настройка получения событий DNS-сервера с помощью агента ETW
- Настройка получения событий PostgreSQL
- Настройка получения событий ИВК Кольчуга-К
- Настройка получения событий КриптоПро NGate
- Настройка получения событий Ideco UTM
- Настройка получения событий KWTS
- Настройка получения событий KLMS
- Настройка получения событий KSMG
- Настройка получения событий KICS for Networks
- Настройка получения событий PT NAD
- Настройка получения событий c помощью плагина MariaDB Audit Plugin
- Настройка получения событий СУБД Apache Cassandra
- Настройка получения событий FreeIPA
- Настройка получения событий VipNet TIAS
- Настройка получения событий Nextcloud
- Настройка получения событий Snort
- Настройка получения событий Suricata
- Настройка получения событий FreeRADIUS
- Настройка получения событий VMware vCenter
- Настройка получения событий zVirt
- Настройка получения событий Zeek IDS
- Настройка получения событий Windows с помощью Kaspersky Endpoint Security для Windows
- Настройка получения событий Codemaster Mirada
- Настройка получения событий Postfix
- Настройка получения событий CommuniGate Pro
- Настройка получения событий Yandex Cloud
- Настройка получения событий Microsoft 365
- Настройка получения событий АПКШ Континент
- Настройка получения событий VK WorkSpace Mail
- Мониторинг источников событий
- Управление активами
- Добавление категории активов
- Настройка таблицы активов
- Поиск активов
- Экспорт данных об активах
- Просмотр информации об активе
- Добавление активов
- Назначение активу категории
- Изменение параметров активов
- Архивирование активов
- Удаление активов
- Массовое удаление активов
- Обновление программ сторонних производителей и закрытие уязвимостей на активах Kaspersky Security Center
- Перемещение активов в выбранную группу администрирования
- Аудит активов
- Настраиваемые поля активов
- Активы критической информационной инфраструктуры
- Интеграция с другими решениями
- Интеграция с Kaspersky Security Center
- Настройка параметров интеграции с Kaspersky Security Center
- Добавление тенанта в список тенантов для интеграции с Kaspersky Security Center
- Создание подключения к Kaspersky Security Center
- Изменение подключения к Kaspersky Security Center
- Удаление подключения к Kaspersky Security Center
- Импорт событий из базы Kaspersky Security Center
- Интеграция с Kaspersky Endpoint Detection and Response
- Интеграция с Kaspersky CyberTrace
- Интеграция с Kaspersky Threat Intelligence Portal
- Интеграция с R-Vision Security Orchestration, Automation and Response
- Интеграция с Active Directory, Active Directory Federation Services и FreeIPA
- Подключение по протоколу LDAP
- Включение и выключение LDAP-интеграции
- Добавление тенанта в список тенантов для интеграции с LDAP-сервером
- Создание подключения к LDAP-серверу
- Создание копии подключения к LDAP-серверу
- Изменение подключения к LDAP-серверу
- Изменение частоты обновления данных
- Изменение срока хранения данных
- Запуск задач на обновление данных об учетных записях
- Удаление подключения к LDAP-серверу
- Аутентификация с помощью доменных учетных записей
- Подключение по протоколу LDAP
- Интеграция с НКЦКИ
- Интеграция с Security Orchestration Automation and Response Platform (SOAR)
- Интеграция с KICS/KATA
- Интеграция с NeuroDAT SIEM IM
- Интеграция с Kaspersky Automated Security Awareness Platform
- Отправка уведомлений в Telegram
- Интеграция с UserGate
- Интеграция с Kaspersky Web Traffic Security
- Интеграция с Kaspersky Secure Mail Gateway
- Импорт информации об активах из RedCheck
- Настройка получения событий Sendmail
- Интеграция с Kaspersky Security Center
- Управление KUMA
- Работа с геоданными
- Установка и удаление KUMA
- Руководство пользователя
- Ресурсы KUMA
- Операции с ресурсами
- Создание, переименование, перемещение и удаление папок с ресурсами
- Создание, дублирование, перемещение, редактирование и удаление ресурсов
- Массовое удаление ресурсов
- Привязать корреляторы к корреляционному правилу
- Обновление ресурсов
- Экспорт ресурсов
- Импорт ресурсов
- Поиск ресурсов
- Управление тегами
- Трассировка использования ресурсов
- Версионирование ресурсов
- Точки назначения
- Точка назначения, тип internal
- Точка назначения, тип nats-jetstream
- Точка назначения, тип tcp
- Точка назначения, тип http
- Точка назначения, тип diode
- Точка назначения, тип kafka
- Точка назначения, тип file
- Точка назначения, тип storage
- Точка назначения, тип correlator
- Точка назначения, тип eventRouter
- Предустановленные точки назначения
- Нормализаторы
- Правила агрегации
- Правила обогащения
- Правила сбора и анализа данных
- Правила корреляции
- Фильтры
- Активные листы
- Просмотр таблицы активных листов
- Добавление активного листа
- Просмотр параметров активного листа
- Изменение параметров активного листа
- Дублирование параметров активного листа
- Удаление активного листа
- Просмотр записей в активном листе
- Поиск записей в активном листе
- Добавление записи в активный лист
- Дублирование записей в активном листе
- Изменение записи в активном листе
- Удаление записей в активном листе
- Импорт данных в активный лист
- Экспорт данных из активного листа
- Предустановленные активные листы
- Прокси-серверы
- Словари
- Правила реагирования
- Шаблоны уведомлений
- Коннекторы
- Просмотр параметров коннектора
- Добавление коннектора
- Параметры коннекторов
- Коннектор, тип internal
- Коннектор, тип tcp
- Коннектор, тип udp
- Коннектор, тип netflow
- Коннектор, тип sflow
- Коннектор, тип nats-jetstream
- Коннектор, тип kafka
- Коннектор, тип http
- Коннектор, тип sql
- Коннектор, тип file
- Коннектор, тип 1c-log
- Коннектор, тип 1c-xml
- Коннектор, тип diode
- Коннектор, тип ftp
- Коннектор, тип nfs
- Коннектор, тип wmi
- Коннектор, тип wec
- Коннектор, тип etw
- Коннектор, тип snmp
- Коннектор, тип snmp-trap
- Коннектор, тип kata/edr
- Коннектор, тип vmware
- Коннектор, тип elastic
- Коннектор, тип office365
- Предустановленные коннекторы
- Секреты
- Правила сегментации
- Контекстные таблицы
- Просмотр списка контекстных таблиц
- Добавление контекстной таблицы
- Просмотр параметров контекстной таблицы
- Изменение параметров контекстной таблицы
- Дублирование параметров контекстной таблицы
- Удаление контекстной таблицы
- Просмотр записей контекстной таблицы
- Поиск записей в контекстной таблице
- Добавление записи в контекстную таблицу
- Изменение записи в контекстной таблице
- Удаление записи из контекстной таблицы
- Импорт данных в контекстную таблицу
- Экспорт данных из контекстной таблицы
- Операции с ресурсами
- Пример расследования инцидента с помощью KUMA
- Условия возникновения инцидента
- Шаг 1. Предварительная подготовка
- Шаг 2. Назначение алерта пользователю
- Шаг 3. Проверка на соответствие между сработавшим правилом корреляции и данными событий алерта
- Шаг 4. Анализ информации об алерте
- Шаг 5. Проверка на ложное срабатывание
- Шаг 6. Определение критичности алерта
- Шаг 7. Создание инцидента
- Шаг 8. Расследование
- Шаг 9. Поиск связанных активов
- Шаг 10. Поиск связанных событий
- Шаг 11. Запись причин инцидента
- Шаг 12. Реагирование на инцидент
- Шаг 13. Восстановление работоспособности активов
- Шаг 14. Закрытие инцидента
- Аналитика
- Работа с событиями
- Фильтрация и поиск событий
- Выбор хранилища
- Формирование SQL-запроса с помощью конструктора
- Создание SQL-запроса вручную
- Сохранение истории запросов
- Работа с сохраненными поисковыми запросами
- Фильтрация событий по периоду
- Группировка событий
- Отображение названий вместо идентификаторов
- Пресеты
- Ограничение сложности запросов в режиме расследования алерта
- Сохранение и выбор конфигураций фильтра событий
- Удаление конфигураций фильтра событий
- Поддерживаемые функции ClickHouse
- Просмотр информации о событии
- Экспорт событий
- Настройка таблицы событий
- Обновление таблицы событий
- Получение статистики по событиям в таблице
- Просмотр информации о корреляционном событии
- Формирование SQL-запроса с помощью SQL-функций KUMA
- Отслеживание маршрута событий
- Категоризация событий
- Гранулярный доступ к событиям
- Фильтрация и поиск событий
- Панель мониторинга
- Отчеты
- Виджеты
- Работа с алертами
- Работа с инцидентами
- О таблице инцидентов
- Сохранение и выбор конфигураций фильтра инцидентов
- Удаление конфигураций фильтра инцидентов
- Просмотр информации об инциденте
- Создание инцидента
- Обработка инцидентов
- Изменение инцидентов
- Автоматическая привязка алертов к инцидентам
- Категории и типы инцидентов
- Взаимодействие с НКЦКИ
- Ретроспективная проверка
- Работа с событиями
- Ресурсы KUMA
- Обращение в Службу технической поддержки
- REST API
- Создание токена
- Настройка прав доступа к API
- Авторизация API-запросов
- Стандартная ошибка
- Операции REST API v1
- Просмотр списка активных листов на корреляторе
- Импорт записей в активный лист
- Поиск алертов
- Закрытие алертов
- Поиск активов
- Импорт активов
- Удаление активов
- Поиск событий
- Просмотр информации о кластере
- Поиск ресурсов
- Загрузка файла с ресурсами
- Просмотр содержимого файла с ресурсами
- Импорт ресурсов
- Экспорт ресурсов
- Скачивание файла с ресурсами
- Поиск сервисов
- Поиск тенантов
- Просмотр информации о предъявителе токена
- Обновление словаря в сервисах
- Получение словаря
- Просмотр пользовательских полей активов
- Создание резервной копии Ядра KUMA
- Восстановление Ядра KUMA из резервной копии
- Просмотр списка контекстных таблиц в корреляторе
- Импорт записей в контекстную таблицу
- Экспорт записей из контекстной таблицы
- Операции REST API v2
- Просмотр списка активных листов на корреляторе
- Импорт записей в активный лист
- Поиск алертов
- Закрытие алертов
- Поиск активов
- Импорт активов
- Удаление активов
- Поиск событий
- Просмотр информации о кластере
- Поиск ресурсов
- Загрузка файла с ресурсами
- Просмотр содержимого файла с ресурсами
- Импорт ресурсов
- Экспорт ресурсов
- Скачивание файла с ресурсами
- Поиск сервисов
- Поиск тенантов
- Просмотр информации о предъявителе токена
- Обновление словаря в сервисах
- Получение словаря
- Просмотр пользовательских полей активов
- Создание резервной копии Ядра KUMA
- Восстановление Ядра KUMA из резервной копии
- Просмотр списка контекстных таблиц в корреляторе
- Импорт записей в контекстную таблицу
- Экспорт записей из контекстной таблицы
- Операции REST API v2.1
- Операции REST API v3.0
- Приложения
- Команды для запуска и установки компонентов вручную
- Проверка целостности файлов KUMA
- Модель данных нормализованного события
- Настройка модели данных нормализованного события из KATA EDR
- Модель данных алерта
- Модель данных актива
- Модель данных учетной записи
- События аудита KUMA
- Поля событий с общей информацией
- Пользователь успешно вошел в систему или не смог войти
- Логин пользователя успешно изменен
- Роль пользователя успешно изменена
- Другие данные пользователя успешно изменены
- Пользователь успешно вышел из системы
- Пароль пользователя успешно изменен
- Пользователь успешно создан
- Пользователю успешно назначена роль
- Роль пользователя успешно отозвана
- Пользователь успешно изменил настройки набора полей для определения источников
- Токен доступа пользователя успешно изменен
- Изменен набор пространств для разграничения доступа к событиям
- Сервис успешно создан
- Сервис успешно удален
- Сервис успешно перезагружен
- Сервис успешно перезапущен
- Сервис успешно запущен
- Сервис успешно сопряжен
- Статус сервиса изменен
- Раздел хранилища удален пользователем
- Раздел хранилища автоматически удален в связи с истечением срока действия
- Раздел хранилища автоматически удален или перемещен в связи с превышением объема хранилища
- Активный лист успешно очищен или операция завершилась с ошибкой
- Элемент активного листа успешно изменен или операция завершилась с ошибкой
- Элемент активного листа успешно удален или операция завершилась с ошибкой
- Активный лист успешно импортирован или операция завершилась с ошибкой
- Активный лист успешно экспортирован
- Ресурс успешно добавлен
- Ресурс успешно удален
- Ресурс успешно обновлен
- Актив успешно создан
- Актив успешно удален
- Категория актива успешно добавлена
- Категория актива успешно удалена
- Параметры успешно обновлены
- Тенант успешно создан
- Тенант успешно включен
- Тенант успешно выключен
- Другие данные тенанта успешно изменены
- Изменена политика хранения данных после изменения дисков
- Словарь успешно обновлен на сервисе или операция завершилась ошибкой
- Ответ в Active Directory
- Отправлен запрос в KIRA
- Реагирование через KICS/KATA
- Реагирование через Kaspersky Automated Security Awareness Platform
- Реагирование через KEDR
- Импорт техник и тактик MITRE ATT&CK
- Правила корреляции
- Отправка тестовых событий в KUMA
- Формат времени
- Сопоставление полей предустановленных нормализаторов
- Устаревшие ресурсы
- Генерация событий для тестирования работы нормализатора
- Информация о стороннем коде
- Уведомления о товарных знаках
- Глоссарий
Руководство пользователя > Ресурсы KUMA > Правила сбора и анализа данных > Настройка планировщика для правила сбора и анализа данных
Настройка планировщика для правила сбора и анализа данных
Настройка планировщика для правила сбора и анализа данных
Чтобы правило сбора и анализа данных выполнялось, вам нужно создать для него планировщик.
Планировщик направляет SQL-запросы в заданные вами разделы хранилища с интервалом и глубиной поиска, который вы настраиваете в правиле, а затем преобразует результаты SQL-запросов в базовые события и направляет в коррелятор.
Результаты SQL-запросов, преобразованные в базовые события, не попадают в хранилище.
Для корректной работы планировщика необходимо настроить связь между правилом сбора и анализа данных, хранилищем и корреляторами в разделе Ресурсы → Сбор и анализ данных.
Для работы с разделом вам нужно иметь одну из следующих ролей: Главный администратор, Администратор тенанта, Аналитик второго уровня, Доступ к общим ресурсам, Редактирование общих ресурсов.
Планировщики расположены в таблице по дате последнего запуска. Вы можете сортировать данные в столбцах по возрастанию и убыванию, нажав на значок стрелки вниз (
) в заголовке столбца.
Доступные столбцы таблицы планировщиков:
- Название правила – название правила сбора и анализа данных, для которого вы создали планировщик.
- Название тенанта – название тенанта, которому принадлежит правило сбора и анализа данных.
- Состояние – статус планировщика. Возможны следующие значения:
- Включено – планировщик выполняется, правило сбора и анализа данных будет запускаться по заданному расписанию.
- Выключено – планировщик не выполняется.
Этот статус планировщик имеет по умолчанию при создании. Чтобы планировщик выполнялся, необходимо перевести его в состояние Включено.
- Планировщик завершил работу в – время последнего запуска правила сбора и анализа данных, для которого вы создали планировщик.
- Статус выполнения правила – статус, с которым планировщик завершил работу. Возможны следующие значения:
- Ok – планировщик завершил работу без ошибок, правило выполнено.
- Неизвестно – планировщик переведен в состояние Включено, и его статус в данный момент неизвестен. Статус Неизвестно отображается, если вы привязали хранилища и корреляторы на соответствующих вкладках и перевели планировщик в состояние Включено, но еще не запустили.
- Остановлен – планировщик остановлен, правило не выполняется.
- Ошибка – планировщик завершил работу, правило выполнено с ошибкой.
- Последняя ошибка – ошибки (при наличии), которые возникли при выполнении правила сбора и анализа данных.
Неуспешная попытка отправки событий в установленный коррелятор не является ошибкой.
На панели инструментов в верхней части таблицы вы можете выполнять действия над планировщиками.
- Добавить новый планировщик. Нажмите на кнопку Добавить и в отобразившемся окне установите флажки рядом с названиями правил сбора и анализа данных, для которых вы хотите создать планировщик.
В этом окне вы можете выбрать правило сбора и анализа данных только из ранее созданных. Создать новое правило нельзя.
- Удалить планировщик. В таблице планировщиков установите флажки рядом планировщиками, которые вы хотите удалить, и нажмите на кнопку Удалить. Планировщик и привязки удаляются. Правило сбора и анализа данных не удаляется.
- Включить планировщик. В таблице планировщиков установите флажки рядом планировщиками, которые вы хотите включить, и нажмите на кнопку Включить по расписанию. Правило сбора и анализа данных, для которого был создан этот планировщик, будет выполняться согласно расписанию, заданному в настройках этого правила.
- Отключить планировщик. В таблице планировщиков установите флажки рядом планировщиками, которые вы хотите отключить, и нажмите на кнопку Отключить. Правило сбора и анализа данных временно перестает выполняться, при этом сам планировщик и привязки не удаляются.
- Запустить планировщик. В таблице планировщиков установите флажки рядом с включенными планировщиками, и нажмите на кнопку Запустить сейчас. Правило сбора и анализа данных, для которого был создан этот планировщик, выполнится немедленно.
Чтобы изменить параметры планировщика, нажмите на соответствующую строку в таблице.
Доступные параметры планировщика для правил сбора и анализа данных описаны ниже.
Вкладка Общие
На этой вкладке вы можете выполнить следующие действия:
- Включить или выключить планировщик с помощью переключателя.
Если переключатель включен, правило сбора и анализа данных будет запускаться по расписанию, заданному в его настройках.
- Изменить следующие параметры правила сбора и анализа данных:
- Название
- Частота запуска запроса
- Глубина
- Sql
- Описание
- Сопоставление
Вкладка Привязанные хранилища
На этой вкладке вам нужно задать хранилище, в которое планировщик будет направлять SQL-запросы.
Чтобы задать хранилище:
- Нажмите на кнопку Привязать на панели инструментов.
- В открывшемся окне укажите название хранилища, к которому вы хотите добавить привязку, а также название раздела выбранного хранилища.
Вы можете выбрать только одно хранилище, но несколько разделов этого хранилища.
- Нажмите на кнопку Добавить.
Привязка создана и отображается в таблице на вкладке Привязанные хранилища.
При необходимости вы можете удалить привязки, установив флажки в соответствующих строках таблицы и нажав на кнопку Отвязать выбранные.
Вкладка Привязанные корреляторы
На этой вкладке вам нужно добавить корреляторы для работы с базовыми событиями.
Чтобы добавить коррелятор:
- Нажмите на кнопку Привязать на панели инструментов.
- В открывшемся окне установите курсор мыши в поле Коррелятор.
- В отобразившемся списке корреляторов установите флажки рядом с корреляторами, которые вы хотите добавить.
- Нажмите на кнопку Добавить.
Корреляторы добавлены и отображаются в таблице на вкладке Привязанные корреляторы.
При необходимости вы можете удалить корреляторы, установив флажки в соответствующих строках таблицы и нажав на кнопку Отвязать выбранные.
Также вы можете просмотреть результат работы планировщика в журнале Ядра, предварительно настроив режим Отладка в параметрах Ядра. Чтобы скачать журнал, выберите раздел KUMA Ресурсы → Активные сервисы, затем выберите сервис Ядра и нажмите на кнопку Журнал.
Записи с результатом работы планировщика имеют приставку datamining scheduler.
Идентификатор статьи: 295865, Последнее изменение: 25 апр. 2025 г.