Поиск активов

В KUMA есть два режима поиска активов. Переключение между режимами поиска осуществляется с помощью кнопок в верхней левой части окна:

• – простой поиск по параметрам активов Название, Полное доменное имя, IP-адрес, MAC-адрес и Владелец.
• – сложный поиск активов с помощью фильтрации по условиям и группам условий.

Найденные активы можно выделить, установив напротив них флажки, и экспортировать данные о них в виде CSV-файла.

Простой поиск

Чтобы найти актив с помощью простого поиска:

1. В разделе Активы веб-интерфейса KUMA нажмите на кнопку .

   В верхней части окна отображается поле Поиск.

2. Введите поисковый запрос в поле Поиск и нажмите ENTER или значок .

В таблице отобразятся активы, у которых параметры Название, Полное доменное имя, IP-адрес, MAC-адрес и Владелец соответствуют критериям поиска.

Сложный поиск

Чтобы найти актив с помощью сложного поиска:

1. В разделе Активы веб-интерфейса KUMA нажмите на кнопку .

   В верхней части окна отображается блок настройки фильтрации активов.

2. Задайте параметры фильтрации активов и нажмите на кнопку Поиск.

   Подробнее о параметрах фильтрации активов см. в таблице ниже.

В таблице отобразятся активы, которые соответствуют критериям поиска.

Сложный поиск активов производится с помощью условий фильтрации, которые можно задать в верхней части окна:

• С помощью кнопки Добавить условие можно добавить строку с полями для определения условия.
• С помощью кнопки Добавить группу можно добавить группу фильтров. Можно переключать групповые операторы между И, ИЛИ, НЕ.
• Условия и группы условий можно перетягивать мышкой.
• Условия, группы и фильтры можно удалить с помощью кнопки .
• Параметры фильтрации можно отобразить в компактно, нажав на кнопку Свернуть. В этом случае отображается результирующее поисковое выражение. При нажатии на него условия поиска снова отображаются полностью.
• Параметры фильтрации можно обнулить с помощью кнопки Очистить.
• Операторы условий и доступные значения правого операнда зависят от выбранного левого операнда:

  Левый операнд	Доступные операторы	Правый операнд
  Номер сборки	=, ilike	Произвольное значение.
  ОС	=, ilike	Произвольное значение.
  IP-адрес	inSubnet, inRange	Произвольное значение или диапазон значений. Условие фильтрации для оператора inSubnet выполнится, если IP-адрес, который содержится в левом операнде входит в подсеть, которая указан в правом операнде. Например, для IP-адреса 10.80.16.206 в правом операнде следует указать подсеть в короткой нотации: 10.80.16.206/25.
  Полное доменное имя	=, ilike	Произвольное значение.
  CVE	=, in	Произвольное значение.
  CVSS	>, >=, =, <=, <	Число от 0 до 10 (возможные значения уровня критичности уязвимости CVE на активе). Для уязвимостей из Open Single Management Platform неприменимо.
  Количество CVE	>, >=, =, <=, <	Число. Количество уникальных уязвимостей с признаком CVE на активе. Уязвимости без CVE не учитываются. Для поиска по количеству CVE с определенным уровнем критичности используется комбинированное условие. Например: Количество CVE >= 1 CVSS >= 6.5
  ПО	=, ilike	Произвольное значение.
  Версия ПО	=, ilike, in	Произвольное значение. Номер версии (сборки) ПО, установленного на активе.
  Источник актива	in	Open Single Management Platform. KICS/KATA. Создан вручную.
  КИИ	in	Информационный ресурс не является объектом КИИ. Объект КИИ без категории значимости. Объект КИИ третьей категории значимости. Объект КИИ второй категории значимости. Объект КИИ первой категории значимости.
  ОЗУ (байтов)	=, >, >=, <, <=	Число.
  Количество дисков	=, >, >=, <, <=	Число.
  Количество сетевых карт	=, >, >=, <, <=	Число.
  Свободных байт на диске	=, >, >=, <, <=	Число.
  Группа KSC	=, ilike	Произвольное значение. Название группы администрирования Open Single Management Platform, в которую помещен актив.
  Последнее обновление антивирусных баз	>=, <=	Для поиска время приводится в UTC, и затем в интерфейсе KUMA конвертируется в соответствии с локальным часовым поясом, установленным в браузере. Вы можете указать дату и время для этого операнда одним из следующих способов: Выбрать точную дату в календаре. Выбрать период относительно настоящего времени в списке Относительный период. Указать значение вручную: точные дату и время или относительный период, а также комбинацию этих способов. Подробнее см. ниже в подразделе Использование временных значений.
  Последнее обновление информации	>=, <=	Для поиска время приводится в UTC, и затем в интерфейсе KUMA конвертируется в соответствии с локальным часовым поясом, установленным в браузере. Вы можете указать дату и время для этого операнда одним из следующих способов: Выбрать точную дату в календаре. Выбрать период относительно настоящего времени в списке Относительный период. Указать значение вручную: точные дату и время или относительный период, а также комбинацию этих способов. Подробнее см. ниже в подразделе Использование временных значений.
  Последнее обновление защиты	>=, <=	Для поиска время приводится в UTC, и затем в интерфейсе KUMA конвертируется в соответствии с локальным часовым поясом, установленным в браузере. Вы можете указать дату и время для этого операнда одним из следующих способов: Выбрать точную дату в календаре. Выбрать период относительно настоящего времени в списке Относительный период. Указать значение вручную: точные дату и время или относительный период, а также комбинацию этих способов. Подробнее см. ниже в подразделе Использование временных значений.
  Время начала последней сессии	>=, <=	Для поиска время приводится в UTC, и затем в интерфейсе KUMA конвертируется в соответствии с локальным часовым поясом, установленным в браузере. Вы можете указать дату и время для этого операнда одним из следующих способов: Выбрать точную дату в календаре. Выбрать период относительно настоящего времени в списке Относительный период. Указать значение вручную: точные дату и время или относительный период, а также комбинацию этих способов. Подробнее см. ниже в подразделе Использование временных значений.
  Расширенный статус KSC	in	Устройство с установленным Агентом администрирования подключено к сети, но Агент администрирования неактивен. Антивирусное приложение установлено, но постоянная защита не работает. Антивирусное приложение установлено, но не запущено. Количество обнаруженных вирусов слишком велико. Антивирусное приложение установлено, но статус постоянной защиты отличается от установленного администратором безопасности. Антивирусное приложение не установлено. Полная проверка на вирусы выполнялась слишком давно. Антивирусные базы обновлялись слишком давно. Агент администрирования слишком долго был неактивен. Устаревшая лицензия. Количество невылеченных объектов слишком велико. Требуется перезагрузка. На устройстве установлено одно или несколько несовместимых приложений. Устройство имеет одну или несколько уязвимостей. Последний поиск обновлений операционной системы на устройстве выполнялся слишком давно. Устройство не имеет надлежащего статуса шифрования. Параметры мобильного устройства не соответствуют требованиям политики безопасности. Есть необработанные инциденты. Статус устройства был предложен управляемым приложением. На устройстве недостаточно места на диске: возникают ошибки синхронизации или на диске недостаточно места.
  Статус постоянной защиты	=	Приостановлена. Запускается. Выполняется (если антивирусное приложение не поддерживает категории состояния Выполняется). Выполняется с максимальной защитой. Выполняется с максимальным быстродействием. Выполняется с рекомендуемыми параметрами. Выполняется с пользовательскими параметрами. Ошибка.
  Статус шифрования	=	На устройстве нет правил шифрования. Шифрование выполняется. Шифрование отменено пользователем. Во время шифрования произошла ошибка. Все правила шифрования устройства были выполнены. Шифрование выполняется, на устройстве требуется перезагрузка. На устройстве есть зашифрованные файлы без указанных правил шифрования.
  Статус защиты от спама	=	Неизвестно. Остановлена. Приостановлена. Запускается. Выполняется. Ошибка. Не установлено. Лицензия отсутствует.
  Статус антивирусной защиты почтовых серверов	=	Неизвестно. Остановлена. Приостановлена. Запускается. Выполняется. Ошибка. Не установлено. Лицензия отсутствует.
  Статус защиты данных от утечек	=	Неизвестно. Остановлена. Приостановлена. Запускается. Выполняется. Ошибка. Не установлено. Лицензия отсутствует.
  Идентификатор расширенного статуса KSC	=	ОК. Критический. Требует внимания.
  Статус Endpoint Sensor	=	Неизвестно. Остановлена. Приостановлена. Запускается. Выполняется. Ошибка. Не установлено. Лицензия отсутствует.
  Последнее появление в сети	>=, <=	Для поиска время приводится в UTC, и затем в интерфейсе KUMA конвертируется в соответствии с локальным часовым поясом, установленным в браузере. Вы можете указать дату и время для этого операнда одним из следующих способов: Выбрать точную дату в календаре. Выбрать период относительно настоящего времени в списке Относительный период. Указать значение вручную: точные дату и время или относительный период, а также комбинацию этих способов. Подробнее см. ниже в подразделе Использование временных значений.
  Рейтинг AI	=, >, >=, <, <=	Число. Рейтинг активов, присвоенный AI-сервисами.
  Статус	=, in	Статусы активов, присвоенные AI-сервисами: Низкий. Средний. Высокий. Критический.
  Настраиваемое поле актива	=, ilike	Произвольное значение. Поиск по настраиваемым полям активов.

Использование временных значений

Некоторые условия, например, Последнее обновление антивирусных баз или Время начала последней сессии, используют дату и время в качестве значения операнда. Для этих условий вы можете использовать точные дату и время или относительный период.

Чтобы указать значение даты и времени:

1. Выберите необходимый операнд, оператор и нажмите на поле даты.
2. Выполните одно из следующих действий:
   • В календаре выберите точную дату.

     По умолчанию к выбранной дате будет автоматически добавлено текущее время с точностью до миллисекунд. При изменении даты в календаре указанное время не меняется. Дата и время отображаются в соответствии с часовым поясом браузера. При необходимости вы можете изменить дату и время в поле вручную.

   • В списке Относительный период выберите относительный период.

     Период рассчитывается относительно текущего времени поиска и учитывает актуальную на этот момент информацию об активах. Например, для условия Последнее обновление антивирусных баз вы можете выбрать значение 1 час и оператор >=, чтобы найти активы, для которых антивирусные базы не обновлялись более 1 часа.

   • В поле даты и времени введите значение вручную.

     Вы можете указать точные дату и время в формате DD.MM.YYYY HH:mm:ss.SSS для русской локализации и YYYY-MM-DD HH:mm:ss.SSS для английской локализации или относительный период в виде формулы. При необходимости вы также можете комбинировать эти способы.

     Если при вводе точной даты вы не указали миллисекунды, значение 000 подставляется автоматически.

     В формулах относительного периода используйте параметр now для обозначения текущих даты и времени и язык параметризации интервалов: символы +, -, / (округление до ближайшего), а также единицы изменения времени y (год), M (месяц), w (неделя), d (день), h (час), m (минута), s (секунда).

     Например, для условия Последнее обновление информации вы можете указать значение now-2d с оператором >= и значение now-1d с оператором >=, чтобы найти активы, информация о которых обновилась за сутки до запуска поиска; или указать значение now/w с оператором <=, чтобы найти активы, информация о которых обновилась с начала первого дня текущей недели (00:00:00:000 в UTC) до текущего времени now.

     Время в KUMA хранится в UTC, но в интерфейсе оно конвертируется в соответствии с часовым поясом вашего браузера. Это нужно учитывать для относительных периодов Сегодня, Вчера, Эта неделя и Этот месяц. Например, если в браузере установлен часовой пояс UTC+3 и вы выбрали период Сегодня, в категорию будут попадать активы за период с 03:00:00.000 до текущего времени, а не с 00:00:00.000.

     Если при выборе относительного периода Сегодня, Вчера, Эта неделя или Этот месяц вы хотите при категоризации учитывать ваш часовой пояс, вам нужно вручную добавить сдвиг по времени в поле даты и времени, прибавив или убавив необходимое количество часов. Например, если в браузере установлен часовой пояс UTC+3 и вы хотите при категоризации учитывать период Вчера, вам нужно изменить значение на now-1d/d-3h. Если же вы хотите при категоризации учитывать период Сегодня – на now/d-3h.

В начало