Kaspersky Symphony XDR: Single Management Platform
- Kaspersky Symphony XDR
- Справка Kaspersky Symphony XDR: Single Management Platform
- Что нового
- Об Open Single Management Platform
- Архитектура Open Single Management Platform
- Лицензирование
- О предоставлении данных
- Начало работы
- Развертывание Open Single Management Platform
- Руководство по усилению защиты
- Схема развертывания: Распределенное развертывание
- Схема развертывания: развертывание на одном узле
- Порты, используемые Open Single Management Platform
- Подготовительные работы и развертывание
- Распределенное развертывание: Подготовка устройства администратора и целевых устройств.
- Развертывание на одном узле: Подготовка устройства администратора и целевых устройств.
- Подготовка устройств к установке сервисов KUMA
- Установка системы управления базами данных
- Настройка сервера PostgreSQL или Postgres Pro для работы с Open Single Management Platform
- Подготовка файла инвентаря KUMA
- Распределенное развертывание: Указание параметров установки
- Развертывание на одном узле: Указание параметров установки
- Указание параметров установки с помощью мастера настройки
- Установка Open Single Management Platform
- Настройка доступа в интернет целевых устройств
- Синхронизация времени на машинах
- Установка сервисов KUMA
- Развертывание нескольких кластеров Kubernetes и экземпляров Open Single Management Platform
- Вход в Open Single Management Platform
- Обслуживание Open Single Management Platform
- Обновление компонентов Open Single Management Platform
- Контроль версий конфигурационного файла
- Удаление компонентов Open Single Management Platform и веб-плагинов управления
- Переустановка Open Single Management Platform после неудачной установки
- Остановка узлов кластера Kubernetes
- Использование сертификатов для публичных служб Open Single Management Platform
- Изменение самоподписанного сертификата Консоли KUMA
- Расчет и изменение дискового пространства для хранения данных Сервера администрирования
- Ротация секретов
- Добавление устройств для установки дополнительных сервисов KUMA
- Замена устройства, использующего хранилище KUMA
- Настройка модели статусов инцидентов
- Перенос данных в Open Single Management Platform
- Интеграция с другими решениями
- Обнаружение угроз
- Работа с алертами
- Работа с инцидентами
- Об инцидентах
- Модель данных инцидента
- Создание инцидентов
- Просмотр таблицы инцидентов
- Просмотр сведений об инциденте
- Назначение инцидентов аналитикам
- Изменение статуса инцидента
- Изменение приоритета инцидента
- Объединение инцидентов
- Изменение инцидентов с использованием плейбуков
- Граф расследования
- Правила сегментации
- Поиск угроз
- Реагирование на угрозы
- Действия по реагированию
- Прерывание процессов
- Перемещение устройств в другую группу администрирования
- Запуск поиска вредоносного ПО
- Обновление баз
- Перемещение файлов на карантин
- Изменение статуса авторизации устройств
- Просмотр информации о пользователях KASAP и изменении учебных групп
- Реагирование с помощью Active Directory
- Реагирование с помощью KATA/KEDR
- Реагирование с помощью UserGate
- Реагирование с помощью Ideco NGFW
- Реагирование с помощью Ideco UTM
- Реагирование с помощью Redmine
- Реагирование с помощью Check Point NGFW
- Реагирование с помощью Sophos Firewall
- Реагирование с помощью Континент 4
- Реагирование с помощью СКДПУ НТ
- Просмотр истории реагирования из деталей алерта или инцидента
- Плейбуки
- Просмотр таблицы плейбуков
- Создание плейбуков
- Изменение плейбуков
- Настройка плейбуков
- Просмотр свойств плейбука
- Прерывание работы плейбуков
- Удаление плейбуков
- Запуск плейбуков и действий по реагированию
- Настройка ручного подтверждения действий по реагированию
- Подтверждение плейбуков или действий по реагированию
- Обогащение из плейбуков
- Просмотр истории реагирования
- Предустановленные плейбуки
- Триггер плейбука
- Алгоритм плейбука
- Действия по реагированию
- REST API
- Создание токена
- Авторизация запросов API
- API-операции
- Просмотр списка алертов
- Просмотр списка инцидентов
- Просмотр списка тенантов
- Закрытие алертов
- Закрытие инцидентов
- Просмотр списка активных листов на корреляторе
- Импорт записей в активный лист
- Поиск активов
- Импорт активов
- Удаление активов
- Поиск событий
- Просмотр информации о кластере
- Поиск ресурсов
- Загрузка файла с ресурсами
- Просмотр содержимого файла с ресурсами
- Импорт ресурсов
- Экспорт ресурсов
- Скачивание файла с ресурсами
- Поиск служб
- Просмотр информации о предъявителе токена
- Обновление словаря в сервисах
- Получение словаря
- Просмотр пользовательских полей активов
- Просмотр списка контекстных таблиц в корреляторе
- Импорт записей в контекстную таблицу
- Экспорт записей из контекстной таблицы
- Управление Kaspersky Unified Monitoring and Analysis Platform
- О программе Kaspersky Unified Monitoring and Analysis Platform
- Что нового
- Архитектура программы
- Руководство администратора
- Вход в Консоль KUMA
- Сервисы KUMA
- Инструменты сервисов
- Наборы ресурсов для сервисов
- Создание хранилища
- Создание коррелятора
- Создание маршрутизатора событий
- Создание коллектора
- Создание агента
- Настройка источников событий
- Настройка получения событий Auditd
- Настройка получения событий KATA/EDR
- Настройка получения событий Kaspersky Security Center из MS SQL
- Настройка получения событий с устройств Windows с помощью Агента KUMA (WEC)
- Настройка аудита событий с устройств Windows
- Настройка централизованного получения событий с устройств Windows с помощью службы Windows Event Collector
- Предоставление прав для просмотра событий Windows
- Предоставление прав входа в качестве службы
- Настройка коллектора KUMA для получения событий с устройств Windows
- Установка коллектора KUMA для получения событий с устройств Windows
- Настройка передачи в KUMA событий с устройств Windows с помощью Агента KUMA (WEC)
- Настройка получения событий с устройств Windows с помощью Агента KUMA (WMI)
- Настройка получения событий PostgreSQL
- Настройка получения событий ИВК Кольчуга-К
- Настройка получения событий КриптоПро NGate
- Настройка получения событий Ideco UTM
- Настройка получения событий KWTS
- Настройка получения событий KLMS
- Настройка получения событий KSMG
- Настройка получения событий PT NAD
- Настройка получения событий c помощью плагина MariaDB Audit Plugin
- Настройка получения событий СУБД Apache Cassandra
- Настройка получения событий FreeIPA
- Настройка получения событий VipNet TIAS
- Настройка получения событий Nextcloud
- Настройка получения событий Snort
- Настройка получения событий Suricata
- Настройка получения событий FreeRADIUS
- Настройка получения событий VMware vCenter
- Настройка получения событий zVirt
- Настройка получения событий Zeek IDS
- Настройка получения событий DNS-сервера с помощью коннектора ETW
- Мониторинг источников событий
- Управление активами
- Добавление категории активов
- Настройка таблицы активов
- Поиск активов
- Экспорт данных об активах
- Просмотр информации об активе
- Добавление активов
- Назначение активу категории
- Изменение параметров активов
- Архивирование активов
- Удаление активов
- Обновление программ сторонних производителей и закрытие уязвимостей на активах Kaspersky Security Center
- Перемещение активов в выбранную группу администрирования
- Аудит активов
- Настраиваемые поля активов
- Активы критической информационной инфраструктуры
- Интеграция с другими решениями
- Интеграция с Kaspersky Security Center
- Интеграция с Kaspersky Endpoint Detection and Response
- Интеграция с Kaspersky CyberTrace
- Интеграция с Kaspersky Threat Intelligence Portal
- Подключение по протоколу LDAP
- Включение и выключение LDAP-интеграции
- Добавление тенанта в список тенантов для интеграции с LDAP-сервером
- Создание подключения к LDAP-серверу
- Создание копии подключения к LDAP-серверу
- Изменение подключения к LDAP-серверу
- Изменение частоты обновления данных
- Изменение срока хранения данных
- Запуск задач на обновление данных об учетных записях
- Удаление подключения к LDAP-серверу
- Интеграция с Kaspersky Industrial CyberSecurity for Networks
- Интеграция с Neurodat SIEM IM
- Kaspersky Automated Security Awareness Platform
- Отправка уведомлений в Telegram
- Интеграция с UserGate
- Интеграция с Kaspersky Web Traffic Security
- Интеграция с Kaspersky Secure Mail Gateway
- Импорт информации об активах из RedCheck
- Настройка получения событий Sendmail
- Управление KUMA
- Работа с геоданными
- Руководство пользователя
- Ресурсы KUMA
- Операции с ресурсами
- Точки назначения
- Нормализаторы
- Правила агрегации
- Правила обогащения
- Правила корреляции
- Фильтры
- Активные листы
- Просмотр таблицы активных листов
- Добавление активного листа
- Просмотр параметров активного листа
- Изменение параметров активного листа
- Дублирование параметров активного листа
- Удаление активного листа
- Просмотр записей в активном листе
- Поиск записей в активном листе
- Добавление записи в активный лист
- Дублирование записей в активном листе
- Изменение записи в активном листе
- Удаление записей в активном листе
- Импорт данных в активный лист
- Экспорт данных из активного листа
- Предустановленные активные листы
- Словари
- Правила реагирования
- Коннекторы
- Просмотр параметров коннектора
- Добавление коннектора
- Параметры коннекторов
- Секреты
- Контекстные таблицы
- Просмотр списка контекстных таблиц
- Добавление контекстной таблицы
- Просмотр параметров контекстной таблицы
- Изменение параметров контекстной таблицы
- Дублирование параметров контекстной таблицы
- Удаление контекстной таблицы
- Просмотр записей контекстной таблицы
- Поиск записей в контекстной таблице
- Добавление записи в контекстную таблицу
- Изменение записи в контекстной таблице
- Удаление записи из контекстной таблицы
- Импорт данных в контекстную таблицу
- Аналитика
- Ресурсы KUMA
- Работа с Open Single Management Platform
- Основные понятия
- Сервер администрирования
- Иерархия Серверов администрирования
- Виртуальный Сервер администрирования
- Веб-сервер
- Агент администрирования
- Группы администрирования
- Управляемое устройство
- Нераспределенное устройство
- Рабочее место администратора
- Веб-плагин управления
- Политики
- Профили политик
- Задачи
- Область действия задачи
- Взаимосвязь политики и локальных параметров программы
- Точка распространения
- Шлюз соединения
- Настройка Сервера администрирования
- Настройка подключения Консоли OSMP к Серверу администрирования
- Настройка параметров доступа к интернету
- Сертификаты для работы с Open Single Management Platform
- О сертификатах Open Single Management Platform
- Требования к пользовательским сертификатам, используемым в Open Single Management Platform
- Перевыпуск сертификата для Консоли OSMP
- Замена сертификата для Консоли OSMP
- Преобразование сертификата из формата PFX в формат PEM
- Сценарий: задание пользовательского сертификата Сервера администрирования
- Замена сертификата Сервера администрирования с помощью утилиты klsetsrvcert
- Подключение Агентов администрирования к Серверу администрирования с помощью утилиты klmover
- Иерархия Серверов администрирования
- Создание иерархии Серверов администрирования: добавление подчиненного Сервера администрирования
- Просмотр списка подчиненных Серверов администрирования
- Управление виртуальными Серверами администрирования
- Настройка журнала событий подключения к Серверу администрирования
- Настройка количества событий в хранилище событий
- Изменение учетных данных СУБД
- Резервное копирование и восстановление данных Сервера администрирования
- Удаление иерархии Серверов администрирования
- Доступ к общедоступным DNS-серверам
- Настройка интерфейса
- Шифрование подключения TLS
- Обнаружение устройств в сети
- Управление клиентскими устройствами
- Параметры управляемого устройства
- Создание групп администрирования
- Правила перемещения устройств
- Добавление устройств в состав группы администрирования вручную
- Перемещение устройств или кластеров в состав группы администрирования вручную
- О кластерах и массивах серверов
- Свойства кластеров или массивов серверов
- Настройка точек распространения и шлюзов соединений
- Типовая конфигурация точек распространения: один офис
- Типовая конфигурация точек распространения: множество небольших удаленных офисов
- Расчет количества и конфигурации точек распространения
- Автоматическое назначение точек распространения
- Назначение точек распространения вручную
- Изменение списка точек распространения для группы администрирования
- Включение push-сервера
- О статусах устройства
- Настройка переключения статусов устройств
- Выборки устройств
- Теги устройств
- Теги устройств
- Создание тегов устройств
- Изменение тегов устройств
- Удаление тегов устройств
- Просмотр устройств, которым назначен тег
- Просмотр тегов, назначенных устройству
- Назначение тегов устройству вручную
- Удаление назначенного тега с устройства
- Просмотр правил автоматического назначения тегов устройствам
- Изменение правил автоматического назначения тегов устройствам
- Создание правил автоматического назначения тегов устройствам
- Выполнение правил автоматического назначения тегов устройствам
- Удаление правил автоматического назначения тегов с устройств
- Шифрование и защита данных
- Смена Сервера администрирования для клиентских устройств
- Просмотр и настройка действий, когда устройство неактивно
- Развертывание программ "Лаборатории Касперского"
- Сценарий: развертывание программ "Лаборатории Касперского"
- Мастер развертывания защиты
- Запуск мастера развертывания защиты
- Шаг 1. Выбор инсталляционного пакета
- Шаг 2. Выбор способа распространения файла ключа или кода активации
- Шаг 3. Выбор версии Агента администрирования
- Шаг 4. Выбор устройств
- Шаг 5. Задание параметров задачи удаленной установки
- Шаг 6. Удаление несовместимых программ перед установкой
- Шаг 7. Перемещение устройств в папку Управляемые устройства
- Шаг 8. Выбор учетных записей для доступа к устройствам
- Шаг 9. Запуск установки
- Добавление плагина управления для программ "Лаборатории Касперского"
- Просмотр списка компонентов, интегрированных в Open Single Management Platform
- Просмотр названий, параметров и пользовательских действий компонентов Open Single Management Platform
- Загрузка и создание инсталляционных пакетов для программ "Лаборатории Касперского"
- Создание инсталляционных пакетов из файла
- Создание автономного инсталляционного пакета
- Изменение ограничения на размер пользовательского инсталляционного пакета
- Установка Агента администрирования для Linux в тихом режиме (с файлом ответов)
- Подготовка устройства под управлением Astra Linux в режиме замкнутой программной среды к установке Агента администрирования
- Просмотр списка автономных инсталляционных пакетов
- Распространение инсталляционных пакетов на подчиненные Серверы администрирования
- Подготовка устройства с операционной системой Linux и удаленная установка Агента администрирования на устройство с операционной системой Linux
- Установка программ с помощью задачи удаленной установки
- Указание параметров удаленной установки на устройствах под управлением Unix
- Замещение программ безопасности сторонних производителей
- Удаленная деинсталляция программ или обновлений программного обеспечения
- Подготовка устройства под управлением SUSE Linux Enterprise Server 15 к установке Агента администрирования
- Подготовка устройства под управлением Windows к удаленной установке. Утилита riprep
- Настройка защиты сети
- Сценарий: настройка защиты сети
- Подходы к управлению безопасностью, ориентированные на устройства и на пользователей
- Настройка и распространение политик: подход, ориентированный на устройства
- Настройка и распространение политик: подход, ориентированный на пользователя
- Политики и профили политик
- О политиках и профилях политик
- Блокировка (замок) и заблокированные параметры
- Наследование политик и профилей политик
- Управление политиками
- Просмотр списка политик
- Создание политики
- Общие параметры политик
- Изменение политики
- Включение и выключение параметра наследования политики
- Копирование политики
- Перемещение политики
- Экспорт политики
- Импорт политики
- Принудительная синхронизация
- Просмотр диаграммы состояния применения политики
- Удаление политики
- Управление профилями политик
- Параметры политики Агента администрирования
- Использование Агента администрирования для Windows, Linux и macOS: сравнение
- Сравнение параметров Агента администрирования по операционным системам
- Ручная настройка политики Kaspersky Endpoint Security
- Настройка Kaspersky Security Network
- Проверка списка сетей, которые защищает сетевой экран
- Выключение проверки сетевых устройств
- Исключение сведений о программном обеспечении из памяти Сервера администрирования
- Настройка доступа к интерфейсу Kaspersky Endpoint Security для Windows на рабочих станциях
- Сохранение важных событий политики в базе данных Сервера администрирования
- Ручная настройка групповой задачи обновления Kaspersky Endpoint Security
- Kaspersky Security Network (KSN)
- Управление задачами
- О задачах
- Область задачи
- Создание задачи
- Запуск задачи вручную
- Запуск задачи для выбранных устройств.
- Просмотр списка задач
- Общие параметры задач
- Экспорт задачи
- Импорт задачи
- Запуск мастера изменения паролей задач
- Просмотр результатов выполнения задач, хранящихся на Сервере администрирования
- Ручная настройка групповой задачи проверки устройства Kaspersky Endpoint Security
- Общие параметры задач
- Теги программ
- Предоставление автономного доступа к внешнему устройству, заблокированному компонентом Контроль устройств
- Регистрация программы Kaspersky Industrial CyberSecurity for Networks в Консоли OSMP
- Управление пользователями и ролями пользователей
- Об учетных записях пользователей
- О ролях пользователей
- Настройка прав доступа к функциям программы Управление доступом на основе ролей
- Добавление учетной записи внутреннего пользователя
- Создание группы безопасности
- Изменение учетной записи внутреннего пользователя
- Изменение группы безопасности
- Назначение роли пользователю или группе безопасности
- Добавление учетных записей пользователей во внутреннюю группу безопасности
- Назначение пользователя владельцем устройства
- Двухэтапная проверка
- Сценарий: настройка двухэтапной проверки для всех пользователей
- О двухэтапной проверке
- Включение двухэтапной проверки для вашей учетной записи
- Включение обязательной двухэтапной проверки для всех пользователей
- Выключение двухэтапной проверки для учетной записи пользователя
- Выключение обязательной двухэтапной проверки для всех пользователей
- Исключение учетных записей из двухэтапной проверки.
- Настройка двухэтапной проверки для вашей учетной записи
- Запретить новым пользователям настраивать для себя двухэтапную проверку
- Генерация нового секретного ключа
- Изменение имени издателя кода безопасности
- Изменение количества попыток ввода пароля
- Удаление пользователей или групп безопасности
- Создание роли пользователя
- Изменение роли пользователя
- Изменение области для роли пользователя
- Удаление роли пользователя
- Связь профилей политики с ролями
- Обновление баз и программ "Лаборатории Касперского"
- Сценарий: регулярное обновление баз и программ "Лаборатории Касперского"
- Об обновлении баз, программных модулей и программ "Лаборатории Касперского"
- Создание задачи Загрузка обновлений в хранилище Сервера администрирования
- Просмотр полученных обновлений
- Проверка полученных обновлений
- Создание задачи загрузки обновлений в хранилища точек распространения
- Добавление источников обновлений для задачи Загрузка обновлений в хранилище Сервера администрирования
- Об использовании файлов различий для обновления баз и программных модулей "Лаборатории Касперского"
- Включение функции загрузки файлов различий
- Загрузка обновлений точками распространения
- Обновление баз и программных модулей "Лаборатории Касперского" на автономных устройствах
- Удаленная диагностика клиентских устройств
- Открытие окна удаленной диагностики
- Включение и выключение трассировки для программ
- Загрузка файла трассировки программы
- Удаление файлов трассировки
- Загрузка параметров программ
- Загрузка системной информации с клиентского устройства
- Загрузка журналов событий
- Запуск, остановка и перезапуск программы
- Запуск удаленной диагностики Агента администрирования Kaspersky Security Center и скачивание результатов
- Запуск программы на клиентском устройстве
- Создание файла дампа для программы
- Запуск удаленной диагностики на клиентском устройстве с операционной системой Linux
- Управление программами и исполняемыми файлами на клиентских устройствах
- Использование компонента Контроль приложений для управления исполняемыми файлами
- Режимы и категории компонента Контроль приложений
- Получение и просмотр списка программ, установленных на клиентских устройствах
- Получение и просмотр списка исполняемых файлов, хранящихся на клиентских устройствах
- Создание пополняемой вручную категории программ
- Создание категории программ, в которую входят исполняемые файлы с выбранных устройств
- Создание категории программ, в которую входят исполняемые файлы из выбранных папок
- Просмотр списка категорий программ
- Настройка компонента Контроль программ в политике Kaspersky Endpoint Security для Windows
- Добавление исполняемых файлов, связанных с событием, в категорию программы
- Интерфейс Консоли OSMP
- Изменение языка интерфейса Консоли OSMP
- О лицензии
- Справочное руководство API
- Основные понятия
- Мониторинг, отчеты и аудит
- Сценарий: мониторинг и отчеты
- О типах мониторинга и отчетах
- Срабатывание правил в режиме Интеллектуального обучения
- Панель мониторинга и веб-виджеты
- Использование панели мониторинга
- Веб-виджеты администрирования и защиты
- Веб-виджеты обнаружения и реагирования
- Создание веб-виджета
- Изменение веб-виджета
- Удаление веб-виджета
- Создание макета панели мониторинга
- Выбор макета панели мониторинга
- Выбор макета панели мониторинга по умолчанию
- Изменение макета панели мониторинга
- Удаление макета панели мониторинга
- Включение и отключение режима ТВ
- Преднастроенные макеты панели мониторинга
- О режиме Просмотра только панели мониторинга
- Настройка режима Просмотра только панели мониторинга
- Использование панели мониторинга
- Отчеты
- События и выборки событий
- О событиях в Open Single Management Platform
- События компонентов Open Single Management Platform
- Использование выборок событий
- Создание выборки событий
- Изменение выборки событий
- Просмотр списка выборки событий
- Экспорт выборки событий
- Импорт выборки событий
- Просмотр информации о событии
- Экспорт событий в файл
- Просмотр истории объекта из события
- Удаление событий
- Удаление выборок событий
- Настройка срока хранения события
- Блокировка частых событий
- Обработка и хранение событий на Сервере администрирования
- Уведомления и статусы устройств
- Объявления "Лаборатории Касперского"
- Экспорт событий в SIEM-системы
- Сценарий: настройка экспорта событий в SIEM-системы
- Предварительные условия
- Об экспорте событий
- О настройке экспорта событий в SIEM-системе
- Выбор событий для экспорта в SIEM-системы в формате Syslog
- Об экспорте событий в формате Syslog
- Настройка Open Single Management Platform для экспорта событий в SIEM-систему
- Экспорт событий напрямую из базы данных
- Просмотр результатов экспорта
- Работа с ревизиями объектов
- Откат изменений объекта к предыдущей ревизии
- Удаление объектов
- Загрузка и удаление файлов из Карантина и Резервного хранилища
- Операции по диагностике компонентов Open Single Management Platform
- Мультитенантность
- Обращение в Службу технической поддержки
- Список ограничений
- Приложения
- Команды для запуска и установки компонентов вручную
- Проверка целостности файлов KUMA
- Модель данных нормализованного события
- Настройка модели данных нормализованного события из KATA EDR
- Модель данных актива
- Модель данных учетной записи
- События аудита KUMA
- Поля событий с общей информацией
- Пользователь успешно вошел в систему или не смог войти
- Пользователь успешно вышел из системы
- Пользователь успешно изменил набор параметров полей для определения источников
- Сервис успешно создан
- Сервис успешно удален
- Сервис успешно запущен
- Сервис успешно сопряжен
- Сервис успешно перезагружен
- Сервис успешно перезапущен
- Раздел хранилища автоматически удален в связи с истечением срока действия
- Раздел хранилища удален пользователем
- Активный лист успешно очищен или операция завершилась с ошибкой
- Элемент активного листа успешно изменен или операция завершилась с ошибкой
- Элемент активного листа успешно удален или операция завершилась с ошибкой
- Активный лист успешно импортирован или операция завершилась с ошибкой
- Активный лист успешно экспортирован
- Ресурс успешно добавлен.
- Ресурс успешно удален.
- Ресурс успешно обновлен.
- Актив успешно создан
- Актив успешно удален
- Категория актива успешно добавлена
- Категория актива успешно удалена
- Параметры успешно обновлены
- Словарь успешно обновлен на сервисе или операция завершилась ошибкой
- Действие по реагированию в Active Directory
- Реагирование через KICS for Networks
- Реагирование через Kaspersky Automated Security Awareness Platform
- KEDR response
- Правила корреляции
- Формат времени
- Сопоставление полей предустановленных нормализаторов
- Глоссарий
- Bootstrap
- Kaspersky Deployment Toolkit
- Агент
- Актив
- Алгоритм плейбука
- Алерт
- Граф расследования
- Действия по реагированию
- Дистрибутив
- Инцидент
- Кластер Kubernetes
- Коллектор
- Контекст
- Конфигурационный файл
- Коррелятор
- Мультитенантность
- Наблюдаемые объекты
- Нормализованное событие
- Плейбук
- Пользовательские действия
- Правила сегментации
- Правило корреляции
- Реестр
- Сервисы KUMA
- Событие
- Тенант
- Транспортный архив
- Узел
- Устройство администратора
- Файл инвентаря KUMA
- Хранилище
- Целевые устройства
- Цепочка развития угрозы
- Информация о стороннем коде
- Уведомления о товарных знаках
Управление Kaspersky Unified Monitoring and Analysis Platform > Руководство администратора > Мониторинг источников событий > Состояние источников
Состояние источников
Состояние источников
В KUMA можно контролировать состояние источников, из которых поступают данные в коллекторы. На одном сервере может быть несколько источников событий, а данные из нескольких источников могут поступать в один коллектор.
Вы можете настроить автоматическое определение источников событий с помощью одного из следующих наборов полей:
- Пользовательский набор полей. Вы можете указать от 1 до 9 полей в нужной последовательности.
- Применить сопоставление по умолчанию: DeviceProduct, DeviceHostName, DeviceAddress, DeviceProcessName. Порядок полей изменить невозможно.
Определение источников происходит, если следующие поля в событиях содержат непустые значения: DeviceProduct, DeviceAddress и/или DeviceHostname и TenantID (вам не нужно задавать значение поля TenantID, оно определяется автоматически). Поле DeviceProcessName может быть пустым. Если поле DeviceProcessName не пусто, а остальные обязательные поля заполнены, определяется новый источник.
Определение источников событий в зависимости от непустых значений в полях событий
DeviceProduct
DeviceHostName
DeviceAddress
DeviceProcessName;
TenantID (определяется автоматически)
+
+
+
Источник 1 определен
+
+
+
Источник 2 определен
+
+
+
+
Источник 3 определен
+
+
+
+
Источник 4 определен
+
+
+
+
Источник 5 определен
+
+
+
+
+
Источник 6 определен
+
+
+
Источник не определен
+
+
+
Источник не определен
+
+
+
Источник не определен
+
+
+
Источник не определен
Для всей установки применяется только один набор полей. При обновлении до новой версии KUMA применяется набор полей по умолчанию. Только пользователь с ролью Главный администратор может настроить набор полей для определения источника события. После того как изменения в наборе полей сохранены, ранее определенные источники событий удаляются из Консоли KUMA и из базы данных. При необходимости вы можете вернуться к использованию набора полей для определения источников событий по умолчанию. Чтобы измененные параметры вступили в силу и программа KUMA начала определять источники на основе новых параметров, необходимо перезапустить коллекторы.
Чтобы определить источники событий:
- В Консоли KUMA перейдите в раздел Состояние источников.
- В открывшемся окне Состояния источников нажмите на нажмите кнопку настройки параметров.
- В открывшемся окне Параметры обнаружения источника события в раскрывающемся списке Группирующие поля для обнаружения источников выберите поля событий, по которым вы хотите определять источники событий.
Вы можете указать от 1 до 9 полей в нужной последовательности. В пользовательской конфигурации KUMA определяет источники, в которых заполнено поле TenantID (вам не нужно задавать значение поля, оно определяется автоматически) и заполнено хотя бы одно поле из Группирующие поля для определения источников. Для числовых полей 0 считается пустым значением. Если для определения источника выбрано одно числовое поле, а значение числового поля равно 0, источник не обнаруживается.
После того как вы сохранили измененный набор полей, создается событие аудита и все ранее определенные источники удаляются из Консоли KUMA и из базы данных, а примененные политики становятся неактивными.
- Если вы хотите вернуться к списку полей для определения источника событий по умолчанию, нажмите Применить сопоставление по умолчанию. Порядок полей по умолчанию изменить невозможно. Если вы вручную укажете неправильный порядок полей, отобразится ошибка и кнопка сохранения параметров станет недоступной. Правильная последовательность полей по умолчанию: DeviceProduct, DeviceHostName, DeviceAddress, DeviceProcessName. Минимальная конфигурация для определения источников событий с использованием набора событий по умолчанию: непустые значения в полях DeviceProduct, DeviceAddress и/или DeviceHostName, и в поле TenantID (TenantID определяется автоматически).
- Нажмите на кнопку Сохранить.
- Перезапустите коллекторы, чтобы применить изменения и начать определение источников событий по заданному списку полей.
Определение источника настроено.
Чтобы просмотреть события, связанные с источником событий:
- В Консоли KUMA перейдите в раздел Состояние источников.
- В открывшемся окне Источники событий выберите источник события в списке. В столбце Имя в раскрывающемся списке для выбранного источника события нажмите на кнопку События за <количество> дней.
Откроется раздел Поиск угроз, где вы можете просмотреть список событий для выбранного источника за последние 5 минут. Значения полей, заданные в параметрах определения источника событий, автоматически указываются в запросе. При необходимости в разделе Поиск угроз вы можете изменить период времени в запросе и снова нажать Запустить запрос, чтобы просмотреть данные за указанный период времени.
Ограничения
- В конфигурации с установленным полем по умолчанию KUMA регистрирует источник события, только если необработанное событие содержит поле DeviceProduct и поля DeviceAddress и/или DeviceHostName.
Если сырое событие не содержит поля DeviceProduct и DeviceAddress и/или DeviceHostName, вы можете:
- Настроить обогащение в нормализаторе: на вкладке нормализатора Обогащение выберите тип данных Событие, укажите значение Поле источника, для поля Целевое поле выберите DeviceProduct + DeviceAddress и/или DeviceHostName и нажмите на кнопку ОК.
- Использовать правило обогащения: выберите тип источника данных Событие, укажите Поле источника и в качестве значения Целевое поле выберите DeviceProduct + DeviceAddress и/или DeviceHostName, затем нажмите на кнопку Создать. Созданное правило обогащения необходимо привязать к коллектору на шаге Обогащение событий.
KUMA выполнит обогащение и зарегистрирует источник событий.
- Если в KUMA поступают события с одинаковыми значениями, которые определяют источник, KUMA регистрирует разные источники при следующих условиях:
- Значения обязательных полей совпадают, но для событий определяются разные тенанты.
- Значения обязательных полей совпадают, но для одного из событий указано необязательное поле DeviceProcessName.
- Значения обязательных полей совпадают, но у данных в этих полях не совпадает регистр.
Если вы хотите, чтобы KUMA регистрировала для таких событий один источник, вы можете дополнительно настроить поля в нормализаторе.
Списки источников формируются в коллекторах, объединяются в Ядре KUMA и отображаются в веб-интерфейсе программы в разделе Состояние источников на вкладке Список источников событий. Данные обновляются ежеминутно.
Данные о частоте и количестве поступающих событий являются важным показателем состояния наблюдаемой системы. Вы можете настроить политики мониторинга, чтобы изменения отслеживались автоматически и при достижении индикаторами определенных граничных значений автоматически создавались уведомления. Политики мониторинга отображаются в консоли KUMA в разделе Состояние источников на вкладке Политики мониторинга.
При срабатывании политик мониторинга создаются события мониторинга с данными об источнике событий.
|
В этом разделе |
Идентификатор статьи: 264864, Последнее изменение: 2 нояб. 2024 г.