Состояние источников

В KUMA можно контролировать состояние источников, из которых поступают данные в коллекторы. На одном сервере может быть несколько источников событий, а данные из нескольких источников могут поступать в один коллектор.

Вы можете настроить автоматическое определение источников событий с помощью одного из следующих наборов полей:

Для всей установки применяется только один набор полей. При обновлении до новой версии KUMA применяется набор полей по умолчанию. Только пользователь с ролью Главный администратор может настроить набор полей для определения источника события. После того как изменения в наборе полей сохранены, ранее определенные источники событий удаляются из Консоли KUMA и из базы данных. При необходимости вы можете вернуться к использованию набора полей для определения источников событий по умолчанию. Чтобы измененные параметры вступили в силу и программа KUMA начала определять источники на основе новых параметров, необходимо перезапустить коллекторы.

Чтобы определить источники событий:

  1. В Консоли KUMA перейдите в раздел Состояние источников.
  2. В открывшемся окне Состояния источников нажмите на нажмите кнопку настройки параметров.
  3. В открывшемся окне Параметры обнаружения источника события в раскрывающемся списке Группирующие поля для обнаружения источников выберите поля событий, по которым вы хотите определять источники событий.

    Вы можете указать от 1 до 9 полей в нужной последовательности. В пользовательской конфигурации KUMA определяет источники, в которых заполнено поле TenantID (вам не нужно задавать значение поля, оно определяется автоматически) и заполнено хотя бы одно поле из Группирующие поля для определения источников. Для числовых полей 0 считается пустым значением. Если для определения источника выбрано одно числовое поле, а значение числового поля равно 0, источник не обнаруживается.

    После того как вы сохранили измененный набор полей, создается событие аудита и все ранее определенные источники удаляются из Консоли KUMA и из базы данных, а примененные политики становятся неактивными.

  4. Если вы хотите вернуться к списку полей для определения источника событий по умолчанию, нажмите Применить сопоставление по умолчанию. Порядок полей по умолчанию изменить невозможно. Если вы вручную укажете неправильный порядок полей, отобразится ошибка и кнопка сохранения параметров станет недоступной. Правильная последовательность полей по умолчанию: DeviceProduct, DeviceHostName, DeviceAddress, DeviceProcessName. Минимальная конфигурация для определения источников событий с использованием набора событий по умолчанию: непустые значения в полях DeviceProduct, DeviceAddress и/или DeviceHostName, и в поле TenantID (TenantID определяется автоматически).
  5. Нажмите на кнопку Сохранить.
  6. Перезапустите коллекторы, чтобы применить изменения и начать определение источников событий по заданному списку полей.

Определение источника настроено.

Чтобы просмотреть события, связанные с источником событий:

  1. В Консоли KUMA перейдите в раздел Состояние источников.
  2. В открывшемся окне Источники событий выберите источник события в списке. В столбце Имя в раскрывающемся списке для выбранного источника события нажмите на кнопку События за <количество> дней.

    Откроется раздел Поиск угроз, где вы можете просмотреть список событий для выбранного источника за последние 5 минут. Значения полей, заданные в параметрах определения источника событий, автоматически указываются в запросе. При необходимости в разделе Поиск угроз вы можете изменить период времени в запросе и снова нажать Запустить запрос, чтобы просмотреть данные за указанный период времени.

Ограничения

  1. В конфигурации с установленным полем по умолчанию KUMA регистрирует источник события, только если необработанное событие содержит поле DeviceProduct и поля DeviceAddress и/или DeviceHostName.

    Если сырое событие не содержит поля DeviceProduct и DeviceAddress и/или DeviceHostName, вы можете:

    • Настроить обогащение в нормализаторе: на вкладке нормализатора Обогащение выберите тип данных Событие, укажите значение Поле источника, для поля Целевое поле выберите DeviceProduct + DeviceAddress и/или DeviceHostName и нажмите на кнопку ОК.
    • Использовать правило обогащения: выберите тип источника данных Событие, укажите Поле источника и в качестве значения Целевое поле выберите DeviceProduct + DeviceAddress и/или DeviceHostName, затем нажмите на кнопку Создать. Созданное правило обогащения необходимо привязать к коллектору на шаге Обогащение событий.

    KUMA выполнит обогащение и зарегистрирует источник событий.

  2. Если в KUMA поступают события с одинаковыми значениями, которые определяют источник, KUMA регистрирует разные источники при следующих условиях:
    • Значения обязательных полей совпадают, но для событий определяются разные тенанты.
    • Значения обязательных полей совпадают, но для одного из событий указано необязательное поле DeviceProcessName.
    • Значения обязательных полей совпадают, но у данных в этих полях не совпадает регистр.

Если вы хотите, чтобы KUMA регистрировала для таких событий один источник, вы можете дополнительно настроить поля в нормализаторе.

Списки источников формируются в коллекторах, объединяются в Ядре KUMA и отображаются в веб-интерфейсе программы в разделе Состояние источников на вкладке Список источников событий. Данные обновляются ежеминутно.

Данные о частоте и количестве поступающих событий являются важным показателем состояния наблюдаемой системы. Вы можете настроить политики мониторинга, чтобы изменения отслеживались автоматически и при достижении индикаторами определенных граничных значений автоматически создавались уведомления. Политики мониторинга отображаются в консоли KUMA в разделе Состояние источников на вкладке Политики мониторинга.

При срабатывании политик мониторинга создаются события мониторинга с данными об источнике событий.

В этом разделе

Список источников событий
В начало