Kaspersky Symphony XDR: Open Single Management Platform
- Kaspersky Symphony XDR
- Быстрые ссылки
- Что нового
- Об Open Single Management Platform
- Архитектура Open Single Management Platform
- Интерфейс Консоли OSMP
- Лицензирование
- Предоставление данных
- Начало работы
- Развертывание Open Single Management Platform
- Руководство по усилению защиты
- Схемы развертывания
- Порты, используемые Open Single Management Platform
- Подготовительные работы и развертывание
- Развертывание на нескольких узлах: подготовка устройства администратора и целевых устройств
- Развертывание на одном узле: подготовка устройства администратора и целевых устройств
- Подготовка устройств к установке сервисов KUMA
- Установка системы управления базами данных
- Настройка сервера PostgreSQL или Postgres Pro для работы с Open Single Management Platform
- Подготовка файла инвентаря KUMA
- Развертывание на нескольких узлах: параметры установки
- Развертывание на одном узле: параметры установки
- Указание параметров установки с помощью мастера настройки
- Установка Open Single Management Platform
- Настройка доступа в интернет целевых устройств
- Синхронизация времени на машинах
- Установка сервисов KUMA
- Развертывание нескольких кластеров Kubernetes и экземпляров Open Single Management Platform
- Предварительная проверка готовности инфраструктуры для развертывания
- Вход в Open Single Management Platform
- Обслуживание Open Single Management Platform
- Обновление Open Single Management Platform с версии 1.1 до версии 1.2
- Обновление компонентов Open Single Management Platform
- Добавление и удаление узлов кластера Kubernetes
- Контроль версий конфигурационного файла
- Удаление Open Single Management Platform
- Удаление компонентов Open Single Management Platform вручную
- Переустановка компонентов Open Single Management Platform
- Остановка узлов кластера Kubernetes
- Использование сертификатов для публичных служб Open Single Management Platform
- Расчет и изменение дискового пространства для хранения данных Сервера администрирования
- Ротация секретов
- Добавление устройств для установки дополнительных сервисов KUMA
- Замена устройства, использующего хранилище KUMA
- Настройка модели статусов инцидентов
- Перенос данных в Open Single Management Platform
- Интеграция с другими решениями
- Обнаружение угроз
- Работа с алертами
- Об алертах
- Модель данных алерта
- Просмотр таблицы алертов
- Просмотр деталей алерта
- Назначение алертов аналитикам
- Изменение статуса алерта
- Создание алертов вручную
- Связь алертов с инцидентами
- Удаление связи алертов с инцидентами
- Связывание событий с алертами
- Удаление связи событий с алертами
- Изменение алертов с использованием плейбуков
- Работа с алертами на графе расследования
- Правила агрегации
- Работа с инцидентами
- Об инцидентах
- Модель данных инцидента
- Создание инцидентов
- Просмотр таблицы инцидентов
- Экспорт информации инцидентов
- Просмотр сведений об инциденте
- Назначение инцидентов аналитикам
- Изменение статуса инцидента
- Изменение приоритета инцидента
- Объединение инцидентов
- Изменение инцидентов с использованием плейбуков
- Граф расследования
- Правила сегментации
- Копирование правил сегментации в другой тенант
- Управление типами инцидентов
- Управление типами рабочих процессов
- Настройка периода хранения алертов и инцидентов
- Просмотр информации об активе
- Работа с алертами
- Поиск угроз
- Реагирование на угрозы
- Действия по реагированию
- Прерывание процессов
- Перемещение устройств в другую группу администрирования
- Запуск поиска вредоносного ПО
- Просмотр результатов поиска вредоносного ПО
- Обновление баз
- Перемещение файлов на карантин
- Изменение статуса авторизации устройств
- Просмотр информации о пользователях KASAP и изменении учебных групп
- Реагирование с помощью Active Directory
- Реагирование с помощью KATA/KEDR
- Реагирование с помощью UserGate
- Реагирование с помощью Ideco NGFW
- Реагирование с помощью Ideco UTM
- Реагирование с помощью Redmine
- Реагирование с помощью Check Point NGFW
- Реагирование с помощью Sophos Firewall
- Реагирование с помощью Континент 4
- Реагирование с помощью СКДПУ НТ
- Реагирование с помощью FortiGate
- Просмотр истории реагирования из деталей алерта или инцидента
- Плейбуки
- Просмотр таблицы плейбуков
- Создание плейбуков
- Изменение плейбуков
- Настройка плейбуков
- Просмотр свойств плейбука
- Прерывание работы плейбуков
- Удаление плейбуков
- Запуск плейбуков и действий по реагированию
- Настройка ручного подтверждения действий по реагированию
- Подтверждение плейбуков или действий по реагированию
- Обогащение из плейбуков
- Просмотр истории реагирования
- Предустановленные плейбуки
- Триггер плейбука
- Алгоритм плейбука
- Изменение инцидентов с использованием плейбуков
- Изменение алертов с использованием плейбуков
- Действия по реагированию
- REST API
- Справочное руководство API
- Управление Kaspersky Unified Monitoring and Analysis Platform
- О приложении Kaspersky Unified Monitoring and Analysis Platform
- Архитектура приложения
- Руководство администратора
- Вход в Консоль KUMA
- Сервисы KUMA
- Инструменты сервисов
- Наборы ресурсов для сервисов
- Создание хранилища
- Создание коррелятора
- Создание маршрутизатора событий
- Создание коллектора
- Предустановленные коллекторы
- Создание агента
- Создание набора ресурсов для агента
- Управление подключениями для агента
- Создание сервиса агента в веб-интерфейсе KUMA
- Установка агента в сетевой инфраструктуре KUMA
- Автоматически созданные агенты
- Обновление агентов
- Передача в KUMA событий из изолированных сегментов сети
- Передача в KUMA событий с машин Windows
- AI-сервисы
- Настройка источников событий
- Настройка получения событий Auditd
- Настройка получения событий KATA/EDR
- Настройка передачи событий Open Single Management Platform в SIEM-систему KUMA
- Настройка получения событий Open Single Management Platform из MS SQL
- Настройка получения событий с устройств Windows с помощью Агента KUMA (WEC)
- Настройка аудита событий с устройств Windows
- Настройка централизованного получения событий с устройств Windows с помощью службы Windows Event Collector
- Предоставление прав для просмотра событий Windows
- Предоставление прав входа в качестве службы
- Настройка коллектора KUMA для получения событий с устройств Windows
- Установка коллектора KUMA для получения событий с устройств Windows
- Настройка передачи в KUMA событий с устройств Windows с помощью Агента KUMA (WEC)
- Настройка получения событий с устройств Windows с помощью Агента KUMA (WMI)
- Настройка получения событий DNS-сервера с помощью агента ETW
- Настройка получения событий PostgreSQL
- Настройка получения событий ИВК Кольчуга-К
- Настройка получения событий КриптоПро NGate
- Настройка получения событий Ideco UTM
- Настройка получения событий KWTS
- Настройка получения событий KLMS
- Настройка получения событий KSMG
- Настройка получения событий KICS for Networks
- Настройка получения событий PT NAD
- Настройка получения событий c помощью плагина MariaDB Audit Plugin
- Настройка получения событий СУБД Apache Cassandra
- Настройка получения событий FreeIPA
- Настройка получения событий VipNet TIAS
- Настройка получения событий Nextcloud
- Настройка получения событий Snort
- Настройка получения событий Suricata
- Настройка получения событий FreeRADIUS
- Настройка получения событий VMware vCenter
- Настройка получения событий zVirt
- Настройка получения событий Zeek IDS
- Настройка получения событий Windows с помощью Kaspersky Endpoint Security для Windows
- Настройка получения событий Сodemaster Mirada
- Настройка получения событий Postfix
- Настройка получения событий CommuniGate Pro
- Настройка получения событий Yandex Cloud
- Настройка получения событий Microsoft 365
- Мониторинг источников событий
- Управление активами
- Добавление категории активов
- Настройка таблицы активов
- Поиск активов
- Экспорт данных об активах
- Просмотр информации об активе
- Добавление активов
- Добавление информации об активах в веб-интерфейсе KUMA
- Импорт информации об активах и уязвимостях активов из Open Single Management Platform
- Импорт информации об активах из MaxPatrol
- Импорт информации об активах из KICS for Networks
- Примеры сравнения полей активов при импорте
- Параметры конфигурационного файла kuma-ptvm-config.yaml
- Назначение активу категории
- Изменение параметров активов
- Архивирование активов
- Удаление активов
- Массовое удаление активов
- Обновление приложений сторонних производителей и закрытие уязвимостей на активах Open Single Management Platform
- Перемещение активов в выбранную группу администрирования
- Аудит активов
- Настраиваемые поля активов
- Активы критической информационной инфраструктуры
- Интеграция с другими решениями
- Интеграция с Open Single Management Platform
- Настройка параметров интеграции с Open Single Management Platform
- Добавление тенанта в список тенантов для интеграции с Open Single Management Platform
- Создание подключения к Open Single Management Platform
- Изменение подключения к Open Single Management Platform
- Удаление подключения к Open Single Management Platform
- Импорт событий из базы Open Single Management Platform
- Интеграция с Kaspersky Endpoint Detection and Response
- Интеграция с Kaspersky CyberTrace
- Интеграция с Kaspersky Threat Intelligence Portal
- Подключение по протоколу LDAP
- Включение и выключение LDAP-интеграции
- Добавление тенанта в список тенантов для интеграции с LDAP-сервером
- Создание подключения к LDAP-серверу
- Создание копии подключения к LDAP-серверу
- Изменение подключения к LDAP-серверу
- Изменение частоты обновления данных
- Изменение срока хранения данных
- Запуск задач на обновление данных об учетных записях
- Удаление подключения к LDAP-серверу
- Интеграция с Security Orchestration Automation and Response Platform (SOAR)
- Интеграция с KICS/KATA
- Интеграция с Neurodat SIEM IM
- Интеграция с Kaspersky Automated Security Awareness Platform
- Отправка уведомлений в Telegram
- Интеграция с UserGate
- Интеграция с Kaspersky Web Traffic Security
- Интеграция с Kaspersky Secure Mail Gateway
- Импорт информации об активах из RedCheck
- Настройка получения событий Sendmail
- Интеграция с Open Single Management Platform
- Управление KUMA
- Работа с геоданными
- Руководство пользователя
- Ресурсы KUMA
- Операции с ресурсами
- Создание, переименование, перемещение и удаление папок с ресурсами
- Создание, дублирование, перемещение, редактирование и удаление ресурсов
- Массовое удаление ресурсов
- Привязать корреляторы к корреляционному правилу
- Обновление ресурсов
- Экспорт ресурсов
- Импорт ресурсов
- Управление тегами
- Трассировка использования ресурсов
- Версионирование ресурсов
- Точки назначения
- Точка назначения, тип internal
- Точка назначения, тип nats-jetstream
- Точка назначения, тип tcp
- Точка назначения, тип http
- Точка назначения, тип diode
- Точка назначения, тип kafka
- Точка назначения, тип file
- Точка назначения, тип storage
- Точка назначения, тип correlator
- Точка назначения, тип eventRouter
- Предустановленные точки назначения
- Нормализаторы
- Правила агрегации
- Правила обогащения
- Правила сбора и анализа данных
- Правила корреляции
- Фильтры
- Активные листы
- Просмотр таблицы активных листов
- Добавление активного листа
- Просмотр параметров активного листа
- Изменение параметров активного листа
- Дублирование параметров активного листа
- Удаление активного листа
- Просмотр записей в активном листе
- Поиск записей в активном листе
- Добавление записи в активный лист
- Дублирование записей в активном листе
- Изменение записи в активном листе
- Удаление записей в активном листе
- Импорт данных в активный лист
- Экспорт данных из активного листа
- Предустановленные активные листы
- Словари
- Правила реагирования
- Коннекторы
- Просмотр параметров коннектора
- Добавление коннектора
- Параметры коннекторов
- Коннектор, тип internal
- Коннектор, тип tcp
- Коннектор, тип udp
- Коннектор, тип netflow
- Коннектор, тип sflow
- Коннектор, тип nats-jetstream
- Коннектор, тип kafka
- Коннектор, тип http
- Коннектор, тип sql
- Коннектор, тип file
- Коннектор, тип 1c-log
- Коннектор, тип 1c-xml
- Коннектор, тип diode
- Коннектор, тип ftp
- Коннектор, тип nfs
- Коннектор, тип wmi
- Коннектор, тип wec
- Коннектор, тип etw
- Коннектор, тип snmp
- Коннектор, тип snmp-trap
- Коннектор, тип kata/edr
- Коннектор, тип vmware
- Коннектор, тип elastic
- Коннектор, тип office365
- Предустановленные коннекторы
- Секреты
- Контекстные таблицы
- Просмотр списка контекстных таблиц
- Добавление контекстной таблицы
- Просмотр параметров контекстной таблицы
- Изменение параметров контекстной таблицы
- Дублирование параметров контекстной таблицы
- Удаление контекстной таблицы
- Просмотр записей контекстной таблицы
- Поиск записей в контекстной таблице
- Добавление записи в контекстную таблицу
- Изменение записи в контекстной таблице
- Удаление записи из контекстной таблицы
- Импорт данных в контекстную таблицу
- Экспорт данных из контекстной таблицы
- Операции с ресурсами
- Аналитика
- Ресурсы KUMA
- Работа с Open Single Management Platform
- Основные понятия
- Сервер администрирования
- Иерархия Серверов администрирования
- Виртуальный Сервер администрирования
- Веб-сервер
- Агент администрирования
- Группы администрирования
- Управляемое устройство
- Нераспределенное устройство
- Рабочее место администратора
- Веб-плагин управления
- Политики
- Профили политик
- Задачи
- Область действия задачи
- Взаимосвязь политики и локальных параметров приложения
- Точка распространения
- Шлюз соединения
- Настройка Сервера администрирования
- Настройка подключения Консоли OSMP к Серверу администрирования
- Настройка параметров доступа к интернету
- Сертификаты для работы с Open Single Management Platform
- О сертификатах Open Single Management Platform
- Требования к пользовательским сертификатам, используемым в Open Single Management Platform
- Перевыпуск сертификата для Консоли OSMP
- Замена сертификата для Консоли OSMP
- Преобразование сертификата из формата PFX в формат PEM
- Сценарий: задание пользовательского сертификата Сервера администрирования
- Замена сертификата Сервера администрирования с помощью утилиты klsetsrvcert
- Подключение Агентов администрирования к Серверу администрирования с помощью утилиты klmover
- Иерархия Серверов администрирования
- Создание иерархии Серверов администрирования: добавление подчиненного Сервера администрирования
- Просмотр списка подчиненных Серверов администрирования
- Управление виртуальными Серверами администрирования
- Настройка журнала событий подключения к Серверу администрирования
- Настройка количества событий в хранилище событий
- Изменение учетных данных СУБД
- Резервное копирование и восстановление данных Сервера администрирования
- Удаление иерархии Серверов администрирования
- Доступ к общедоступным DNS-серверам
- Настройка интерфейса
- Шифрование подключения TLS
- Обнаружение устройств в сети
- Управление клиентскими устройствами
- Параметры управляемого устройства
- Создание групп администрирования
- Правила перемещения устройств
- Добавление устройств в состав группы администрирования вручную
- Перемещение устройств или кластеров в состав группы администрирования вручную
- О кластерах и массивах серверов
- Свойства кластеров или массивов серверов
- Настройка точек распространения и шлюзов соединений
- Типовая конфигурация точек распространения: один офис
- Типовая конфигурация точек распространения: множество небольших удаленных офисов
- Расчет количества и конфигурации точек распространения
- Автоматическое назначение точек распространения
- Назначение точек распространения вручную
- Изменение списка точек распространения для группы администрирования
- Включение push-сервера
- О статусах устройства
- Настройка переключения статусов устройств
- Выборки устройств
- Теги устройств
- Теги устройств
- Создание тегов устройств
- Изменение тегов устройств
- Удаление тегов устройств
- Просмотр устройств, которым назначен тег
- Просмотр тегов, назначенных устройству
- Назначение тегов устройству вручную
- Удаление назначенного тега с устройства
- Просмотр правил автоматического назначения тегов устройствам
- Изменение правил автоматического назначения тегов устройствам
- Создание правил автоматического назначения тегов устройствам
- Выполнение правил автоматического назначения тегов устройствам
- Удаление правил автоматического назначения тегов с устройств
- Шифрование и защита данных
- Смена Сервера администрирования для клиентских устройств
- Просмотр и настройка действий, когда устройство неактивно
- Развертывание приложений "Лаборатории Касперского"
- Сценарий: развертывание приложений "Лаборатории Касперского"
- Мастер развертывания защиты
- Шаг 1. Запуск мастера развертывания защиты
- Шаг 2. Выбор инсталляционного пакета
- Шаг 3. Выбор способа распространения файла ключа или кода активации
- Шаг 4. Выбор версии Агента администрирования
- Шаг 5. Выбор устройств
- Шаг 6. Задание параметров задачи удаленной установки
- Шаг 7. Удаление несовместимых приложений перед установкой
- Шаг 8. Перемещение устройств в папку Управляемые устройства
- Шаг 9. Выбор учетных записей для доступа к устройствам
- Шаг 10. Запуск установки
- Добавление плагина управления для приложений "Лаборатории Касперского"
- Удаление веб-плагина управления
- Просмотр списка компонентов, интегрированных в Open Single Management Platform
- Просмотр названий, параметров и пользовательских действий компонентов Open Single Management Platform
- Загрузка и создание инсталляционных пакетов для приложений "Лаборатории Касперского"
- Создание инсталляционных пакетов из файла
- Создание автономного инсталляционного пакета
- Изменение ограничения на размер пользовательского инсталляционного пакета
- Установка Агента администрирования для Linux в тихом режиме (с файлом ответов)
- Подготовка устройства под управлением Astra Linux в режиме замкнутой программной среды к установке Агента администрирования
- Просмотр списка автономных инсталляционных пакетов
- Распространение инсталляционных пакетов на подчиненные Серверы администрирования
- Подготовка устройства с операционной системой Linux и удаленная установка Агента администрирования на устройство с операционной системой Linux
- Установка приложений с помощью задачи удаленной установки
- Указание параметров удаленной установки на устройствах под управлением Unix
- Запуск и остановка приложений "Лаборатории Касперского"
- Замещение приложений безопасности сторонних производителей
- Удаленная деинсталляция приложений или обновлений программного обеспечения
- Подготовка устройства под управлением SUSE Linux Enterprise Server 15 к установке Агента администрирования
- Подготовка устройства под управлением Windows к удаленной установке
- Настройка защиты сети
- Сценарий: настройка защиты сети
- Подходы к управлению безопасностью, ориентированные на устройства и на пользователей
- Настройка и распространение политик: подход, ориентированный на устройства
- Настройка и распространение политик: подход, ориентированный на пользователя
- Политики и профили политик
- О политиках и профилях политик
- Блокировка (замок) и заблокированные параметры
- Наследование политик и профилей политик
- Управление политиками
- Просмотр списка политик
- Создание политики
- Общие параметры политик
- Изменение политики
- Включение и выключение параметра наследования политики
- Копирование политики
- Перемещение политики
- Экспорт политики
- Импорт политики
- Принудительная синхронизация
- Просмотр диаграммы состояния применения политики
- Удаление политики
- Управление профилями политик
- Параметры политики Агента администрирования
- Использование Агента администрирования для Windows, Linux и macOS: сравнение
- Сравнение параметров Агента администрирования по операционным системам
- Ручная настройка политики Kaspersky Endpoint Security
- Настройка Kaspersky Security Network
- Проверка списка сетей, которые защищает сетевой экран
- Выключение проверки сетевых дисков
- Исключение сведений о программном обеспечении из памяти Сервера администрирования
- Настройка доступа к интерфейсу Kaspersky Endpoint Security для Windows на рабочих станциях
- Сохранение важных событий политики в базе данных Сервера администрирования
- Ручная настройка групповой задачи обновления Kaspersky Endpoint Security
- Kaspersky Security Network (KSN)
- Управление задачами
- О задачах
- Область задачи
- Создание задачи
- Запуск задачи вручную
- Запуск задачи для выбранных устройств.
- Просмотр списка задач
- Общие параметры задач
- Экспорт задачи
- Импорт задачи
- Запуск мастера изменения паролей задач
- Просмотр результатов выполнения задач, хранящихся на Сервере администрирования
- Ручная настройка групповой задачи проверки устройства Kaspersky Endpoint Security
- Общие параметры задач
- Теги приложений
- Предоставление автономного доступа к внешнему устройству, заблокированному компонентом Контроль устройств
- Регистрация приложения Kaspersky Industrial CyberSecurity for Networks в Консоли OSMP
- Управление пользователями и ролями пользователей
- Об учетных записях пользователей
- О ролях пользователей
- Настройка прав доступа к функциям приложения Управление доступом на основе ролей
- Добавление учетной записи внутреннего пользователя
- Создание группы безопасности
- Изменение учетной записи внутреннего пользователя
- Изменение группы безопасности
- Назначение роли пользователю или группе безопасности
- Добавление учетных записей пользователей во внутреннюю группу безопасности
- Назначение пользователя владельцем устройства
- Двухэтапная проверка
- Сценарий: настройка двухэтапной проверки для всех пользователей
- О двухэтапной проверке
- Включение двухэтапной проверки для вашей учетной записи
- Включение обязательной двухэтапной проверки для всех пользователей
- Выключение двухэтапной проверки для учетной записи пользователя
- Выключение обязательной двухэтапной проверки для всех пользователей
- Исключение учетных записей из двухэтапной проверки.
- Настройка двухэтапной проверки для вашей учетной записи
- Запретить новым пользователям настраивать для себя двухэтапную проверку
- Генерация нового секретного ключа
- Изменение имени издателя кода безопасности
- Изменение количества попыток ввода пароля
- Удаление пользователей или групп безопасности
- Изменение пароля учетной записи пользователя
- Создание роли пользователя
- Изменение роли пользователя
- Изменение области для роли пользователя
- Удаление роли пользователя
- Связь профилей политики с ролями
- Обновление баз и приложений "Лаборатории Касперского"
- Сценарий: регулярное обновление баз и приложений "Лаборатории Касперского"
- Об обновлении баз, модулей приложений и приложений "Лаборатории Касперского"
- Создание задачи Загрузка обновлений в хранилище Сервера администрирования
- Просмотр полученных обновлений
- Проверка полученных обновлений
- Создание задачи загрузки обновлений в хранилища точек распространения
- Добавление источников обновлений для задачи Загрузка обновлений в хранилище Сервера администрирования
- Одобрение и отклонение обновлений программного обеспечения
- Автоматическая установка обновлений для Kaspersky Endpoint Security для Windows
- Об использовании файлов различий для обновления баз и модулей приложений "Лаборатории Касперского"
- Включение функции загрузки файлов различий
- Загрузка обновлений точками распространения
- Обновление баз и модулей приложений "Лаборатории Касперского" на автономных устройствах
- Удаленная диагностика клиентских устройств
- Открытие окна удаленной диагностики
- Включение и выключение трассировки для приложений
- Загрузка файла трассировки приложения
- Удаление файлов трассировки
- Загрузка параметров приложений
- Загрузка системной информации с клиентского устройства
- Загрузка журналов событий
- Запуск, остановка и перезапуск приложения
- Запуск удаленной диагностики Агента администрирования Kaspersky Security Center и скачивание результатов
- Запуск приложения на клиентском устройстве
- Создание файла дампа для приложения
- Запуск удаленной диагностики на клиентском устройстве с операционной системой Linux
- Управление сторонними приложениями и исполняемыми файлами на клиентских устройствах
- Использование компонента Контроль приложений для управления исполняемыми файлами
- Режимы и категории компонента Контроль приложений
- Получение и просмотр списка приложений, установленных на клиентских устройствах
- Получение и просмотр списка исполняемых файлов, хранящихся на клиентских устройствах
- Создание пополняемой вручную категории приложений
- Создание категории приложений, в которую входят исполняемые файлы с выбранных устройств
- Создание категории приложений, в которую входят исполняемые файлы из выбранных папок
- Просмотр списка категорий приложений
- Настройка компонента Контроль приложений в политике Kaspersky Endpoint Security для Windows
- Добавление исполняемых файлов, связанных с событием, в категорию приложения
- О лицензии
- Основные понятия
- Мониторинг, отчеты и аудит
- Сценарий: мониторинг и отчеты
- О типах мониторинга и отчетах
- Срабатывание правил в режиме Интеллектуального обучения
- Панель мониторинга и веб-виджеты
- Использование панели мониторинга
- Веб-виджеты администрирования и защиты
- Веб-виджеты обнаружения и реагирования
- Создание веб-виджета
- Изменение веб-виджета
- Удаление веб-виджета
- Создание макета панели мониторинга
- Выбор макета панели мониторинга
- Выбор макета панели мониторинга по умолчанию
- Изменение макета панели мониторинга
- Удаление макета панели мониторинга
- Включение и отключение режима ТВ
- Преднастроенные макеты панели мониторинга
- О режиме Просмотра только панели мониторинга
- Настройка режима Просмотра только панели мониторинга
- Использование панели мониторинга
- Отчеты
- События и выборки событий
- О событиях в Open Single Management Platform
- События компонентов Open Single Management Platform
- Использование выборок событий
- Создание выборки событий
- Изменение выборки событий
- Просмотр списка выборки событий
- Экспорт выборки событий
- Импорт выборки событий
- Просмотр информации о событии
- Экспорт событий в файл
- Просмотр истории объекта из события
- Удаление событий
- Удаление выборок событий
- Настройка срока хранения события
- Блокировка частых событий
- Обработка и хранение событий на Сервере администрирования
- Уведомления и статусы устройств
- Объявления "Лаборатории Касперского"
- Cloud Discovery
- Экспорт событий в SIEM-системы
- Настройка экспорта событий в SIEM-системы
- Предварительные условия
- Об экспорте событий
- О настройке экспорта событий в SIEM-системе
- Выбор событий для экспорта в SIEM-системы в формате Syslog
- Об экспорте событий в формате Syslog
- Настройка Open Single Management Platform для экспорта событий в SIEM-систему
- Экспорт событий напрямую из базы данных
- Просмотр результатов экспорта
- Работа с ревизиями объектов
- Удаление объектов
- Загрузка и удаление файлов из Карантина и Резервного хранилища
- Операции по диагностике компонентов Open Single Management Platform
- Получение файлов журнала событий компонентов Open Single Management Platform
- Просмотр метрик OSMP
- Мониторинг состояний компонентов Open Single Management Platform
- Хранение диагностической информации о компонентах Open Single Management Platform
- Получение файлов трассировки
- Запись событий запусков пользовательских действий
- Мультитенантность
- Обращение в Службу технической поддержки
- Список ограничений
- Приложения
- Команды для запуска и установки компонентов вручную
- Проверка целостности файлов KUMA
- Модель данных нормализованного события
- Настройка модели данных нормализованного события из KATA EDR
- Модель данных актива
- Модель данных учетной записи
- События аудита KUMA
- Поля событий с общей информацией
- Пользователь успешно вошел в систему или не смог войти
- Пользователь успешно вышел из системы
- Изменен набор пространств для разграничения доступа к событиям
- Сервис успешно создан
- Сервис успешно удален
- Сервис успешно запущен
- Сервис успешно сопряжен
- Сервис успешно перезагружен
- Сервис успешно перезапущен
- Статус сервиса изменен
- Раздел хранилища автоматически удален в связи с истечением срока действия
- Раздел хранилища удален пользователем
- Активный лист успешно очищен или операция завершилась с ошибкой
- Элемент активного листа успешно изменен или операция завершилась с ошибкой
- Элемент активного листа успешно удален или операция завершилась с ошибкой
- Активный лист успешно импортирован или операция завершилась с ошибкой
- Активный лист успешно экспортирован
- Ресурс успешно добавлен.
- Ресурс успешно удален.
- Ресурс успешно обновлен.
- Актив успешно создан
- Актив успешно удален
- Категория актива успешно добавлена
- Категория актива успешно удалена
- Параметры успешно обновлены
- Изменена политика хранения данных после изменения дисков
- Словарь успешно обновлен на сервисе или операция завершилась ошибкой
- Отправлен запрос в KIRA
- Действие по реагированию в Active Directory
- Реагирование через KICS for Networks
- Реагирование через Kaspersky Automated Security Awareness Platform
- KEDR response
- Правила корреляции
- Формат времени
- Сопоставление полей предустановленных нормализаторов
- Глоссарий
- Bootstrap
- Kaspersky Deployment Toolkit
- Агент
- Агент администрирования
- Актив
- Алгоритм плейбука
- Алерт
- Граф расследования
- Действия по реагированию
- Дистрибутив
- Инцидент
- Кластер Kubernetes
- Коллектор
- Контекст
- Конфигурационный файл
- Коррелятор
- Мультитенантность
- Наблюдаемые объекты
- Нормализованное событие
- Плейбук
- Пользовательские действия
- Правила сегментации
- Правило корреляции
- Реестр
- Сервисы KUMA
- Событие
- Тенант
- Транспортный архив
- Узел
- Устройство администратора
- Файл инвентаря KUMA
- Хранилище
- Целевые устройства
- Цепочка развития угрозы
- Информация о стороннем коде
- Уведомления о товарных знаках
Обнаружение угроз > Работа с алертами > Правила агрегации
Правила агрегации
Правила агрегации
Вы можете использовать правила агрегации для объединения корреляционных событий в алертах. Рекомендуется использовать правила сегментации вместе с правилами агрегации для определения более точных правил создания инцидентов.
Стандартное поведение Open Single Management Platform заключается в объединении событий, имеющих один и тот же идентификатор правила, со следующими ограничениями:
- по времени (в течение 30 секунд);
- по количеству событий (100 событий);
- по количеству активов (100 активов);
- по количеству наблюдаемых объектов (200 наблюдаемых объектов);
- по общему объему событий, 4 МБ.
Вы можете использовать REST API для настройки правил агрегации.
Правила агрегации. Пример
В таблице ниже описано, как проводить тестирование на проникновение для проверки системы защиты с предопределенными IP и учетными записями пользователей.
Правило 1. Тестирование на проникновение для проверки системы защиты
Атрибут |
Value |
Описание. |
Приоритет. |
0 |
Наивысший приоритет. |
Триггер |
any(.Observables[]? | select(.Type == "ip") | .Value; . == "10.10.10.10" or . == "10.20.20.20") |
Правило срабатывает, если алерт включает наблюдаемый IP с любым из следующих значений:
|
Идентификатор правила агрегации |
"Pentest" |
Правило указывает идентификатор, с помощью которого события объединяются в алерт. |
Название алерта |
"[Pentest] " + ([.Rules[]?.Name] | join(",")) |
Правило добавляет тег "[Pentest]" и имя правила к названию алерта. Название правила берется из первого агрегированного алерта, последующие алерты не влияют на итоговое название алерта, даже если они были созданы по другому правилу. |
Интервал агрегации |
30 seconds |
|
Правило 2. Тестирование на проникновение для проверки системы защиты с помощью учетной записи пользователя
Атрибут |
Value |
Описание. |
Приоритет. |
1 |
|
Триггер |
any(.Observables[]? | select(.Type | ascii_downcase == "username") | .Value; . == "Pentester-1" or . == "Pentester-2") |
Правило срабатывает, если алерт включает наблюдаемое имя учетной записи пользователя с любым из следующих значений:
|
Идентификатор правила агрегации |
"Pentest" |
Правило указывает идентификатор, с помощью которого события объединяются в алерт. |
Название алерта |
"[Pentest] " + ([.Rules[]?.Name] | join(",")) |
Правило добавляет тег "[Pentest]" и имя правила к названию алерта. Название правила берется из первого агрегированного события, последующие агрегированные события не влияют на итоговое название алерта. |
Интервал агрегации |
30 seconds |
|
Правило 3. Правило агрегации
Атрибут |
Value |
Описание. |
Приоритет. |
2 |
|
Триггер |
.Rules | length > 0 |
Правило срабатывает, если список правил не пуст. |
Идентификатор правила агрегации |
([.Rules[].ID // empty] | sort | join(";")) |
Правило объединяет идентификаторы правил. |
Название алерта |
([.Rules[]?.Name // empty] | sort | join(",")) + " " + (.SourceCreatedAt) |
Правило объединяет названия правил и добавляет дату создания алерта. |
Интервал агрегации |
30 seconds |
|
Правила агрегации и сегментации. Пример
В таблица ниже описано, как объединить алерты, имеющие одинаковый идентификатор правила, в двух инцидентах на основе префикса имени пользователя.
Правило агрегации
Атрибут |
Value |
Описание. |
Триггер |
any(.Rules[]?; .ID == "123") |
Поиск алертов с идентификатором правила "123". |
Идентификатор правила агрегации |
if any(.OriginalEvents[]?.BaseEvents[]?.DestinationUserName // empty; startswith("adm_")) then "rule123_DestinationUserName_adm" else "rule123_DestinationUserName_not_adm" end |
Поиск имен пользователей с префиксом "adm_". |
Название алерта |
if any(.OriginalEvents[]?.BaseEvents[]?.DestinationUserName // empty; startswith("adm_")) then "Rule123 admin" else "Rule123 not admin" end |
Устанавливает название алерта в зависимости от префикса имени пользователя. |
Правило сегментации
Атрибут |
Value |
Триггер |
.AggregationID | startswith("rule123_DestinationUserName") |
Группы |
[.AggregationID] |
Название инцидента |
.Name |
Идентификатор статьи: 295755, Последнее изменение: 18 апр. 2025 г.