Тип tcp

Поддержка

Поддержка приложений для бизнеса

Kaspersky Unified Monitoring and Analysis Platform

Руководство пользователя

Ресурсы KUMA

Точки назначения

Тип tcp

12 июня 2024

ID 232960

Скачать PDF

Тип tcp используется для связи по протоколу TCP.

Вкладка Основные параметры

Параметр	Описание
Название	Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
Переключатель Состояние	Используется, если события нужно отправлять в точку назначения. По умолчанию отправка событий включена.
Тип	Обязательный параметр. Тип точки назначения, eventRouter.
URL	Обязательный параметр. URL, с которым необходимо установить связь. Доступные форматы: `хост:порт`, `IPv4:порт`, `:порт`. Также поддерживаются адреса IPv6. При их использовании необходимо также указывать интерфейс в формате `[адрес%интерфейс]:порт`. Например: `[fe80::5054:ff:fe4d:ba0c%eth0]:4222`).
Описание	Описание ресурса: до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Размер буфера	Используется для установки размера буфера. Значение по умолчанию: 1 КБ; максимальное: 64 МБ.
Время ожидания	Время ожидания ответа (в секундах) другого сервиса или компонента. Значение по умолчанию: `30`.
Размер дискового буфера	Размер дискового буфера в байтах. Значение по умолчанию: 10 ГБ.
Интервал очистки буфера	Время (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: `1 с`.
Обработчики	Поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
Выходной формат	Формат отправки событий во внешний источник. Доступные значения: JSON CEF Если выбран формат CEF, в отправляемом событии содержится заголовок CEF и только поля с непустыми значениями.
Режим TLS	Использование шифрования TLS с использованием сертификатов в формате pem x509. Доступные значения: Выключено: не использовать шифрование TLS. Значение по умолчанию. Включено: использовать шифрование, но без верификации сертификатов. С верификацией: использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/. При использовании TLS невозможно указать IP-адрес в качестве URL.
Сжатие	Можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
Политика выбора URL	В раскрывающемся списке можно выбрать способ определения, на какой URL следует отправлять события, если URL было указано несколько. Доступные значения: Любой – события отправляются в один из доступных URL до тех пор, пока этот URL принимает события. При разрыве связи (например, при отключении принимающего узла) для отправки событий будет выбран другой URL. Сначала первый – события отправляются в первый URL из списка добавленных адресов. Если он становится недоступен, события отправляются в следующий по очереди доступный узел. Когда первый URL снова становится доступен, события снова начинаются отправляться в него. Сбалансированный – пакеты с событиями будут равномерно распределены по доступным URL из списка. Поскольку пакеты отправляются или при переполнении буфера точки назначения, или при срабатывании таймера очистки буфера, эта политика выбора URL не гарантирует равное распределение событий по точкам назначения.
Разделитель	В раскрывающемся списке можно выбрать символ, который будет определять границу между событиями. По умолчанию используется \n.
Дисковый буфер	Переключатель, с помощью которого можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер включен. Дисковый буфер используется, если сервис не может направить в точку назначения нормализованные события. Объём выделенного дискового пространства ограничен значением параметра Размер дискового буфера. Если выделенное под дисковый буфер дисковое пространство исчерпано, события ротируются по следующему принципу: новые события замещают самые старые события, записанные в буфер.
Отладка	Переключатель, с помощью которого можно указать, будет ли включено логирование ресурса. Значение по умолчанию: Выключено.
Фильтр	В разделе можно задать условия определения событий, которые будут обрабатываться ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. Создание фильтра в ресурсах В раскрывающемся списке Фильтр выберите Создать. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов в кодировке Unicode. В блоке параметров Условия задайте условия, которым должны соответствовать события: Нажмите на кнопку Добавить условие. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи. В раскрывающемся списке оператор выберите нужный вам оператор. Операторы фильтров = – левый операнд равен правому операнду. < – левый операнд меньше правого операнда. <= – левый операнд меньше или равен правому операнду. > – левый операнд больше правого операнда. >= – левый операнд больше или равен правому операнду. inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети). contains – левый операнд содержит значения правого операнда. startsWith – левый операнд начинается с одного из значений правого операнда. endsWith – левый операнд заканчивается одним из значений правого операнда. match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2. hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке). Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка. Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False. hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде. Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии. inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов. inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события. inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда. inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде. TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах. inContextTable – присутствует ли в указанной контекстной таблице запись. intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не. Вы можете добавить несколько условий или группу условий. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Параметры вложенного фильтра можно просмотреть, нажав на кнопку .

Вам помогла эта статья?

Что нам нужно улучшить?

Спасибо за ваш отзыв, вы помогаете нам становиться лучше!